Distributed Denial of Service: Taksonomi Serangan, Alat dan Penanggulangan

Distributed Denial of Service (DDoS) serangan telah menjadi masalah besar bagi pengguna computer sistem terhubung ke Internet. DDoS penyerang membajak sekunder korban sistem yang menggunakan mereka untuk mengobarkan terkoordinasi serangan besar-besaran terhadap korban utama sistem. Sebagai tindakan pencegahan baru dikembangkan untuk mencegah atau mengurangi serangan DDoS, penyerang yang terusmenerus mengembangkan metode baru untuk menghindari ini baru penanggulangan. Dalam tulisan ini, kita menggambarkan model serangan DDoS dan mengusulkan taksonomi untuk mengkarakterisasi lingkup Serangan DDoS, karakteristik serangan software Alat yang digunakan, dan penanggulangan yang tersedia. Ini taksonomi menggambarkan persamaan dan pola yang berbeda Serangan DDoS dan alat-alat, untuk membantu dalam pengembangan lebih umum solusi untuk serangan DDoS melawan, termasuk serangan derivatif baru. 1 PENDAHULUAN Sebuah Denial of Service (DoS) serangan serangan dengan tujuan mencegah pengguna yang sah dari menggunakan sumber daya tertentu jaringan seperti website, web layanan, atau sistem komputer [1] . Sebuah Distributed Denial of Layanan (DDoS) serangan adalah serangan terkoordinasi terhadap ketersediaan layanan dari sistem target yang diberikan atau jaringan yang diluncurkan langsung melalui banyak dikompromikan sistem komputasi. Pelayanan diserang adalah mereka dari "korban utama", sedangkan sistem dikompromikan digunakan untuk meluncurkan serangan yang sering disebut "sekunder korban. "Penggunaan korban sekunder dalam serangan DDoS menyediakan penyerang dengan kemampuan untuk upah yang jauh serangan yang lebih besar dan lebih mengganggu, namun tetap anonim karena korban sekunder benar-benar melakukan serangan sehingga lebih sulit untuk forensik jaringan untuk melacak penyerang nyata. Pada bulan Februari 2000, salah satu DDoS besar pertama Serangan itu dilancarkan terhadap Yahoo.com, menjaga itu dari Internet selama sekitar 2 jam, biaya kehilangan iklan pendapatan [2] . Baru-baru ini, penyerang menggunakan serangkaian DDoS serangan terhadap berbagai perusahaan menyediakan anti-spam layanan [3] . Serangan-serangan ini menyebabkan banyak dari mereka untuk menutup bawah layanan mereka. Serangan DDoS relatif baru dan tidak baik dipahami. Makalah ini mengusulkan taksonomi untuk memahami serangan DDoS yang berbeda, peralatan, dan penanggulangan. Kami berharap bantuan ini taksonomi di memahami ruang lingkup serangan DDoS, menyebabkan lebih komprehensif solusi atau tindakan untuk menutupi kedua dikenal serangan dan mereka yang belum terjadi. Ini Makalah ini juga yang pertama untuk mengkarakterisasi setup dan instalasi teknik arsitektur serangan DDoS, mengidentifikasi kelas baik secara aktif maupun pasif. Dalam Bagian 2 kita menggambarkan kelas serangan DDoS arsitektur. Dalam Bagian 3 kami menyajikan taksonomi kami untuk Serangan DDoS. Dalam Pasal 4 kami menyajikan perangkat lunak karakteristik untuk alat serangan DDoS menekankan bagaimana alat ini adalah setup pada sistem korban sekunder. Di Bagian 5 kami menyajikan taksonomi DDoS yang berbeda penanggulangan. Kami menyimpulkan dalam Pasal 6. 2 DDoS ATTACK ARSITEKTUR Dua jenis jaringan serangan DDoS memiliki muncul: model Agen-Handler dan Internet Relay Chat (IRC) berbasis model. Model Agen-Handler dari serangan DDoS terdiri dari klien, handler, dan agen (lihat Gambar 1). Klien adalah di mana penyerang berkomunikasi dengan seluruh sistem serangan DDoS. Penangan perangkat lunak paket di seluruh internet bahwa client penyerang menggunakan untuk berkomunikasi dengan agen. Itu

