Seminar Nasional Teknologi dan Rekayasa (SENTRA) 2018

ISSN (Cetak) 2527-6042

eISSN (Online) 2527-6050

ANALISIS DAMPAK SERANGAN DISTRIBUTED DENIAL OF

SERVICE PADA JARINGAN OPENFLOW
Putri Tri Mahesi1, Fauzi Dwi Setiawan Sumadi*2, Syaifuddin3
Teknik Informatika, Universitas Muhammadiyah Malang

Kontak Person:
Fauzi Dwi Setiawan Sumadi
Universitas Muhammadiyah Malang
E-mail: fauzisumadi@umm.ac.id

Abstrak
Paradigma jaringan komputer yang sering disebut dengan Software Defined Networking (SDN) memberikan kemudahan
bagi network administrator untuk mengatur traffic data karena adanya pemisahan antara layer kontrol dan pengiriman data.
Namun dengan pengimplementasian model sistem kontrol terpusat, maka kecenderungan untuk mendapatkan serangan akan
menjadi lebih besar, sebagai contoh adalah serangan DDoS. Penelitian ini bertujuan untuk menganalisis dampak serangan
DDoS yang memiliki target pada kontroler dan SDN-switch, guna mengetahui beban resource yang dihasilkan dengan
mengatur jumlah pengiriman paket per detiknya. Hasil dari penelitian menunjukkan bahwa penggunaan CPU dan memory
meningkat secara signifikan hanya dalam durasi 30 detik. Hal ini membuktikan bahwa perangkat yang ada dalam SDN
sangat rentan terhadap serangan DDoS.

Kata kunci: Controller, DDoS, SDN, SDN-switch

1. Pendahuluan
Software Defined Network (SDN) merupakan arsitektur yang cukup menjanjikan untuk jaringan
komputer saat ini [1]. Konsep dari SDN adalah memisahkan control plane dan data plane pada
perangkat yang digunakan dalam komunikasi jaringan, kemudian melakukan abstraksi dan
penyederhanaan kompleksitas dari komponen melalui interface [2]. Pemisahan antara control plane
dan data plane memiliki keuntungan dalam bidang kontrol dan pengelolaan jaringan oleh
administrator. Karena akan lebih mudah dalam melakukan perubahan pada manajemen jaringan dan
kemampuan program jaringan [3]. Karakteristik yang paling terlihat dalam hal ini adalah informasi
lalu lintas jaringan yang terkait dengan perangkat yang digunakan dalam jaringan dapat dikumpulkan.
Hal ini dapat memberikan keuntungan yang lebih besar untuk mendeteksi lalu lintas yang buruk [3].
Selain keuntungan dari SDN, pemisahan antara control plane dan data plane tentu memiliki
masalah, seperti permasalahan pada keamanan kontroler. Kontroler yang merupakan inti dari seluruh
jaringan komputer, bertanggung atas jadwal dan trafik pada jaringan tersebut [4]. Pada umumnya, ada
dua mode yaitu mode proaktif dan reaktif dimana aturan dapat dipasang pada perangkat switch [1].
Pada mode proaktif, tanpa melibatkan controller dalam memecah kebijakan jaringan menjadi aturan
arus dan memasangnya di switch [1]. Sedangkan untuk mode reaktif, controller menghitung dan
meng-install aturan yang hanya saat ada trigger tertentu yang telah ditetapkan pada layer aplikasi di
controller [1].
Namun, pada saat instalasi aturan reaktif dapat membuat pengontrol SDN dan switch rentan
terhadap ancaman serangan Distributed Denial of Service (DDoS) [1]. Serangan DoS adalah serangan
yang bersifat terdistribusi. Serangan DDoS biasanya juga berupa trafik palsu yang bertujuan untuk
mencegah host untuk mengakses dan mendapatkan layanan jaringan dari server. Serangan DDoS ini
bisa menyebabkan arsitektur SDN mengalami kemacetan atau juga mencegah kontroler memasang
flow rule untuk paket yang akan dikirim ke tujuan [3].
Penelitian tentang serangan terhadap kontroler dilakukan dengan serangan DoS yang
sebelumnya oleh Huseyin POLAT dan Onur POLAT yang berjudul “The Effect of DoS Attack on
ODL and POX SDN Controller” [3]. Penelitian ini dilakukan dengan menggunakan topologi jaringan
yang ada di MIninet-VM- dengan controller ODL dan POX, serta dengan dua Switch yang masing-
masing terkoneksi dengan 5 host dan dengan kecepatan koneksi 2Gps. Koneksi antara host dan Switch
di setting dengan koneksi sebesar 100Mbps. Dalam penelitian ini juga tool hping3 digunakan untuk
simulasi serangan DoS pada kontroler SDN. Pengujian dilakukan dengan menggunakan Iperf. Iperf
digunakan untuk mengukur Bandwidth, jitter, packet loss, dan parameter lainnya [3].

