Jual Viagra USA Asli Pfizer 100mg 082220549223 Obat Kuat Pria Alami
00256.ppt.pre4sentasi keamanan jaringan k
1. Deteksi Serangan Denial of Service
dan Distributed
Denial of Service
Berbasis Jaringan menggunakan
Snort IDS
PRESENTASI KEAMANAN JARINGAN
Effan Najwaini (NIM. 323015)
Yoga Dwitya Pramudita (NIM. 325527)
Ervin Kusuma Dewi (NIM. 323335)
Agus Halid (NIM. 325918)
2. Latar Belakang
Availability (Ketersediaan Layanan) merupakan salah satu aspek
keamanan jaringan komputer.
Availability sangat penting dan menentukan keuntungan perusahaan.
Availability selalu seiring dengan Vulnerability (kelemahan) pada sistem
/layanan yang diberikan.
3. Latar Belakang (cont)
Denial of service (DOS) dan Distributed Denial of Service (DDOS)
merupakan salah satu metode serangan pada sistem/jaringan
Strategi pengendalian DOS dan DDOS dilakukan dengan pendekatan
melalui Intrusion Deterction System (IDS) dan Network IDS (NIDS)
4. Karakteristik serangan
Bandwith Comsumption jaringan dibanjiri dengan paket data
SYN attack memanfaatkan celah pada protokol TCP Handsake
DNS attack mengacaukan database sebuah DNS server
5. Buffer Overflow
Buffer Overflow adalah salah satu
metode yang digunakan oleh
hacker untuk mengeksploitasi
sebuah sistem komputer yang
memiliki kelemahan pada salah
satu aplikasi yang digunakan oleh
sistem tersebut[20]
Bahaya Serangan Buffer
Overflow
Pemanipulasian dan pengrusakan
data stack dimemori sehingga suatu
program yang memerlukan data
tersebut akan mengalami gangguan
dalam prosesnya.
Apabila suatu program atau aplikasi
dijalankan maka instruksi-instruksi
dari program tersebut akan disimpan
dalam memori. Dengan
memanfaatkan eksploitasi buffer
overflow seorang penggangu dapat
memanipulasi instruksi-instruksi
pada memori dengan instruksi yang
diinginkan.
Jenis Serangan DOS
Cara Penanggulangan
Cara penanggunalangan bisa berupa
melakukan patch terhadap aplikasi
secara berkala.
6. SYN flooding attack
SYN flooding adalah serangan
yang menggunakan
Synchronization flood attack
pada pertukaran data yang
menggunakan three way
handshake
Bahaya Serangan
Bahaya dari serangan SYN
Flooding adalah koneksi akan
dibanjiri oleh permintaan syn
yang tak akan pernah direspon
oleh client dan dikirimkan secara
terus menerus sehingga user
yang sah tidak akan
mendapatkan jatah koneksi lagi
dari server karena sudah dipakai
selama serangan tanpa tahu
kapan server bisa mengakhiri
koneksi.
7. Cara Mencegah Serangan SYN Flooding
Meningkatkan ukuran buffer koneksi TCP untuk meningkatkan
jumlah percobaan pembuatan koneksi yang dapat dilakukan secara
simultan.
Mengurangi nilai waktu kapan sebuah percobaan pembuatan koneksi
TCP menjadi “time-out” .
Mengimplemetasikan paket filtering yang masuk ke dalam router,
dengan memblokir semua serangan yang menggunakan alamat palsu.
Memantau firewall dan mengkonfigurasi untuk memblokir serangan
SYN flood ketika hal tersebut terjadi..
8. ICMP flooding (Smurf)
Smurt Attack adalah sebuah
serangan yang dibangun dengan
menggunakan pemalsuan
terhadap paket-paket ICMP
echo Request, yakni sebuah jenis
paket yang di gunakan oleh
utilitas troubleshooting, PING.
Bahaya Serangan Smurf
Serangan ini sering bahaya
karena serangan ini seringnya
dilancarkan kepada sebuah
system atau jaringan yang
dimiliki oleh penyedia jasa
internet sehingga menyebabkan
masalah terhadap kinerja jaringan
dan tentu saja menolak akses
dari klien.
9. Cara Penanggulangan
Gunakan firewall dengan mengatur kebijakan filtering khususnya
terhadap ICMP echo untuk tidak meneruskan paket data yang tidak
diketahui dengan jelas asalnya.
