Dan Selanjutnya...
8. Teardrop
Teardrop attack adalah suatu serangan bertipe Denial of Service (DoS)
terhadap suatu server/komputer yang terhubung dalam suatu jaringan.
Teardrop attack ini memanfaatkan fitur yang ada di TCP/IP yaitu packet
fragmentation atau pemecahan paket, dan kelemahan yang ada di TCP/IP
pada waktu paket-paket yang terfragmentasi tersebut disatukan kembali.
Dalam suatu pengiriman data dari satu komputer ke komputer yang lain
melalui jaringan berbasis TCP/IP, maka data tersebut akan dipecah-pecah
menjadi beberapa paket yang lebih kecil di komputer asal, dan
paket-paket tersebut dikirim dan kemudian disatukan kembali di komputer
tujuan. Misalnya ada data sebesar 4000 byte yang ingin dikirim dari
komputer A ke komputer B. Maka, data tersebut akan dipecah menjadi 3
paket demikian:
Di komputer B, ketiga paket tersebut diurutkan dan disatukan sesuai
dengan OFFSET yang ada di TCP header dari masing-masing paket. Terlihat
di atas bahwa ketiga paket dapat diurutkan dan disatukan kembali menjadi
data yang berukuran 4000 byte tanpa masalah.
Dalam
teardrop attack, penyerang melakukan spoofing/ pemalsuan/ rekayasa
terhadap paket-paket yang dikirim ke server yang hendak diserangnya,
sehingga misalnya menjadi demikian:
Terlihat di atas bahwa ada gap dan overlap pada waktu paket-paket
tersebut disatukan kembali. Byte 1501 sampai 1600 tidak ada, dan ada
overlap di byte 2501 sampai 3100. Pada waktu server yang tidak
terproteksi menerima paket-paket demikian dan mencoba menyatukannya
kembali, server akan bingung dan akhirnya crash, hang, atau melakukan
reboot.
Server
bisa diproteksi dari tipe serangan teardrop ini dengan paket filtering
melalui firewall yang sudah dikonfigurasi untuk memantau dan memblokir
paket-paket yang berbahaya seperti ini.
Half-Open Connection
Half-open connection attack juga disebut sebagai SYN attack karena
memanfaatkan paket SYN (synchronization) dan kelemahan yang ada di 3-way
handshake pada waktu hubungan TCP/IP ingin dibentuk antara 2 komputer.
Dalam 3-way handshake untuk membentuk hubungan TCP/IP antara client
dengan server, yang terjadi adalah sebagai berikut :
Pertama, client mengirimkan sebuah paket SYN ke server/host untuk membentuk hubungan TCP/IP antara client dan host.
Kedua, host menjawab dengan mengirimkan sebuah paket SYN/ACK (Synchronization/Acknowledgement) kembali ke client.
Akhirnya,
client menjawab dengan mengirimkan sebuah paket ACK (Acknowledgement)
kembali ke host. Dengan demikian, hubungan TCP/IP antara client dan host
terbentuk dan transfer data bisa dimulai.
Dalam
serangan half-open connection, penyerang mengirimkan ke server yang
hendak diserang banyak paket SYN yang telah dispoof atau direkayasa
sehingga alamat asal (source address) menjadi tidak valid. Dengan kata
lain, alamat asal paket-paket SYN tersebut tidak menunjuk pada komputer
yang benar-benar ada. Pada waktu server menerima paket-paket SYN
tersebut, maka server akan mengirimkan paket SYN/ACK untuk menjawab tiap
paket SYN yang diterima. Namun, karena paket SYN/ACK dari server
tersebut dikirim ke alamat yang tidak ada, maka server akan terus
menunggu untuk menerima jawaban berupa paket ACK. Jika server tersebut
dibanjiri oleh paket-paket SYN yang tidak valid tersebut, maka akhirnya
server akan kehabisan memory dan sumber daya komputasi karena server
terus menunggu untuk menerima jawaban paket ACK yang tidak akan pernah
datang. Akhirnya server akan crash, hang, atau melakukan reboot dan
terjadilah gangguan terhadap layanan (denial of service). Tipe serangan
half-open connection atau SYN attack ini dapat dicegah dengan paket
filtering dan firewall, sehingga paket-paket SYN yang invalid tersebut
dapat diblokir oleh firewall sebelum membanjiri server.