Distributed Denial of Service: Taksonomi Serangan, Alat dan Penanggulangan

perangkat lunak agen ada dalam sistem yang akan dikompromikan akhirnya melakukan serangan itu. Penyerang berkomunikasi dengan sejumlah penangan untuk mengidentifikasi yang agen yang berdiri dan berjalan, kapan harus menjadwalkan serangan, atau ketika meng-upgrade agen. Para pemilik dan pengguna dari sistem agen biasanya tidak memiliki pengetahuan yang sistem mereka telah dikompromikan dan akan mengambil bagian dalam serangan DDoS. Tergantung pada bagaimana penyerang mengkonfigurasi jaringan serangan DDoS, agen dapat Karya ini didukung sebagian oleh NSF CCR0.208.946. Stephen Specht sekarang Engineer Komputer dengan Divisi Informasi Army Operasi AS, Fort Monmouth, NJ. Stephen M. Specht dan Ruby B. Lee, Distributed Denial of Service:. Taksonomi Serangan, Tools, dan Penanggulangan Proceedings dari Konferensi Internasional ke-17 tentang Sistem Komputasi Paralel dan Terdistribusi, 2004 Lokakarya Internasional tentang Keamanan di Paralel dan Terdistribusi Sistem, hlm 543-550, September 2004 Halaman 2 diinstruksikan untuk berkomunikasi dengan penangan tunggal atau beberapa penangan. Biasanya, penyerang akan mencoba untuk menempatkan handler software pada router dikompromikan atau jaringan server yang menangani volume besar dari lalu lintas. Hal ini membuat sulit untuk mengidentifikasi pesan antara klien dan penangan dan antara handler dan agen. Dalam deskripsi DDoS alat, istilah "handler" dan "agen" yang kadang-kadang diganti dengan "master" dan "daemon", masing. Arsitektur IRC berbasis serangan DDoS adalah mirip dengan model-Agen Handler kecuali bahwa alih-alih menggunakan program penangan diinstal pada server jaringan, IRC (Internet Relay Chat) saluran komunikasi yang digunakan untuk menghubungkan klien ke agen. Sebuah IRC channel menyediakan penyerang dengan manfaat tambahan seperti penggunaan "sah" port IRC untuk mengirimkan perintah ke agen [4] . Hal ini membuat pelacakan perintah DDoS paket lebih sulit. Selain itu, server IRC cenderung telah volume besar dari lalu lintas sehingga memudahkan untuk penyerang untuk menyembunyikan kehadirannya. Keuntungan lain adalah bahwa penyerang tidak perlu memelihara daftar agen, karena ia dapat log on ke server IRC dan melihat daftar semua tersedia agen [4] . Perangkat lunak agen terinstal di IRC jaringan biasanya berkomunikasi dengan saluran IRC dan memberitahu penyerang ketika agen dan berjalan. Dalam arsitektur serangan IRC berbasis DDoS, yang agen sering disebut sebagai "Zombie Bots" atau "Bots". Dalam kedua IRC-based dan Agen-Handler serangan DDoS model, kita mengacu pada agen sebagai "korban sekunder" atau "Zombie", dan target serangan DDoS sebagai "Primary korban". Perangkat lunak agen yang dirancang hanya menggunakan sebagian kecil dari sumber daya (memori dan bandwidth) sehingga pengguna sekunder-korban sistem mengalami minimal kinerja dampak ketika sistem mereka berpartisipasi dalam serangan DDoS. 3 DDoS ATTACK TAKSONOMI Ada berbagai macam serangan DDoS. Kita mengusulkan taksonomi dari metode serangan DDoS utama dalam Gambar 3. Ada dua kelas utama dari serangan DDoS: bandwidth yang deplesi dan serangan penipisan sumber daya. A Bandwidth serangan deplesi dirancang untuk membanjiri korban jaringan dengan lalu lintas yang tidak diinginkan yang mencegah sah lalu lintas dari mencapai korban utama. Sebuah sumber daya serangan deplesi adalah serangan yang dirancang untuk mengikat sumber daya dari sistem korban membuat korban tidak dapat memproses permintaan yang sah untuk layanan. 3.1 Bandwidth Deplesi Serangan Bandwidth serangan deplesi dapat dicirikan sebagai serangan banjir dan serangan amplifikasi. Banjir Serangan.