SENTRA 2018 V | 90
 Seminar Nasional Teknologi dan Rekayasa (SENTRA) 2018
ISSN (Cetak) 2527-6042
eISSN (Online) 2527-6050

Penelitian lain yang membahas mengenai serangan DoS pada SDN oleh Moreno Ambrosin,
Mauro Conti, Fabio De Gaspari, dan Nishanth Devarajan membahas mengenai CPSA, dimana
penelitian ini menganalisis Control Plane Saturation (CSPA) dengan menunjukkan bagaimana
penyerang dapat menyerang bahkan dengan kekuatan yang terbatas. Hasilnya, serangan terhadap
controller pada penggunaan CPU meningkat secara signifikan dari penggunaan CPU sebelum
menerima serangan.
Penelitian yang berkaitan tentang performansi controller oleh Idris Z. Bholehawa dan Upena D.
Dalal yang berjudul “Performance Analysis of SDN/OpenFlow Clontrollers: POX Versus Floodlight”
[5]. Penelitian ini menggunakan simulasi dari Mininet yang merupakan topologi dasar seperti minimal
topologi, topologi linear, topologi tree, dan lain-lain. Analisa pada performansi dari OpenFlow
kontroler dengan menganalisa round-trip delay antara host terakhir dan menganalisa throughput
maksimum dari host terakhir. Untuk menghitung waktu round-trip antar host, diperoleh dari perintah
“Ping” pada pesan permintaan ICMP untuk tes konektivitas [5].
Berdasarkan peneltian terdahulu [6-10] mengenai performa controller dan serangan DDoS pada
SDN yang pernah dilakukan, maka pada penelitian ini akan melakukan analisa khusus terkait performa
kontroler ONOS terhadap serangan DDoS TCP-SYN dan UDP Flood pada jaringan OpenFlow.
Implementasi dilakukan dengan menggunakan simulator mininet dan kontroler ONOS. Analisis
performa dari controller dilakukan pada data yang diperoleh dari pengujian persentase penggunaan
CPU dan memory dari kontroler dan switch serta jumlah flow rule dari OVS Kernel Switch.

2. Metode Penelitian
Penelitian ini berfokus pada serangan DDoS pada controller dan OVSKernel Switch. Beberapa
komponen yang diperlukan, yaitu kontroler ONOS, simulator mininet, tool scapy untuk manipulasi
paket jaringan dengan bahasa pemrograman Python dan tool TCPReplay. Komponen tersebut
dirancang dengan topologi pada Gambar 1.

Gambar 1 Topologi simulasi

Topologi simulasi mininet di atas menggunakan 1 buah remote SDN controller (ONOS), 3
OVSKernel Switch, dan 4 host yang terhubung dengan OVSKernel Switch. Simulasi dari serangan
DDoS dilakukan dengan menggunakan tool Scapy dan TCPReplay dari H1 yang bertujuan untuk
menyerang SDN Controller dan OVSKernel Switch dengan tipe paket TCP-SYN dan UDP Flood.
erangan dijalankan selama kurang lebih 30 detik dengan jumlah paket yang dikirimkan per detiknya
mulai dari 1000, 3000, hingga 5000 paket/detik. Sistem disimulasikan pada sebuah komputer dengan
spesifikasi, OS ubuntu 16.04 dan RAM sebesar 4 Gb.
Serangan yang dilakukan pada OVS Kernel Switch dilakukan oleh attacker di node H1 pada
topologi. Attacker akan mengirimkan dummy packet dengan alamat asal IP dan MAC secara acak
dengan tipe paket TCP-SYN dan UDP menuju ke H4. Paket yang dikirimkan akan diterima oleh
switch lalu diseleksi berdasarkan traffic selector dari flow rule yang telah ter-install. Jika terdapat
kecocokan, paket akan dieksekusi sesuai dengan treatment yang telah terdefinisi. Jika tidak, paket
akan dikirim ke controller dengan pesan OFPT_PACKET_IN agar kontroler dapat memetakan

