bab ii tinjauan pustaka 2.1. intrusion ... - sinta.unud.ac.id 2.pdf · lapisan ketiga yaitu pada...
TRANSCRIPT
6
BAB II
TINJAUAN PUSTAKA
2.1. Intrusion Detection System (IDS)
Intrusion Detection System (IDS) adalah sebuah aplikasi perangkat lunak
atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam
sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas
inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan
mencari bukti dari percobaan intrusion (penyusupan).
Intrusion Detection System (IDS) mempunyai sistem kerja yang berbeda-
beda yaitu signature based, anomaly based, passive IDS, reactive IDS.
Kebanyakan produk IDS merupakan sistem yang bersifat pasif, hanya mendeteksi
intrusion yang terjadi dan memberikan peringatan kepada administrator jaringan
bahwa mungkin ada serangan atau gangguan terhadap jaringan. Beberapa vendor
juga mengembangkan IDS bersifat aktif yang dapat melakukan beberapa tugas
untuk melindungi host atau jaringan dari serangan ketika terdeteksi, seperti
menutup beberapa port atau memblokir beberapa IP Address.
Dalam melakukan tugasnya IDS (intrusion detection system) berada pada
lapisan jaringan OSI (Open System Interconnection) model yang terdapat pada
lapisan ketiga yaitu pada lapisan network dan sensor jaringan pasif yang secara
khusus diposisikan pada choke point pada jaringan metode dari lapisan OSI.
Gambar 2.1. Bagian IDS
7
2.1.1 Tipe Intrusion Detection System (IDS)
Pada dasarnya terdapat tiga macam IDS (intrusion detection system),
antara lain :
1. Network based Intrusion Detection System (NIDS) : IDS network - based
biasanya berupa suatu mesin yang khusus dipergunakan untuk melakukan
seluruh segmen dari jaringan. IDS network - based akan mengumpulkan paket
- paket data yang terdapat pada jaringan dan kemudian menganalisisnya serta
menentukan apakah paket - paket itu berupa suatu paket yang normal atau
suatu serangan atau berupa suatu aktivitas yang mencurigakan. IDS
memperoleh informasi dari paket - paket jaringan yang ada.
Gambar 2.2. Network Based IDS
Network – based IDS menggunakan raw paket yang ada di jaringan sebagai
sumber datanya dengan menggunakan network adapter sebagai alat untuk
menangkap paket - paket yang akan dipantau. Network adapter berjalan pada
mode prosmicuous untuk memonitor dan melakukan analisis paket - paket
yang ada yang berjalan di jaringan. Semua lalu lintas yang mengalir ke sebuah
jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau
penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam
8
segmen jaringan penting di mana server berada atau terdapat pada "pintu
masuk" jaringan.
2. Host based Intrusion Detection System (HIDS) : IDS host - based bekerja pada
host yang akan dilindungi. IDS jenis ini dapat melakukan berbagai macam
tugas untuk mendeteksi serangan yang dilakukan pada host tersebut.
Keunggulannya adalah pada tugas - tugas yang berhubungan dengan
keamanan file. Untuk melakukan analisis terhadap paket data IDS
memperoleh data informasi dari data yang dihasilkan oleh sistem pada sebuah
komputer yang diamati. Data host - based IDS biasanya berupa log yang
dihasilkan dengan memonitor sistem file, event, dan keamanan pada operating
sistem dan syslog pada lingkungan sistem operasi UNIX.
Gambar 2.3. Host Based IDS
3. Distributed Intrusion Detection System (DIDS) : sekumpulan sensor IDS yang
saling terhubung satu sama lain dan berfungsi sebagai remotet sensor (sensor
jarak jauh) yang memberikann pelaporan pada manajemen sistem terpusat.
9
2.1.2 IDS Didasarkan Pada Beberapa Terminologi
Pembagian jenis-jenis IDS yang ada saat sekarang ini didasarkan pada
beberapa terminologi, di antaranya :
1. Arsitektur sistem. Dibedakan menurut komponen fungsional IDS (intrusion
detection system), bagaimana diatur satu sama lainnya.
a. Host-Target Co-Location : IDS dijalankan pada sistem yang akan
dilindungi. Kelemahan sistem ini adalah jika penyusup berhasil
memperoleh akses ke sistem maka penyusup dapat dengan mudah mencuri
informasi dari client.
b. Host-Target Separation : IDS diletakkan pada komputer yang berbeda
dengan komputer yang akan dilindungi.
2. Tujuan Sistem. Ada dua bagian tujuan intrusion detection system (IDS),
diantaranya adalah :
a. Tanggung jawab : adalah kemampuan untuk menghubungkan suatu
kegiatan dan bertanggung jawab terhadap semua yang terjadi, diantaranya
adalah serangan.
b. Respons : suatu kemampuan untuk mengendalikan aktivitas yang
merugikan dalam suatu sistem komputer.