Distributed Denial of Service: Taksonomi Serangan, Alat dan Penanggulangan

Sebuah serangan banjir melibatkan zombie mengirimkan volume besar lalu lintas ke korban sistem, untuk berhimpun bandwidth jaringan sistem korban dengan lalu lintas IP. Sistem korban melambat, crash, atau menderita bandwidth jaringan jenuh, mencegah diakses oleh pengguna yang sah. Serangan banjir telah diluncurkan menggunakan kedua UDP (User Datagram Protocol) dan ICMP (Internet Control Message Protocol) paket. Dalam serangan Banjir UDP, sejumlah besar UDP paket dikirim ke port baik acak atau ditentukan pada korban sistem. Sistem korban mencoba untuk memproses masuk data untuk menentukan aplikasi memiliki meminta data. Jika sistem korban tidak menjalankan setiap aplikasi pada port yang ditargetkan, maka akan mengirimkan sebuah ICMP paket ke sistem pengiriman menunjukkan port tujuan " unreachable "pesan [5] . Seringkali, alat DDoS menyerang juga akan spoof alamat IP sumber dari paket menyerang. Ini membantu menyembunyikan identitas korban sekunder karena return paket dari sistem korban tidak dikirim kembali ke zombie, tapi ke alamat palsu. UDP banjir serangan juga dapat mengisi bandwidth koneksi terletak di sekitar sistem korban. Hal ini sering mempengaruhi sistem berlokasi dekat korban. Sebuah serangan banjir ICMP terjadi ketika zombie mengirim volume besar paket ICMP_ECHO_REPLY ("Ping") ke sistem korban. Paket ini sinyal korban sistem untuk membalas dan kombinasi lalu lintas Gambar 2: DDoS IRC Berbasis Model Serangan A ... A ... Penyerang Penyerang Klien IRC A ... A Korban Agen ... Penyerang H H H .... H Klien Handler A ... A Penyerang A ... A A ... A Agen Korban Gambar 1: DDOS Agen-Handler Model Serangan Page 3 jenuh bandwidth jaringan korban koneksi [5] . Selama serangan ini, alamat IP sumber dari paket ICMP juga dapat palsu. Amplifikasi Serangan. Serangan amplifikasi melibatkan penyerang atau zombie mengirim pesan ke disiarkan alamat IP, menggunakan ini untuk menyebabkan semua sistem dalam subnet dicapai oleh alamat broadcast untuk mengirim balasan ke sistem korban. The IP broadcast fitur alamat ditemukan pada kebanyakan router, ketika sebuah sistem pengiriman menentukan disiarkan alamat IP sebagai alamat tujuan, router mereplikasi paket dan mengirimkannya ke semua alamat IP dalam rentang alamat broadcast. Dalam serangan ini, broadcast alamat IP yang digunakan untuk memperkuat dan mencerminkan menyerang lalu lintas, dan dengan demikian mengurangi sistem korban yang bandwidth. Penyerang dapat mengirim pesan broadcast secara langsung, atau menggunakan agen untuk mengirim pesan broadcast untuk meningkatkan volume lalu lintas menyerang. Jika penyerang memutuskan untuk mengirim pesan siaran langsung, serangan ini menyediakan penyerang dengan kemampuan untuk menggunakan sistem dalam jaringan siaran sebagai zombie tanpa perlu

Distributed Denial of Service: Taksonomi Serangan, Alat dan Penanggulangan

untuk menyusup mereka atau menginstal perangkat lunak agen. Sebuah serangan DDoS Smurf adalah contoh dari sebuah amplifikasi serangan di mana penyerang mengirimkan paket ke jaringan penguat (sistem pendukung siaran menangani), dengan alamat pengirim palsu ke korban IP address. Paket-paket menyerang biasanya ICMP ECHO permintaan, yaitu paket (mirip dengan "Ping") yang meminta penerima untuk menghasilkan ICMP ECHO paket REPLY [6] . Penguat mengirimkan ICMP ECHO REQUEST paket ke semua sistem dalam broadcast kisaran alamat, dan masing-masing sistem akan mengembalikan ICMP ECHO REPLY ke IP korban target alamat [7] . Jenis serangan menguatkan paket asli puluhan atau ratusan kali. Contoh lain adalah serangan DDoS Fraggle, di mana penyerang mengirimkan paket ke penguat jaringan, dengan menggunakan UDP ECHO paket [8] . Ada variasi dari Fraggle serangan dimana UDP ECHO paket dikirim ke port yang mendukung generasi karakter (chargen, pelabuhan 19 di sistem Unix), dengan alamat pengirim palsu untuk korban gema layanan (echo, port 7 di sistem Unix) menciptakan infinite loop [9] . Paket Fraggle UDP akan menargetkan generator karakter dalam sistem dicapai oleh alamat broadcast. Sistem ini masing-masing menghasilkan karakter untuk mengirim ke layanan gema dalam sistem korban, yang akan mengirim paket gema kembali ke karakter generator, dan mengulangi proses. Serangan ini dapat menghasilkan lebih banyak lalu lintas buruk dan menyebabkan kerusakan lebih dari Smurf serangan. 3.2 Sumber daya Deplesi Serangan Serangan DDoS penipisan sumber daya melibatkan penyerang mengirimkan paket bahwa penyalahgunaan protokol jaringan komunikasi atau cacat. Sumber daya jaringan yang diikat sehingga tidak ada yang tersisa untuk pengguna yang sah. Protokol Exploit Serangan. Kami memberikan dua contoh, salah satu menyalahgunakan SYN TCP (Transfer Control Protokol Sinkronisasi) protokol, dan lainnya menyalahgunakan yang PUSH + protokol ACK. Dalam DDoS TCP SYN serangan, penyerang memerintahkan zombie untuk mengirim palsu TCP permintaan SYN untuk server korban untuk mengikat prosesor server sumber daya, dan karenanya mencegah server dari menanggapi permintaan yang sah. TCP SYN serangan mengeksploitasi jabat tangan tiga arah antara sistem pengirim dan menerima sistem dengan mengirimkan sejumlah besar TCP SYN paket ke sistem korban dengan IP sumber palsu alamat, sehingga sistem korban menanggapi nonmeminta sistem dengan ACK SYN +. Ketika besar volume permintaan SYN sedang diproses oleh server dan tidak ada respon ACK SYN + yang dikembalikan, server akhirnya kehabisan prosesor dan memori sumber daya, dan tidak mampu untuk menanggapi pengguna yang sah. Dalam serangan + PUSH ACK, yang menyerang agen mengirimkan paket TCP dengan bit PUSH dan ACK diatur ke satu. Ini memicu dalam paket TCP Header menginstruksikan sistem korban membongkar semua data dalam buffer TCP (Terlepas dari apakah atau tidak buffer penuh) dan mengirim pengakuan setelah selesai. Jika proses ini adalah diulang dengan agen ganda, sistem penerima tidak dapat memproses besar volume paket yang masuk dan sistem korban akan crash. Cacat Packet serangan. Sebuah serangan paket cacat adalah serangan di mana penyerang menginstruksikan zombie untuk mengirim paket IP salah dibentuk untuk sistem korban untuk kecelakaan itu. Gambar 3: DDoS Taksonomi Serangan DDoS Attack Bandwidth Deplesi Sumber daya Deplesi Banjir Serangan Protokol Exploit Serangan