Bisa juga memperbesar jumlah maksimum koneksi syn yang dapat
dilayanin server.
Smurf dapat diatasi dengan mendisable broadcast addressing router,
kecuali bila kita benar-benar membutuhkanya.
Membatasi trafik ICMP agar pesentasenya lebih kecil dari keseluruhan
trafik yang terjadi pada jaringan.
10. Jenis Serangan DDOS
Menurut [17], ada empat motif dari penyerang DDoS:
penyerang memeras korbannya dan mendapat keuntungan besar
dari uang tebusan.
Competitor: mempunyai tujuan untuk merusak bisnis dan reputasi
dari rivalnya.
Terrorist: berdasarkan motivasi ideologi untuk melakukan serangan.
Script kiddies: bertujuan hanya untuk menguji kemampuannya atau
untuk publisitas.
11. Kejadian DDOS dan Dampaknya
Tahun Serangan
1999 Serangan mematikan mematikan jaringan korban selama lebih dari dua hari
2000 Beberapa Situs web diserang yang menyebabkan untuk offline selama beberapa jam
2001 • Beberapa situs terkenal yang mengalami serangan yaitu Amazon, CNN, eBay, dan
Yahoo!.
• The Coordination Center of the Computer Emergency Response Team (CERT)
juga mengalami serangan
2002 Serangan DDoS terhadap root DNS server. Sebanyak 9 dari 13 root DNS server
diserang menggunakan serangan Ping Flood
2004 Serangan DoS terhadap Name Server di akamai’s Content Distrubution Paket
(ICMP), yang menyebabkan korban memblokir hampir semua akses ke beberapa
server selama lebih dari 2 jam. Situs yang terkena dampak termasuk Apple, Google,
Microsoft dan Yahoo!
Di inggris, beberapa situs judi telah di serang dengan Serangan DoS
12. Tahun Serangan
2005 Layanan internet Al Jazeera dibuat mati dengan serangan DoS
2006 Aplikasi text-tospeech translation yang berjalan di sistem Grid Computing Sun
Microsistem dinonaktifkan akibat serangan DoS
2008 Di indonesia serangan terjadi pada kaksus us. Serangan ini diduga merupakan
serangan balasan dari oknum yogyaFree. Sebelumnya Situs YogyaFree terkena
serangan deface yang diduga berasal dari oknum kaskus us. Serangan ini
meyebabkan kaksus korup sehingga administrator terpaksa mengunci thread-thread
di forum kaskus, kerusakan database cukup parah sehingga data yang dibuat
selama tahun 2008 tidak dapat dimunculkan.
14. Trinoo
Berupa trojan yang terdiri dari master dan agen (Master
dan daemon) yang saling berkoordinasi dengan
menggunakan paket UDP untuk melakukan serangan ke
target yang telah ditentukan
Ciri Skenario Serangan Trino :
1. Penyerang menggunakan komputer yang telah dikuasai untuk
melakukan kompilasi terhadap semua komputer yang ada di dalam
jaringan yang mungkin untuk dikuasai, dengan mengirim paket berisi
trojan master dan agen. Master dan agen akan disusupkan ke
dalam sistem pengguna sehingga pengguna tidak menyadari jika
komputernya telah terinfeksi master atau agen dari serangan DDos
trinoo. Satu master bisa mengkontrol lebih dari satu agen.
15. 2. Komunikasi antar master dan agen menggunakan paket UDP,
sehingga penyerang cukup mengirimkan paket UDP tertentu
melalui master untuk diteruskan ke agen.
3. Agen akan merespon pesan dari penyerang yang diteruskan oleh
master dengan mengirim paket serangan dalam jumlah yang banyak
ke komputer target.
16. Tribal Flood Network
Teknik serangan mirip dengan trinoo dengan menggunakan master dan
agen. Program saling berkoordinasi satu sama lain untuk melakukan
serangan terhadap komputer target dengan menggunakan ICMP echo,
TCP maupun UDP. Serangan yang dilakukan oleh TFN DDoS bisa
berupa SYN flood, icmp flood serta smurf.