SENTRA 2018 V | 91
 Seminar Nasional Teknologi dan Rekayasa (SENTRA) 2018
ISSN (Cetak) 2527-6042
eISSN (Online) 2527-6050

topologi jaringan sekaligus menyimpan informasi yang terdapat dalam header paket. Secara otomatis
kontroler akan meng-install flow rule dair paket baru yang masuk jika destinasi tujuan yang
didefinisikan dalam paket telah dikenali oleh kontroler. Selanjutnya kontroler akan mengirimkan
pesan OFPT_FLOW_MOD agar switch dapat menginstal flow rule berdasarkan instruksi kontroler.
Hal ini dapat menjadi celah keamanan yang dapat dimanfaatkan oleh penyerang untuk secara terus
menerus mengirimkan paket dummy yang memiliki destinasi yang telah tersimpan oleh kontroler,
sehingga tiap paket yang dikirim akan dianggap sebagai paket baru oleh kontroler yang akan
berdampak pada proses penginstalan flow rule untuk tiap paket yang masuk. Hal ini dapat
menyebabkan switch menjadi terbebani dengan datangnya paket dari attacker maupun dari kontroler.
Gambar 2 menunjukkan skema penyerangan DDoS pada switch.

(a). Serangan terhadap switch (b). Serangan terhadap kontroler

Gambar 2 Flowchart skema penyerangan DDoS

Skenario serangan yang dilakukan pada kontroler sama seperti yang dilakukan terhadap OVS
Kernel Switch yaitu bersumber dari node H1 pada topologi. Attacker akan mengirimkan dummy packet
dengan alamat IP dan MAC baik dari asal maupun destinasi secara acak dengan tipe paket TCP-SYN
dan UDP. Paket yang dikirimkan yang diterima oleh switch, akan diseleksi berdasarkan traffic
selector. Dikerenakan paket yang dikirimkan tidak terdapat dalam database kontroler maka paket
yang masuk melalui OFPT_PACKET_IN akan langsung diteruskan ke seluruh host yang ada dalam
topologi, kecuali attacker dengan perintah flood yang telah terenkapsulasi dalam
OFPT_FLOW_MOD.

3. Hasil dan Pembahasan

Berdasarkan rencana penelitian pada bab sebelumnya, telah dilakukan simulasi yang bertujuan
untuk menganalisis dampak serangan DDoS pada jaringan OpenFlow. Hasil yang didapatkan
menunjukkan bahwa serangan yang dilakukan oleh attacker dapat membani resource pada kontroler
maupun switch. Karena durasi penyerangan hanya dilakukan selama 30 detik maka dampak yang
ditimbulkan masih kurang signifikan. Namun potensi congestion dapat terjadi jika durasi diperpanjang
dan jumlah total paket per detik ditambah. Pada Gambar 3, hasil pada grafik skema serangan terhadap

SENTRA 2018 V | 92
 Seminar Nasional Teknologi dan Rekayasa (SENTRA) 2018
ISSN (Cetak) 2527-6042
eISSN (Online) 2527-6050

kontroler menunjukkan, seiring dengan bertambahnya jumlah paket per detik yang dikirimkan, maka
penggunaan sumber daya (CPU meningkat menjadi +-42% dan memory menjadi +-18%) pada layer
kontroler terus meningkat untuk kedua tipe serangan yang dijalankan. Dalam implementasi skema
serangan ke kontroler, seluruh host normal yang ada dalam topologi juga terkena dampak dari
serangan DDoS. Hal ini dapat dimungkinkan karena kontroler merespon serangan dengan
mengirimkan pesan OPFT_PACKET_OUT yang berisi paket DDoS dengan tujuan untuk
didistribusikan ke seluruh host yang ada dalam topologi, kecuali pengirim paket DDoS.

(a). Persentase penggunaan CPU saat serangan (b). Persentase penggunaan Memory saat serangan
Gambar 3 Hasil skema penyerangan DDoS pada kontroler

Hasil dengan pola yang sama muncul dalam pengujian terhadap switch. Namun penggunaan
sumber daya yang paling banyak pada sisi pemanfaatan memory tergambarkan pada Gambar 4. Hal ini
dimungkinkan muncul karena ada batasan dalam pendefinisian jumlah flow rule yang ada dalam tiap-
tiap switch untuk hanya dapat menampung 100 flow. Oleh karena itu, penggunaan memory dalam
switch menjadi meningkat karena secara otomatis jika ada batasan dalam penentuan flow maka jumlah
alokasi tetap dalam memory juga semakin berkurang. Hal ini dapat menjadi alasan mengenai
pertambahan persentase pemanfaatan memory dikarenakan jumlah paket yang dikirim tiap detiknya
semakin bertambah sehingga switch harus meng-install flow untuk tiap-tiap paket yang datang. Teknik
ini secara umum dapat dikategorikan sebagai serangan TCAM memory pada perangkat pengirim data
(forwarding plane). Hasil lain juga tampak pada perhitungan jumlah flow rule yang ter-install dalam
switch.