Distributed Denial of Service: Taksonomi Serangan, Alat dan Penanggulangan

Cacat Packet Menyerang Amplifikasi Serangan UDP ICMP Smurf Fraggle TCP SYN PUSH + ACK Alamat IP IP Packet Pilihan Random Pelabuhan Sama Pelabuhan Langsung Putaran Page 4 Setidaknya ada dua jenis serangan paket cacat. Dalam serangan alamat IP, paket berisi sama sumber dan tujuan alamat IP. Hal ini dapat membingungkan sistem operasi dari sistem korban dan dapat menyebabkan Sistem korban kecelakaan. Dalam sebuah serangan pilihan paket IP, paket cacat dapat mengacak bidang opsional dalam sebuah paket IP dan mengatur semua kualitas bit pelayanan kepada satu sehingga sistem korban harus menggunakan tambahan pengolahan waktu untuk menganalisis lalu lintas. Jika serangan ini dikalikan, dapat menguras kemampuan pengolahan korban sistem. 4 DDoS ATTACK ALAT Alat serangan DDoS termasuk sejumlah umum software karakteristik. Gambar 4 menunjukkan beberapa elemen umum: bagaimana agen setup, aktivasi agen, apakah komunikasi terenkripsi, dan yang Sistem operasi (OS) yang didukung. 4.1 DDoS Agen Pengaturan Kami mengklasifikasikan cara yang penyerang menginstal berbahaya DDoS kode agen ke korban sekunder sistem sebagai aktif atau pasif. Aktif DDoS agent metode instalasi biasanya melibatkan penyerang memindai jaringan untuk sistem dengan diketahui kerentanan, menjalankan script untuk masuk ke sistem, dan diam-diam menginstal perangkat lunak agen DDoS. Di pasif instalasi DDoS metode, korban sekunder tanpa disadari menyebabkan perangkat lunak agen DDoS menjadi diinstal dengan membuka file yang rusak atau mengunjungi rusak situs web. Scanning aktif. Sebelum menginstal DDoS software, penyerang pertama menjalankan alat pemindaian, seperti port scanner Nmap, untuk mengidentifikasi korban sekunder potensial sistem. Nmap memungkinkan penyerang untuk memilih rentang IP alamat untuk memindai. Alat ini kemudian akan melanjutkan untuk mencari Internet untuk masing-masing alamat IP dan kembali informasi bahwa setiap alamat IP penyiaran seperti buka TCP dan port UDP dan OS khusus dari dipindai sistem [10] . Seorang penyerang memilih korban sekunder target dari daftar ini, perangkat lunak penargetan dan backdoor kerentanan. Setelah penyerang telah dipindai untuk daftar sistem rentan, ia akan perlu untuk mengeksploitasi kerentanan untuk mendapatkan akses ke sistem korban sekunder dan menginstal kode agen DDoS. Ada banyak sumber di Internet, seperti Common kerentanan dan Eksposur (CVE) organisasi, yang secara terbuka daftar di atas 2.000 dari kerentanan diketahui dari sistem yang berbeda [11] . Informasi ini tersedia sehingga administrator jaringan dapat membuat sistem mereka lebih aman, namun juga menyediakan penyerang dengan data tentang kerentanan yang ada. Sebuah kerentanan perangkat lunak umum adalah buffer melimpah masalah. Penyangga adalah sebuah blok kontinu memori (dengan ukuran terbatas) yang berfungsi sebagai data sementara area penyimpanan dalam komputer. Sebuah buffer overflow adalah menyerang yang mengirimkan lebih banyak data ke dalam buffer dari ukuran buffer. Hal ini menyebabkan data tambahan untuk menimpa lainnya berdekatan dengan buffer dalam tumpukan memori informasi, seperti alamat prosedur pengembalian [13] . Hal ini dapat menyebabkan komputer untuk kembali dari panggilan prosedur untuk berbahaya