17. Stacheldraht
Mirip dengan kedua pendahulunya, serangan yang dilakukan oleh
stacheldraht juga menggunakan SYN flood, icmp flood serta smurf. Hal
menarik dari stacheldraht adalah komunikasi antar agen dengan
master sudah menggunakan enkripsi data, sehingga paket yang dikirim
akan susah dikenali isinya. Hal ini akan menyulitkan administrator
untuk menentukan, apakah paket tersebut adalah paket komunikasi
yang sah atau paket komunikasi yang tidak seharusnya ada di dalam
jaringan, karena akan memicu terjadinya serangan oleh agen. Selain
enkripsi data saat komunikasi, stacheldraht juga memungkinkan agen
dan master untuk mengupdate kemampuan serangan atau fiturnya
secara otomatis jika penyerang berkehendak untuk mengadakan
perbaikan program.
19. Intrusion Detection System (IDS)
menganalisa paket data yang ada di jaringan dengan melakukan
capture dan membuat log berdasarkan ciri signature yang ada dalam
database engine pendeteksi.
Tujuan Intrusion Detection System (IDS)
Untuk menjaga :
- availability (ketersediaan)
- confidentiality (kerahasiaan)
- integrity (integritas)
20. Network Intrusion Detection System (NIDS)
Merupakan perangkat IDS yang dipasang pada satu jaringan tertentu
dan ditujukan untuk melakukan deteksi terhadap semua paket yang
masuk ke dalam alamat jaringan.
NIDS menyediakan layer pertahanan yang memonitor jaringan lalu
lintas untuk kegiatan yang mencurigakan yang telah ditentukan
polanya, dan administrator sistem akan mendapat peringatan ketika
ada lalu lintas paket berpotensi berbahaya terdeteksi (Roesch, 1999).
21. Tool Lightweight IDS dan NIDS
Snort
Snort (Roesch, 1999) adalah perangkat lunak IDS dan NIDS berbasis
opensource dan banyak digunakan untuk mengamankan sebuah
jaringan dari aktivitas yang berbahaya.
Cara Kerja Snort
Snort secara penampilan dalam bekerja mirip dengan tcpdump, tetapi
lebih fokus sebagai aplikasi sekuriti packet sniffing. Fitur utama snort
yang membedakan dengan tcpdump adalah payload inspection,
dimana dimungkinkan snort melakukan analisa payload berdasar rule
set yang disediakan. Roesch (1999).
23. Keterangan Proses Arsitektur Snort :
Packet Capture block: bertanggung jawab untuk melakukan capture terhadap
paket komunikasi dan mengrimkan nya ke blok selanjutnya untuk diproses,
Decoder block: bertanggungjawab melakukan analisa sintaks pada paket data
layer 2,3, dan 4 dari sebuah paket IP (MAC, IP dan TCP/UDP layer).
Preprocessors block: blok dimana banyak preprosesor di load pada saat
aplikasi snort dijalankan dan bertujuan untuk menganalisa protokol dari layer
TCP/UDP dengan menggunakan program C/C++ yang telah dibuat khusus.
Detection Engine block: adalah blok yang melakukan pengecekan berdasarkan
signature dan rule terhadap protokol dari layer TCP/UDP.
Output block: adalah blok yang mengatur output log yang bisa berupa log
berbasis teks, menggunakan Database, atau dalam bentuk lain sesuai dengan
pengaturan.
24. Rule Set pada Snort
pass, rule ini akan melakukan drop terhadap paket yang cocok dengan
pola deteksi.
log, menulis paket secara penuh pada rutin pencatatan log yang telah
didefinisikan oleh user di awal run time.
alert, menghasilkan sebuah even notifikasi menggunakan metode yang
telah ditentukan oleh pengguna pada command line, dan kemudian
mencatat log dari paket secara keseluruhan dengan menggunakan
mekanisme log untuk proses analisa lebih lanjut.
25. Penulisan rule menggunakan format seperti di bawah ini :
[ t i p e r u l e ] [ pr o t oko l ] [ alamat ip | any ( semua ) ] [ nomor
port | any ( semua ) ] [−> ( satu arah ) | <> ( dua arah ) ] [ pola de t
eks i , penandaan , pencatatan log , d l l ]
Contoh. l o g tcp any any −> 1 9 2 . 1 6 8 . 5 6 . 0 / 2 4 79
26. Snort versi 1.2.1 mempunyai 14 field opsi yang disediakan, antara lain
(Roesch, 1999):
content: Mencari berdasarkan payload paket untuk pola tertentu.
flags: Melakukan tes TCP flag untuk seting tertentu.
ttl: Cek header IP pada field TTL (time-to-live).
itype: Mencocokkan pada jenis field ICMP.