(a). Persentase penggunaan CPU saat serangan (b). Persentase penggunaan Memory saat serangan
Gambar 4 Hasil skema penyerangan DDoS pada switch

SENTRA 2018 V | 93
 Seminar Nasional Teknologi dan Rekayasa (SENTRA) 2018
ISSN (Cetak) 2527-6042
eISSN (Online) 2527-6050

Dalam Gambar 5, grafik menunjukkan angka 100 untuk tiap jumlah paket serangan yang
dikirim menandakan bahwa serangan DDoS mampu memenuhi kapasitas flow table yang ada dalam
switch yang akan berdampak pada user lain yang ingin mengakses resource dalam jaringan.

Gambar 5 Hasil perhitungan jumlah flow rule saat serangan

4. Kesimpulan
Berdasarkan dari data dan analisis hasil implementasi, dapat disimpulkan bahwa serangan
DDoS dapat berdampak baik terhadap switch maupun terhadap kontroler jika jumlah serangan per
detik terus meningkat dan durasi serangan yang panjang. Dampak serangan dapat mengganggu arus
data dari user legal yang ada dalam jaringan untuk mengakses data tertentu karena layer kontrol dan
pengiriman data sibuk melakukan processing data dummy yang dikirimkan oleh attacker. Dampak lain
yang dapat dianalisis adalah serangan DDoS terhadap kontroler memiliki efek domino kepada host-
host lain karena kontroler secara tidak langsung akan mengirimkan paket OFPT_PACKET_OUT
untuk mendistribusikan paket dummy yang masuk sesuai dengan alur program learning switch.
Sebagai saran dalam penelitian, pada tahapan selanjutnya dapat dirancang sebuah aplikasi reaktif yang
dapat mendeteksi, mengidentifikasi, dan sekaligus melakukan mitigasi terhadap serangan DDoS sesuai
dengan data serangan yang telah didapatkan pada penelitian ini.

Referensi
[1] A. S. S. S. Piu Bera, "Denial Of Service Attack in Software Defined Network," International
Conference on Computer Science and Network Technology (ICCSNT), Pp. 1-5, 2016.
[2] Idris Z. Bholebawa, "Performance Analysis of SDN/OpenFlow Controllers: POX Versus
Floodlight Upena D. Dalal," Wireless Pers Communications, Pp. 2-22, 2017.
[3] J. A. F. Mohamed Azab, "Towards Proactive SDN-controller Attack and Failure Resilience,"
International Conference on Computing, Networking and Communications (ICNC), Pp. 1-7,
2017.
[4] O. P. Huseyin POLAT, "The Effects of DoS Attacks on ODL and POX SDN Controllers,"
International Conference on Information Technology (ICIT) , Pp. 1-5, 2017.
[5] "Packet Injection Attack and Its Defense in Software-Defined Networks," IEEE Transactions
On Information Forensics And Security, Vol. 13, Pp. 695-705, 2018.
[6] H. W. C. H. C. L. Peng Zhang, "On Denial of Service Attacks in Software Defned Networks,"
IEEE Network , pp. 28-33, 2016.
[7] F. R. Y. Qiao Yan, "Distributed Denial of Service Attacks in Software-Defined Networking
with Cloud Computing," Security And Privacy In Emerging Networks, Pp. 52-59, 2015.
[8] U. T. W. H. S. Benjamin E. Ujcich, "ATTAIN: An Attack Injection Framework for Software-
Defined Networking," IEEE/IFIP International Conference on Dependable Systems and
Networks, Pp. 567-578, 2017.

SENTRA 2018 V | 94
 Seminar Nasional Teknologi dan Rekayasa (SENTRA) 2018
ISSN (Cetak) 2527-6042
eISSN (Online) 2527-6050

[9] "Amplified Distributed Denial of Service Attack in Software Defined Networking," IEEE, 2016.
[10] E. S. P. W. Y. Moh Wahyudi Putra, "Analisis Perbandingan Performansi Kontroller Floodlight,
Maestro, RYU, POX Dan ONOS Dalam Arsitektur Software Defined Network (SDN)," Jurnal
Pengembangan Teknologi Informasi dan Ilmu Komputer, Vol. 2, Pp. 3779-3787, 2018.

SENTRA 2018 V | 95