Distributed Denial of Service: Taksonomi Serangan, Alat dan Penanggulangan

kode termasuk dalam data yang menimpa buffer. Ini kode berbahaya bisa digunakan untuk memulai program dari itu penyerang memilih (seperti DDoS Agen) atau menyediakan akses ke korban komputer sehingga bahwa penyerang dapat menginstal Agen DDoS kode. Sebuah contoh dari sebuah backdoor kerentanan adalah sebuah Trojan horse program. Ini adalah program yang tampaknya melakukan berguna fungsi, tetapi dalam realitas mengandung tersembunyi kode bahwa salah satu mengeksekusi tindakan berbahaya atau menyediakan sebuah backdoor untuk akses yang tidak sah untuk beberapa istimewa fungsi sistem [12] . Gambar 4: Software Tools DDoS (Karakteristik) OS Didukung Solaris Jendela Linux Unix Lie & Tunggu Aktif Pemungutan suara DDoS Software Alat Agen Pengaktifan Metode Serangan Jaringan Komunikasi KlienHandler HandlerAgen Tak satupun Handler - Agen IRC Berdasarkan Ya, Swasta atau Rahasia Saluran Tidak, Publik Saluran Tidak Sembunyikan dengan Rootkit Buffer Melimpah Trojan Kuda Program Aktif Scanning Software / Backdoor Kerentanan Agen Pengaturan Disadap Situs web Rusak Berkas Instalasi Pasif Ya Protokol TCP UDP ICMP Enkripsi Halaman 5 Trojan horse yang diinstal pada sistem korban oleh penyerang dan memungkinkan penyerang untuk mendapatkan kontrol dari pengguna komputer tanpa pengguna mengetahui. Dalam kasus serangan DDoS tool setup, Trojan horse program sudah diinstal pada sistem korban dapat digunakan oleh penyerang untuk mendapatkan akses ke sistem korban sekunder yang memungkinkan penyerang untuk menginstal kode agen DDoS. Pasif DDoS Agen Instalasi. Pasif metode biasanya melibatkan berbagi penyerang korup file atau situs web bangunan yang memanfaatkan dikenal kerentanan di browser web korban sekunder itu. Sebuah file rusak memiliki kode berbahaya tertanam di dalamnya. Ketika sistem korban mencoba untuk melihat atau mengeksekusi

Distributed Denial of Service: Taksonomi Serangan, Alat dan Penanggulangan

file ini, itu akan menjadi terinfeksi dengan kode berbahaya. Salah satu teknik yang populer adalah untuk penyerang untuk menghasilkan teks file dengan nama kode biner untuk Agen DDoS tertanam di dalamnya. Mereka mengubah nama teks file dengan nama yang sangat panjang dengan ekstensi txt. dalam nama ketika ekstensi sebenarnya. exe. Misalnya, File mungkin newfile.txt_this_is_a_ddos_agent.exe. Jik a hanya beberapa karakter pertama dari file yang akan ditampilkan ke pengguna, maka akan muncul seolah-olah file ini adalah file teks, bukan file eksekusi. Dalam contoh ini, nama newfile akan perlu sekitar 150 karakter panjang sehingga jendela yang paling sistem tidak akan menampilkan nama file penuh [15] . Segera setelah pengguna meluncurkan file, sistemnya akan terinfeksi dengan perangkat lunak agen DDoS. File korup dapat dipertukarkan dengan cara yang berbeda, seperti file sharing IRC, Jaringan Gnutella, dan melalui e-mail file korup untuk korban. Lain DDoS pasif agen instalasi Teknik menggunakan situs web disadap. Sebuah kerentanan ditemukan pada browser web memungkinkan penyerang untuk membuat website dengan kode atau perintah untuk menjebak korban. Ketika web browser korban memandang halaman web atau mencoba akses konten, halaman web tidak langsung download atau menginstal kode berbahaya (misalnya, agen DDoS). Salah satu contoh dari jenis serangan mengeksploitasi bug dalam Microsoft Internet Explorer (IE) versi 5.5 dan 6.0. Ini versi IE mengandung ActiveX, sebuah teknologi yang dikembangkan oleh Microsoft untuk memungkinkan kontrol dalam IE untuk melihat spesifik plug-in aplikasi tertanam dalam kode situs web dengan memungkinkan web browser IE untuk secara otomatis mendownload klien kode biner ditentukan oleh situs yang sedang dilihat [14] . Penyerang menggunakan kode berbahaya dimasukkan ke dalam halaman web untuk memanfaatkan ActiveX dan bukan men-download perangkat lunak klien yang sah, penyerang dapat mengatur ActiveX untuk men-download kode bermusuhan, seperti agen DDoS. Kit akar adalah program yang digunakan oleh penyerang setelah instalasi perangkat lunak pengendali atau agen untuk menghapus file log dan setiap catatan lain yang mungkin menunjukkan bahwa penyerang itu menggunakan sistem [16] . Penyerang mungkin selain itu menggunakan alat akar kit untuk membuat backdoors sehingga bahwa mereka akan dapat mengakses sistem korban dalam masa depan [17] . Akar alat kit biasanya digunakan ketika handler software diinstal karena satu handler dapat menjadi kritis untuk DDoS jaringan untuk bekerja dan karena program handler biasanya dipasang di dalam ISP atau jaringan perusahaan di mana kemungkinan deteksi lebih tinggi. 4.2 Serangan Jaringan Komunikasi The DDoS agent-handler dan handler-client Komunikasi dapat melalui TCP, UDP, dan / atau ICMP protokol. Beberapa alat serangan DDoS juga memanfaatkan dienkripsi komunikasi dalam serangan DDoS jaringan. Agen-handler serangan DDoS mungkin menggunakan dienkripsi komunikasi baik antara klienpenangan dan / atau antara penangan-agen. IRC berbasis Serangan DDoS dapat menggunakan baik, publik swasta, atau rahasia menyalurkan untuk berkomunikasi antara agen dan penangan. Saluran IRC baik swasta dan rahasia memberikan enkripsi, saluran pribadi (bukan data atau pengguna) muncul dalam daftar saluran IRC server, tetapi saluran rahasia tidak. Ada dua metode utama untuk agen DDoS aktivasi. Dalam beberapa alat DDoS, para agen aktif jajak pendapat penangan atau saluran IRC untuk instruksi, sedangkan di DDoS alat lainnya, para agen akan menunggu untuk komunikasi baik dari pawang atau saluran IRC.

