DDos Attack

Serangan DoS (bahasa Inggris: denial-of-service attacks') adalah jenis serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang tersebut.
Dalam sebuah serangan Denial of Service, si penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut:

Gak heran kalo liat banyak sekali di internet bahas masalah ini dan memberikan contoh bagaimana cara proteksi dari serangan model seperti ini,


1.Syn Flood Denial of Service

serangan ini pada umumnya emang sering dipake para attacker menyerang korban dengan semua koneksi TCP baik telnet,web,email,dll.attacker mulai mengirimkan sebuah SYN message untuk korban, kemudian korban merespon dengan SYN-ACK message buat attacker.Kemudian attacker melakukan establishing jaringan melalui respon dengan sebuah ACK message sehingga attacker dan korban saling terhubung dan data spesifik bisa saling bertukar antara attacker dan korban..logikanya seperti ini lah


attacker korban

SYN-------->(Listen)
<----------SYN-ACK (SYN_RCVD)
ACK--------->(Established)

Yang jadi masalah disini adalah apabila attacker gak merespon ACK message buat ke korban.sehingga di sebut half-open connection.dari inilah system memory korban akan membuat data struktur untuk menjelaskan semua koneksi yang terhambat (TCP backlog).Semakin banyak koneksi yang terhambat,semakin banyak pula data yang dibuat di system memory alias TCP backlog yang jika ukurannya tidak mampu menampung log bisa menyebabkan tidak mampu menerima beberapa koneksi baru yang lagi masuk(alias ping timeout) karena pending koneksi dengan waktu yang lama expired (ammount of time TCP driver). Yang susahnya lagi misal attacker pake IP-spoof dan ngirimin paket SYN untuk koneksi baru buat korban.

cara deteksi: gunain netstat

semua half open koneksi TCP akan terdeteksi lewat netstat dengan kata "SYN_RCVD" jika di OS windows.Jadi cukup lah pake command :

run - cmd - netstat -an | grep "SYN_RCVD" atau netstat -p tcp dan lain-lain sebagainya.


pencegahan : modifikasi TCP protocol. Tapi mungkin ini berbahaya dengan fungsi TCP/IP. ada beberapa metode agar gak berbahaya melalui

-Membesarkan size TCP backlog queue untuk half open koneksi sehingga mampu menampung paket-paket yang jumlahnya banyak

-Mengecilkan waktu TCP driver untuk menjaga half open koneksi sehingga apabila ACK message tidak dikirimkan oleh attacker dengan waktu cepat akan expired sehingga cepat juga untuk menerima koneksi baru yang masuk

-Enable TCP cookies ( cara praktis biar gak perlu ganti ukuran TCP backlog queue ).

-Pake Firewall ( cara paling praktis tergantung rule yang kita buat )


Tools : google aja ixixi dork: syn flood tool

2. UDP Flood Attack

UDP flood merupakan serangan yang bersifat connectionless, yaitu tidak memperhatikan apakah paket yang dikirim diterima atau tidak. flood attack akan menempel pada servis UDP chargen di salah satu mesin, yang untuk keperluan “percobaan” akan mengirimkan sekelompok karakter ke mesin lain, yang di program untuk meng-echo setiap kiriman karakter yang di terima melalui servis chargen.

pencegahan : filtering packet udp incoming dengan firewall


3. Smurf Icmp Attack

internet control message protocol (icmp) digunakan buat menghandel error dan pertukaran control messages.icmp digunakan untuk mengetahui bahwa machine di internet dalam keadaan respon.
sebuah ICMP echo request packet akan dikirim ke machine.jika machine merespon packet, machine akan mengirimkan ICMP echo reply packet atau dikenal dengan istilah "PING" command pada beberapa os dan network software seperti mIRC dll.
di IP NETWORK sebuah paket bisa di perintah sebuah machine atau broadcast. ketika paket dikirim untuk sebuah ip broadcast address dari sebuah machine di local network, packet itu akan terkirim untuk semua machine yang berada di network tsb.Ketika packet itu mengirim IP broadcast address dari machine lain yg tidak berasal local network,hal ini adalah broadcast untuk semua machine di network target ( routers ).
jadi pada intinya serangan smurf icmp attack adalah attacker membuat paket ini kemudian menggunakan ip spooff dan mencari network router yang tidak mem-filter broadcast traffic serta network yang ada respon terhadap multiple hosts.kemudian attacker mengirimkan echo request packet kepada korban-korban yang tidak memfilter paket echo request dan otomatis korban mereply packet tersebut. jika semua machine tidak ada filterisasi packet echo request di dalam network maka dengan jumlah ip spoof yang banyak,ditambah tools otomatis untuk menggunakan ip spooff atau multiple host tadi
untuk mengirimkan packet echo request secara bersamaan dan besar-besaran,maka korban-korban tadi akan merespon echo reply lebih cepat dan lebih banyak dari sebelumnnya. sehingga membuat traffic tidak stabil dan akhirnya down dikarenakan ada request echo packet yang membanjiri machine korban-korban yang tidak mampu untuk mereplynya.


pencegahan : filterisasi packet icmp yang incoming dengan menggunakan firewall agar bisa otomatis mendeteksi dan blocking serta tidak mereply

Tools : DDOSPING.exe,BOTNET,dll.

4.De-Authentication Attack

salah satu tehnik ngeflood klasik dengan de-authentification frame pada wireless pada IEEE 802.11 standard agar korban disconnect dan reconnect terus

tools : Aircrack-ng Suite

command : aireplay-ng --deauth 26 -h -b ath1

ket : --deatuh = spesific jumlah deauth frame untuk dikirimkan
-h = Target MAC address
-b = AP MAC address
ath1 = Injeksi Interface

tools : file2air

command : file2air -i ath0 -n 65000 -d -s -b -f packets/deauth.bin

ket : -i = injeksi interface
-n 65000 = spesific jumlah deauth frame yang akan dikirim
-d = destination address
-s = Source address
-b = BSSID
-f packets/deauth.bin = File untuk inject

tools : mdk2

command : wireless/mdk2-v31/mdk2 ath0 d

ket : ath0 = injeksi interface
d = perintah mdk2 untuk run deauth amok mode


5.QUeensland DOS

salah satu jenis serangan wireless yang apabila sebuah PC card ditempatkan didalam continuous transmit mode di sebuah spesifik channel, semua aktivitas wireless akan tertahan/denied. pastinya adapter yang dipakai korban akan menyetop semua konektivitas. sehingga korban harus reboot atau kembali bongkar pasang adapternya lagi.
hal ini ditemukan oleh Queensland University of technology.serangan ini berlaku cuma buat atheros chipset.

salah satu software yang pernah saya coba adalah wtembak, dapat di download di
http://www.ziddu.com/download/2653415/wTembak.rar.html

dan ketika saya memakai wtembak ini, terget saya langsung kepada gateway (gerbang pembuka inet) di salah satu warnet dekat rumah. tidak berselang lama dalam hitungan menit semua koneksi di client mengalami RTO!

cara memakainya adalah :
1.setelah anda download pastikan anda hafal tempat penyimpanan wtembaknya.sebagai contoh di drive C

2. setelah itu jalankan cmd dan ketikan c:\wtembak (spasi) iptarget (spasi) port yg digunakan. contoh c:\wtembak 192.168.1.1 3128 lalu tekan enter!

jika target anda tidak memiliki firewall yang cukup tangguh untuk menangani ini maka semua jaringan akan terhambat/sibuk/RTO!