icode: Mencocokkan pada kode field ICMP.
minfrag: Kumpulan nilai ambang batas untuk ukuran fragmen IP.
id: Melakukan tes pada header IP untuk nilai yang ditentukan.
ack: Mencari header TCP acknoledgment number tertentu.
seq: Log untuk header TCP squence number tertentu.
logto: Log packet yang cocok dengan rule dengan menggunakan nama logfile yang
ditentukan.
dsize: Mencocokkan ukuran dari payload paket.
offset: Bagian yang menentukan sifat untuk opsi content, pengaturan offset kedalam
payload paket untuk memulai pencarian konten.
depth: Bagian yang menentukan sifat untuk opsi content, pengaturan banyak byte dari
posisi awal ke posisi akhir pencarian.
msg: Pengaturan pesan yang akan dikirim ketika ada even dihasilkan oleh paket.
27. Contoh. a l e r t tcp any any −> 1 9 2 . 1 6 8 . 5 6 . 0 / 2 4 80 ( content : "/
cgi−bin / phf " ; msg : "PHF probe ! " ; )
Kompleksitas pengecekan bisa bertambah sesuai dengan opsi yang
disediakan.
Contoh. a l e r t tcp any any −> 1 9 2 . 1 6 8 . 5 6 . 0 / 2 4 6000:6010 (msg
: "X t r a f f i c " ; )
Pengecekan dengan menggunakan batas bawah dan atas port.
Contoh. a l e r t tcp ! 1 9 2 . 1 6 8 . 5 6 . 0 / 2 4 any −> 1 9 2 . 1 6 8 . 5 6 . 0
/ 2 4 6000:6010 (msg : "X t r a f f i c " ; )
Pengecekan dengan menggunakan eksepsi terhadap alamat jaringan yang
diberikan.
Contoh. a l e r t tcp any any −> any any ( content : "AAAAAAAAAA" ;
msg : " ada serangan dengan t o o l p y l o r i s " ; c l a s s t y p e :
attempted−dos ; s i d : 1 0 0 0 0 0 2 ; rev : 1 ; )
28. Monitoring False Alert
Menganalisa log yang dihasilkan oleh even paket pada snort bisa dengan
langsung mengakses file log atau database tertentu yang telah dikonfigurasi
pada awal start time. Salah satu pendekatan yang bisa digunakan adalah
monitoring berbasis web dengan asumsi bahwa log dihasilkan dan disimpan
kedalam database.
29. Analisa yang bisa dilakukan bergantung dari alert yang dihasilkan, ini terkait erat dengan
definisi rule pada snort. Definisi rule adalah hal yang sangat kritis karena pengguna dalam
hal ini administrator jaringan dituntut jeli dalam menentukan jenis paket apa saja yang
dianggap sebagai ancaman.
30. Gambar diatas menunjukan bahwa, even yang dihasilkan tidak hanya sebatas
pada paket yang berbahaya, tetapi paket yang masih dianggap berbahayapun
akan terdeteksi dan tercatat.
31. Gambar diatas adalah detail signature yang telah dideteksi pada
paket yang berasal dari tool pyloris.
32. Gambar diatas adalah detail dari hasil pencatatan terhadap
paket yang telah terdeteksi oleh even.
33. Kesimpulan
Teknik serangan dos bisa dibedakan menurut ciri serangannya (membanjiri traffik,
SYN dengan membanjiri paket TCP, dan melakukan poisoning terhadap table DNS)
DoS bertujuan untuk menghabiskan sumberdaya dalam jaringan (server layanan)
Serangan DoS lebih efektif bila disebar kedalam jaringan yang dikenal sebagai DDoS.
Salah satu pendekatan penanggulangan terhadap DOS dan DDOS adalah denga
melakukan deteksi terhadap trafik data yang ada dalam jaringan dengan menggunakan
teknik IDS.
IDS akan lebih efektif jika dipadu dengan IPS, karena ada komponen yang melakukan
deteksi, dan ada komponen disisi lain yang melakukan preventif dengan berkolaborasi
dengan perangkat firewall.
False alert merupakan kekurangan dari IDS dan NIDS, karena analisa bergantung dari
database signature.
34. Saran
Pendekatan analisa bisa dilakukan dengan menambahkan teknik-teknik analisa
tambahan (semisal fuzzy detection) ke dalam blok engine detection sehingga akan
mempertajam analisa dengan mengurangi seminim mungkin false alert