9. UDP Bomb Attack
UDP Bomb attack adalah suatu serangan bertipe Denial of Service (DoS)
terhadap suatu server atau komputer yang terhubung dalam suatu jaringan.
Untuk melakukan serangan UDP Bomb terhadap suatu server, seorang
penyerang mengirim sebuah paket UDP (User Datagram Protocol) yang telah
dispoof atau direkayasa sehingga berisikan nilai-nilai yang tidak valid
di field-field tertentu. Jika server yang tidak terproteksi masih
menggunakan sistem operasi (operating system) lama yang tidak dapat
menangani paketpaket UDP yang tidak valid ini, maka server akan langsung
crash. Contoh sistem operasi yang bisa dijatuhkan oleh UDP bomb attack
adalah Sun OS versi 4.1.3a1 atau versi sebelumnya. Kebanyakan sistem
operasi akan membuang paket-paket UDP yang tidak valid, sehingga sistem
operasi tersebut tidak akan crash. Namun, supaya lebih aman, sebaiknya
menggunakan paket filtering melalui firewall untuk memonitor dan
memblokir serangan seperti UDP Bomb attack.
10. Micro-blocks.
Ketika ada sebuah host menerima paket inisiasi, maka host akan
mengalokasikan ruang memori yang sangat kecil, sehingga host tersebut bisa menerima
koneksi lebih banyak. Diharapkan ruang memori dapat menampung semua koneksi
yang dikirimkan, sampai terjadi connection-time-out, dimana koneksi-koneksi yang
stale, yaitu koneksi yang tidak menyelesaikan proses 'three-way-handshake' atau sudah
lama tidak ada transaksi data, akan dihapuskan dari memori dan memberikan ruang bagi
koneksi-koneksi baru. Metode ini tidak terlalu efektif karena bergantung pada kecepatan
serangan dilakukan, apabila ternyata kecepatan paket serangan datang lebih cepat
daripada lamanya waktu yang perlu ditunggu agar terjadi connection-time-out pada
paket-paket yang stale, make ruang memori yang dapat dialokasikan akan tetap habis.
11. SYN Cookies.
Ketika menerima paket inisiasi, host penerima akan mengirimkan paket
tantangan yang harus dijawab pengirim, sebelum host penerima mengalokasikan
memori yang dibutuhkan. Tantangan yang diberikan adalah berupa paket SYN-ACK
dengan nomor urut khusus yang merupakan hasil dari fungsi hash dengan input alamat
IP pengirim, nomor port, dll. Jawaban dari pengirim akan mengandung nomor urut
tersebut. Tetapi untuk melakukan perhitungan hash membutuhkan sumber-daya
komputasi yang cukup besar, sehingga banyak server-server yang aplikasinya
membutuhkan kemampuan komputasi tinggi tidak mempergunakan metode ini. Metode
ini merubah waktu peng-alokasian memori, yang tadinya pada awal dari proses 'three-
way-handshake', menjadi diakhir dari proses tersebut. (notes: pada standard TCP/IP
yang baru, ditentukan bahwa diperlukan cara yang lebih baik untuk menentukan urut
paket, sehingga sulit untuk ditebak. Jadi kemungkinan secara default, metode ini akan
digunakan pada seluruh peralatan jaringan komputer atau sistem operasi yang ada).
12. RST Cookies.
Mirip dengan SYN Cookies, hanya tantangan yang dikirimkan host
penerima ke pengirim adalah sebuah paket yang salah. Apabila pengirim adalah
pengirim yang valid, maka pengirim akan mengirimkan paket RST lalu mengulang
kembali koneksi. Ketika penerima menerima paket RST, host tersebut tahu bahwa
pengirim adalah valid dan akan menerima koneksi dari pengirim dengan normal.
Karena ada masalah dengan implementasi lapisan TCP/IP, metode ini kemungkinan
tidak kompatibel dengan beberapa sistem operasi. Metode ini merubah waktu peng-
alokasian memori, yang tadinya pada awal dari proses 'three-way-handshake', menjadi
diakhir dari proses tersebut.
Tidak ada komentar:
Posting Komentar