Distributed Denial of Service: Taksonomi Serangan, Alat dan Penanggulangan

4.3 Sistem Operasi yang Didukung Alat serangan DDoS biasanya dirancang untuk menjadi kompatibel dengan sistem operasi yang berbeda (OS). Apa saja OS sistem (seperti Unix, Linux, Solaris, atau Windows) mungkin memiliki agen DDoS atau kode handler dirancang untuk bekerja di atasnya. Biasanya, kode handler dirancang untuk mendukung OS yang akan terletak pada server atau workstation di baik perusahaan atau situs ISP (ieUnix, Linux, atau Solaris). Kode Agen biasanya dirancang untuk platform Windows karena banyak penyerang menargetkan pengguna internet perumahan dengan DSL dan modem kabel (untuk bandwidth menyerang lebih tinggi) dan pengguna biasanya menggunakan Windows. 5 DDoS COUNTERMEAUSRES Penanggulangan diusulkan untuk mencegah Serangan DDoS saat ini solusi parsial yang terbaik. Sana Saat ini tidak ada metode yang komprehensif untuk melindungi terhadap semua yang dikenal bentuk serangan DDoS. Juga derivatif, banyak Serangan DDoS terus dikembangkan oleh penyerang untuk memotong setiap baru penanggulangan dipekerjakan. Penelitian lebih lanjut diperlukan, dan tujuan tulisan ini adalah untuk mengkarakterisasi sifat dan lingkup serangan DDoS dan alat untuk memfasilitasi penelitian tersebut. Kami mengusulkan awal taksonomi Penanggulangan DDoS di Gambar 5. Halaman 6 Sana adalah tiga Kategori dari DDoS penanggulangan. Pertama, mencegah setup dari DDoS serangan jaringan, termasuk mencegah korban sekunder dan mendeteksi dan menetralisir penangan. Kedua, berurusan dengan serangan DDoS ketika sedang berlangsung, termasuk mendeteksi atau mencegah, mengurangi atau menghentikan, dan membelokkan serangan itu. Ketiga, ada pascaserangan kategori yang melibatkan forensik jaringan. 5.1 Mencegah Korban Sekunder Salah satu metode terbaik untuk mencegah serangan DDoS adalah untuk sistem korban sekunder untuk mencegah diri berpartisipasi dalam serangan tersebut. Ini membutuhkan tinggi kesadaran masalah keamanan dan pencegahan teknik dari semua pengguna internet. Untuk mencegah korban sekunder dari menjadi terinfeksi dengan perangkat lunak agen DDoS, sistem ini harus terus-menerus memantau keamanan mereka sendiri. Mereka harus periksa untuk memastikan bahwa tidak ada program agen telah diinstal pada sistem mereka dan memastikan mereka tidak tidak langsung mengirimkan lalu lintas agen ke dalam jaringan. Karena Internet begitu de-terpusat, dengan begitu banyak berbeda perangkat keras dan platform perangkat lunak, sangat sulit untuk pengguna untuk menerapkan langkah-langkah perlindungan yang tepat seperti anti-Trojan software. Untuk menjadi sukses, pengguna akhir harus memiliki sumber daya untuk membayar tindakan perlindungan dan Pengetahuan untuk memilih perlindungan yang tepat. Selain itu, korban sekunder harus mengidentifikasi ketika mereka berpartisipasi dalam serangan DDoS, dan jika demikian, mereka perlu tahu bagaimana menghentikannya. Tugas-tugas yang menakutkan untuk rata-rata "web-surfer". Karya terbaru telah mengusulkan built-in mekanisme pada perangkat keras dan perangkat lunak inti dari sistem komputasi yang dapat memberikan pertahanan terhadap penyisipan kode berbahaya melalui pelanggaran buffer overflow [18] . Ini bisa secara signifikan mengurangi kemungkinan sistem yang dikompromikan sebagai korban sekunder untuk serangan DDoS.

