ethical hacking5
TRANSCRIPT
Ethical Hacking
ILKOM 2009/2010
Denial Of Service
• DOS : serangan yang membuat sebuah
sistem menjadi tidak dapat digunakan,
dengan kata lain “slow down” sistem
dari pengguna sah dengan memenuhi
sumber daya.
• Tujuan dari DOS adalah untuk merusak
sistem atau mencegah pengguna yang
sah.
Serangan DOS
• attempt to "flood" a network, thereby
preventing legitimate network traffic.
(gateway)
• attempt to disrupt connections between
two machines, thereby preventing
access to a service. (switch)
• attempt to prevent a particular individual
from accessing a service. (individu)
• attempt to disrupt service to a specific
system or person. (sistem)
DoS Attack Classification
• Smurf
• Buffer Overflow Attack
• Ping of death
• Teardrop
• SYN
• Tribal Flow Attack
• Smurf
– Mengirimkan data besar dari ICMP echo
ke broadcast sebuah jaringan yang alamat
pengirim adalah alamat target atau korban.
– Hasil dari ICMP request akan
mendapatkan ICMP reply sebesar data
yang diminta dan mem-flooding menuju
alamat korban.
– Pembengkakan ping reply membuat
kewalahan jaringan korban.
• Buffer over– Buffer over flow terjadi jika program atau proses
berusaha untuk menyimpan data melebihi data di
dalam buffer (penyimpanan data sementara.
Sehingga dapat mengakibatkan masalah hingga
sistem error.
– Dalam serangan BOF, data yang dikirim
mengandung code dengan aksi tertentu dan
memberikan efek untuk melakukan instruksi
kepada komputer yang terserang. sprt
menghancurkan file, mengubah data atau
membuka informasi penting.
• Ping of Death Attack– The attacker deliberately sends an IP packet
larger than the 65,536 bytes allowed by the IP
protocol.
– Fragmentation allows a single IP packet to be
broken down into smaller segments.
– The fragments can add up to more than the
allowed 65,536 byte.
– freezes, reboots or simply crashes.
– The identity of the attacker sending the oversized
packet can be easily spoofed.
• Teardrop Attack– Permintaan IP yang besar kepada router untuk
membagi-bagi (fragment) nilainya. Kemudian
penyerang memberikan nilai membingungkan dari
fragment tersebut. SO yang menerima frament
paket tersebut bisa berakibat crash dan down.
– Paket yang diberikan yaitu paket UDP.
• SYN Attack
– Penyerang mem-flood korban dengan TCP
SYN paket dan korban akan
mengalokasikan sumber daya untuk
menerima koneksi yang diminta. Bila
permintaan koneksi terlalu banyak maka
koneksi korban akan kewalahan.
• Tribal flood Attack
– Pernah terjadi membuat down YAHOO in
2000.
– Merupakan paralel dari teardrop attact.
DDoS
• Distributed Denial Of Service : yaitu
multi sistem yang bersama-sama
melakukan serangan DOS sebuah
sistem target. Disebut juga dengan
“Zombie”.
• DDOS dapat berakibat pada shutdown,
denying system hingga crashing
hardware.
DDoS
• Dengan berkoordinasi skala besar
melakukan serangan terhadap service
yang terbuka pada sistem target
korban.
• Service yang menjadi target serangan
merupakan “korban utama”, sedangkan
sistem yang digunakan untuk
mengirimkan serangan disebut “korban
kedua”
DDoS
• Serangan ini sangat sulit di deteksi
karena terdiri dari berbagai IP dan sulit
dibendung karena dari ratusan/ribuan
IP.
• Bandwidth depletion attacks
– Flood attack
– UDP and ICMP flood
• Amplification attack
– Smurf and Fraggle attack
DOS tools
• Jolt2
– Causes the target machines to consume
100% of the CPU time processing illegal
packets. Serangan dapat menuju pada
mesin windows dan cisco router.
• Bubonic.c
– Bubonic.c is a DoS exploit that can be run
against Windows 2000 machines.
– Bekerja dengan mengirimkan paket TCP
secara acak sehingga meningkatkan load
target.
DDOS tools• Trinoo
– Meluncurkan denial flood UDP secara
bersama-sama dari berbagai sumber daya.
– Penyerangan menginstruksikan Trinoo
untuk mengirimkan DOS menyerang IP
atau byk IP.
– Master menginstruksikan daemon untuk
menyerang satu atau lebih IP pada periode
waktu tertentu, trinoo ini menginstall trinoo
agent ke dalam sistem agent yang diambil
alih melalui remote buffer overrun
exploitation.
DOS tools• Tribal Flood Network
– Melakukan serangan dengan mengandalkan
dua hal yaitu kemampuan seluruh bandwith
dan seluruh sumberdaya yang dimiliki
penyerang.
– Menggunakan UDP dan ICMP flooding seperti
halnya TCP SYN dan smurf.
• Stacheldraht
– Like TFN, it includes ICMP flood, UDP flood,
and TCP SYN attack options.