Distributed Denial of Service: Taksonomi Serangan, Alat dan Penanggulangan

Strategi lain adalah bagi penyedia layanan jaringan dan administrator jaringan untuk menambah harga dinamis untuk penggunaan jaringan, untuk mendorong korban sekunder menjadi lebih aktif dalam mencegah diri dari menjadi bagian dari serangan DDoS. Jika penyedia memilih untuk mengenakan biaya yang berbeda untuk penggunaan sumber daya yang berbeda, mereka akan lebih baik mampu mengidentifikasi pengguna yang sah. Sistem ini akan membuat lebih mudah untuk mencegah penyerang memasuki jaringan [19] . Selain itu, korban sekunder yang mungkin akan dikenakan biaya untuk mengakses Internet dapat menjadi lebih sadar akan lalu lintas yang mereka kirim ke jaringan dan karenanya dapat melakukan baik pekerjaan kepolisian sendiri untuk memverifikasi bahwa mereka tidak berpartisipasi dalam serangan DDoS. 5.2 Mendeteksi dan Menetralisir Handlers Sebuah metode yang penting untuk menghentikan serangan DDoS adalah untuk mendeteksi dan menetralisir penangan. Salah satu teknik adalah untuk mempelajari protokol komunikasi dan pola lalu lintas antara penangan dan klien atau penangan dan agen, di memesan untuk mengidentifikasi node jaringan yang mungkin terinfeksi dengan kode handler. Karena ada DDoS jauh lebih sedikit penangan dikerahkan dari agen, mematikan beberapa penangan dapat membuat beberapa agen berguna sehingga menetralisir serangan DDoS. 5.3 Mendeteksi atau Mencegah Serangan Potensi Untuk mendeteksi atau mencegah serangan DDoS potensial yang sedang diluncurkan, egress filtering dan MIB (Manajemen Informasi Basis) statistik dapat digunakan. Egress filtering mengacu pada pemindaian IP header paket meninggalkan jaringan dan memeriksa untuk melihat apakah mereka memenuhi kriteria tertentu. Jika paket lulus kriteria, mereka diarahkan di luar jaringan sub-dari mana mereka berasal. Jika tidak, paket tidak akan dikirim. Sejak serangan DDoS sering menggunakan alamat IP palsu, ada adalah probabilitas yang baik bahwa sumber alamat DDoS paket serangan tidak akan mewakili alamat sumber dari berlaku pengguna pada jaringan sub-spesifik. Jika jaringan administrator menempatkan firewall di subjaringan untuk menyaring keluar lalu lintas tanpa sebuah berasal IP alamat dari subnet, banyak DDoS paket dengan IP palsu alamat akan dibuang. Lain metode makhluk dipelajari untuk mengidentifikasi ketika Serangan DDoS adalah terjadi menggunakan Gambar 5: Penanggulangan DDoS DDoS Penanggulangan Mendeteksi dan Menetralisir Handlers Mendeteksi / Mencegah Sekunder Korban Mendeteksi / Mencegah Potensi Serangan Mengurangi / Berhenti Serangan Membelokkan Serangan Pasca Serangan Forensik Individu Pengguna Layanan Jaringan Penyedia Jalan keluar Penyaringan MIB Statistika Instal Software Patch Built-in Pertahanan Dinamis Harga Honeypots Memuat

Distributed Denial of Service: Taksonomi Serangan, Alat dan Penanggulangan

Balancing Throttling Menjatuhkan Permintaan Lalu lintas Pola Analisa Paket Traceback Peristiwa Log Bayangan Nyata Jaringan Sumber Daya Belajar Menyerang Page 7 MIB statistik dari router. Router MIB data termasuk parameter yang menunjukkan paket yang berbeda dan routing statistik. Mengidentifikasi pola statistik dalam berbagai parameter selama serangan DDoS [20] terlihat menjanjikan untuk kemungkinan pemetaan ICMP, UDP, dan TCP paket statistik kelainan terhadap serangan DDoS tertentu. Bekerja di daerah ini bisa memberikan metode untuk mengidentifikasi ketika DDoS Serangan yang terjadi dan bagaimana untuk menyesuaikan parameter jaringan untuk mengkompensasi lalu lintas menyerang. 5.4 Mengurangi Dampak Serangan DDoS Load balancing dapat meningkatkan baik normal kinerja serta mengurangi serangan DDoS. Jaringan penyedia dapat meningkatkan bandwidth pada koneksi kritis untuk mencegah mereka turun dalam serangan. Selain itu, penyedia dapat meniru server dan memberikan tambahan failsafe perlindungan jika beberapa turun selama Serangan DDoS. Throttling adalah teknik lain yang diusulkan untuk mencegah server dari turun. The Fair Max-min server-centric router throttle metode [21] set up router yang mengakses server dengan logika untuk menyesuaikan (throttle) masuk lalu lintas ke tingkat yang akan aman untuk server untuk proses. Hal ini dapat mencegah kerusakan banjir ke server. Selain itu, metode ini dapat diperpanjang untuk mencekik DDoS menyerang lalu lintas dengan lalu lintas pengguna yang sah untuk hasil yang lebih baik. Ini Metode ini masih dalam tahap percobaan, namun sama teknik untuk throttling sedang dilaksanakan oleh jaringan operator. Kesulitan dengan throttling melaksanakan adalah bahwa sulit untuk lalu lintas memecahkan sah dari berbahaya lalu lintas. 5.5 Membelokkan Serangan Honeypots adalah sistem sengaja diatur dengan keamanan terbatas menjadi daya tarik bagi penyerang menyerang. Honeypots berfungsi untuk menangkis serangan dari memukul sistem mereka melindungi serta melayani sebagai sarana untuk memperoleh informasi tentang penyerang dengan menyimpan catatan kegiatan mereka dan belajar apa jenis serangan dan perangkat lunak penyerang menggunakan. Saat penelitian membahas penggunaan honeypots yang meniru semua aspek dari sah jaringan (seperti server web, server mail, klien, dll) dalam rangka untuk menarik penyerang potensial DDoS [22] . Tujuan dari jenis honeypot adalah untuk memikat penyerang untuk menginstal baik handler atau kode agen dalam honeypot, sehingga memungkinkan pemilik honeypot untuk melacak handler atau agen perilaku dan lebih memahami bagaimana mempertahankan terhadap serangan DDoS instalasi masa depan. 5.6 Pasca Serangan Forensik Jika lalu lintas data pola disimpan selama DDoS serangan, data ini dapat dianalisis pasca-serangan untuk mencari spesifik karakteristik dalam lalu lintas menyerang. Ini Data karakteristik dapat digunakan untuk memperbarui load balancing dan penanggulangan throttling untuk meningkatkan efisiensi dan kemampuan perlindungan. Selain itu, serangan DDoS lalu lintas Pola dapat membantu administrator jaringan mengembangkan baru teknik penyaringan untuk mencegah lalu lintas serangan DDoS memasuki atau meninggalkan jaringan mereka. Untuk membantu mengidentifikasi penyerang, traceback paket

Distributed Denial of Service: Taksonomi Serangan, Alat dan Penanggulangan

teknik diusulkan [23] . Konsep ini melibatkan penelusuran Internet lalu lintas kembali ke sumber itu (bukan yang dari sumber palsu IP address). Teknik ini membantu untuk mengidentifikasi penyerang. Selain itu, ketika penyerang mengirimkan berbagai jenis menyerang lalu lintas, metode ini membantu dalam memberikan sistem korban dengan informasi yang mungkin membantu mengembangkan filter untuk memblokir serangan. Sebuah model untuk mengembangkan Lalu Lintas Jaringan Tracking System yang akan mengidentifikasi dan melacak lalu lintas pengguna seluruh jaringan telah diusulkan [24] . Model ini bisa sangat sukses dalam jaringan tertutup lingkungan di mana sistem klien internal dapat sepenuhnya dikelola oleh administrator jaringan sentral yang dapat melacak individu pengguna akhir tindakan. Metode ini mulai pecah turun lebih luas jaringan [24] . Administrator jaringan juga dapat menyimpan event log dari informasi serangan DDoS untuk melakukan forensik analisis dan untuk membantu penegakan hukum di ajang penyerang melakukan kerusakan parah. Menggunakan Honeypots dan lainnya peralatan jaringan seperti firewall, packet sniffers, dan log server, penyedia dapat menyimpan semua peristiwa yang terjadi selama setup dan pelaksanaan serangan itu. Hal ini memungkinkan administrator jaringan untuk menemukan jenis serangan DDoS (atau kombinasi serangan) digunakan. 6 KESIMPULAN Serangan DDoS membuat sistem jaringan atau layanan tidak tersedia untuk pengguna yang sah. Serangan ini annoyance minimal, atau dapat serius merusak jika sistem kritis adalah korban utama. Kehilangan jaringan sumber daya menyebabkan kerugian ekonomi, keterlambatan kerja, dan hilangnya komunikasi antara pengguna jaringan. Solusi harus dikembangkan untuk mencegah serangan DDoS. Kami telah mengusulkan taksonomi serangan DDoS, alat, dan penanggulangan dalam makalah ini untuk membantu lingkup DDoS masalah dan untuk memfasilitasi lebih komprehensif solusi. Lebih rinci deskripsi dan contoh DDoS tersedia dalam [25] . Ada banyak alat serangan DDoS tersedia bagi penyerang. Alat ini mudah diimplementasikan dan dapat memiliki efek bencana. Ada metode mencegah serangan-serangan dari berhasil, namun banyak ini masih sedang dikembangkan dan dievaluasi. Sekarang penting, bahwa sebagai Internet dan penggunaan internet berkembang, lebih komprehensif solusi dan tindakan untuk Serangan DDoS dikembangkan, diverifikasi, dan diimplementasikan