– Stacheldraht memiliki secure telnet connection
via symmetric key encryption antara penyerang
dengan sistem yang di ambil alih.
DDOS tools• Shaft
– Menggunakan komunikasi UDP antara
penyerang dan agent.
– Shaft memiliki statistik serangan sehingga
mengetahui bilamana target serangan
telah down dan menghentikan serangan.
– One interesting signature of Shaft is that
the sequence number for all TCP packets
is 0x28374839.
DDoS Countermeasures• Three essential components
– preventing secondary victims and
detecting, and neutralizing, handlers.
– detecting or preventing the attack,
mitigating or stopping the attack, and
deflecting the attack.
– the post-attack component which involves
network forensics.
• Selalu berhati-hati pada isu security dan
mencegah segala teknik dari semua
pengguna internet.
DDoS Countermeasures• Install anti-virus dan anti-trojan yang
selalu up-to-date sehingga mencegah
diinstallnya program agent.
• Scanning pada header paket IP yang
meninggalkan jaringan.
• Menempatkan firewall atau paket sniffer
di dalam sub-jaringan yang memfilter
semua lalu lintas jaringan keluar tanpa
keaslian IP address.
Network Defense• kunci pokok dalam keamanan jaringan:
– Authorization and availability
– Authentication
– Confidentiality
– Integrity
– Non-repudiation
Network Defense• Authorization and availability
– Jaminan bahwa kebutuhan akses dapat
terpenuhi, informasi dan komunikasi servis
siap di gunakan saat dibutuhkan. Dan
mengontrol yang mengakses.
• Authentication
– Jaminan identitas pengguna, peralatan dan
entitas lain sebagai prasyarat untuk dapat
mengakses sumber daya sistem.
Network Defense• Confidentiality
– Jaminan bahwa informasi untuk tetap rahasia dan
aman serta terbatas hanya dapat diakses oleh
pihak tertentu
• Integrity
– Prinsip yang memastikan data akurat secara terus
menerus yang tertuang di dalam jaringan. Yang
utama adalah integritas data secara kontinu.
• Non-repudiation
– Jaminan bahwa sebuah koneksi dan data terjalin
dari identitas pengirim dan penerima yang benar
dan terotorisasi.
Firewall• Metodologi firewall:
– Packet filtering
– Proxy server (application gateway)
• Packet filtering : menggunakan kemampuan router
utk membaca header paket. kemampuan untuk
memperbolehkan atau melarang sebuah paket
berdasarkan aturan header paket yang dibuat
administrator.
• Keterbatasan Packet filtering : hanya pada informasi
header dari paket secara general tetapi dari
command tertentu tidak dapat difilter.
Firewall• Proxy server : menggunakan software mencegat lalu
lintas jaringan, sehingga mampu memperbolehkan
atau melarang berdasarkan data aktual dalam paket.
Mengetahui komunikasi dan bukan hanya membuka
dan menutup port koneksi.
Firewall cannot do• Viruses : meskipun beberapa firewall dapat
mendetect virus traffic, tetapi byk macam virus yang
firewall tidak kenali. Selalu gunakan antivirus.
• Kesalahan pengguna : pengguna biasa melakukan
hal yang tidak diketahuinya. Membalas palsu, run
program dari teman dan merasa dirinya aman
padahal tidak.
• Koneksi kedua : jika pengguna menggunakan
koneksi modem sendiri pada komputernya maka
koneksi ini selain tidak berguna tp bila ada device
yang di sharing dengan komp mereka maka hal ini
dapat berakibat merugikan.
Firewall cannot do• Social engineering : jika pengguna memberikan
informasinya kepada orang lain maka hal ini tidak
biasa ditangani oleh firewall.
• Poor policy : tanpa aturan firewal yang baik maka
sulit utk mengkonfigurasi firewall dengan tepat sesuai
kebutuhan.
Firewall filter• Ip address filter : memfilter ip address pada spesifik
alamat yang dilarang. Tetapi ada kemungkinan
byknya filter yang harus dibuat dan memakan waktu
lama. Lebih efektif/efisien utk memfilter berdasarkan
ip address yang diperbolehkan. Walau penyerang
dapat melakukan spoof bila rule ip address yang
diperbolehkan tersebut telah di ketahui oleh
penyerang.
• TCP/UDP port number : menggunakan port
TCP/UDP untuk memfilter packet sangat efektif.
Seperti halnya ip address filter bahwa lebih mudah
untuk memfilter port yang diperbolehkan dari pada
filter port yang dilarang.
Firewall filter• Protocol filtering : selain fiter terhadap TCP/UDP juga
dilakukan filter terhadap header paket. Beberapa
diantaranya yaitu TCP, UDP, ICMP, IGMP.
• Fragmentation : pengembangan jaringan dan routing
maka adanya fragment terhadap file besar dengan
bandwith kecil dan paket file yang terkirim dibagi-
bagi. Fragment dengan nilai 0 yang diperbolehkan
karena mengandung info port number, protocol type,
ip address. Sedangkan fragment 1 tanpa info
tersebut di block.