3. Strategi Pengendalian. Pada tahap ini IDS dibedakan berdasarkan yang
dikendalikan, baik input maupun outputnya. Jenis-jenis IDS menurut
terminologi ini adalah :
a. Terpusat : seluruh kendalai pada IDS, baik monitoring, deteksi, dan
pelaporannya dikendalikan secara terpusat.
b. Terdistribusi Parsial : monitoring dan deteksi dikendalikan dari node lokal
dengan hierarki pelaporan pada satu atau beberapa pusat lokasi.
c. Terdistribusi Total : monitoring dan deteksi menggunakan pendekatan
berbasis agen, dimana keputusan respons dibuat pada kode analisis.
4. Waktu. Waktu dalam hal ini berarti waktu antara kejadian, baik monitoring
atau analisis. Jenisnya adalah :
a. Interval-Based (Batch Mode) : Informasi dikumpulkan terlebih dahulu,
kemudian dievaluasi menurut interval waktu yang telah ditentukan.
10
b. Realtime (Continues) : IDS memperoleh data terus menerus dan dapat
mengetahui bahwa penyerangan sedang terjadi sehingga secara cepat dapat
melakukan respons terhadap penyerangan
2.1.3 IDS Dalam Melakukan Analisa Paket Data
Dilihat dari cara kerja dalam menganalisa apakah paket data dianggap
sebagai penyusupan atau bukan, IDS dibagi menjadi 2 :
1. Signature based atau Misuse detection
IDS ini dapat mengenali adanya penyusupan dengan cara menyadap paket
data kemudian membandingkannya dengan database rule IDS (berisi
signature - signature paket serangan). Jika paket data mempunyai pola
yang sama dengan (setidaknya) salah satu pola di database rule IDS, maka
paket tersebut dianggap sebagai serangan, dan demikian juga sebaliknya,
jika paket data tersebut sama sekali tidak mempunyai pola yang sama
dengan pola di database rule IDS, maka paket data tersebut dianggap
bukan serangan.
2. Behavior based atau anomaly based
IDS ini dapat mendeteksi adanya penyusupan dengan mengamati adanya
kejanggalan - kejanggalan pada sistem, atau adanya penyimpangan -
penyimpangan dari kondisi normal, sebagai contoh ada penggunaan
memori yang melonjak secara terus menerus atau ada koneksi parallel dari
1 buah IP dalam jumlah banyak dan dalam waktu yang bersamaan.
Kondisi - kondisi diatas dianggap kejanggalan yang kemudian oleh IDS
jenis anomaly based dianggap sebagai serangan.
2.1.4 Fungsi IDS (Intrusion Detection System)
Beberapa alasan untuk memperoleh dan menggunakan IDS (intrusion
detection system) (Ariyus, 2007), diantaranya adalah :
1. Mencegah resiko keamanan yang terus meningkat, karena banyak
ditemukan kegiatan ilegal yang diperbuat oleh orang-orang yang tidak
bertanggung jawab dan hukuman yang diberikan atas kegiatan tersebut.
11
2. Mendeteksi serangan dan pelanggaran keamanan sistem jaringan yang
tidak bisa dicegah oleh sistem umum pakai, seperti firewall. Sehingga
banyak menyebabkan adanya lubang keamanan, seperti user yang tidak
memahami sistem, sehingga jaringan dan protokol yang mereka gunakan
memiliki celah dari keamanannya dan membuat kesalahan dalam
konfigurasi atau dalam menggunakan system
3. Mencegah resiko keamanan yang terus meningkat, karena banyak
ditemukan kegiatan ilegal yang diperbuat oleh orang - orang yang tidak
bertanggung jawab.
4. Mengamankan file yang keluar dari jaringan sebagai pengendali untuk
rancangan keamanan dan administrator, terutama bagi perusahaan yang
besar.
5. Menyediakan informasi yang akurat terhadap ganguan secara langsung,
meningkatkan diagnosis, recovery, dan mengoreksi faktor-faktor penyebab
serangan.
2.1.5 Peran IDS (Intrusion Detection System)
IDS (intrusion detection system) juga memiliki peran penting untuk
mendapatkan arsitektur defence-in-depth (pertahanan yang mendalam) dengan
melindungi akses jaringan internal, sebagai tambahan dari parameter defence. Hal
- hal yang dilakukan IDS (intrusion detection system) pada jaringan internal
adalah sebagai berikut: (Ariyus, 2007:34)
1. Memonitor akses database : ketika mempetimbangkan pemilihan kandidat
untuk penyimpanan data, suatu perusahaan akan memilih database sebagai
solusi untuk menyimpan data - data yang berharga.
2. Melindungi e-mail server : IDS (intrusion detection system) juga berfungsi
untuk mendeteksi virus e-mail seperti QAZ, Worm, NAVIDAD Worm,
dan versi terbaru dari ExploreZip.
3. Memonitor policy security : jika ada pelanggaran terhadap policy security
maka IDS (intrusion detection system) akan memberitahu bahwa telah
terjadi sesuatu yang tidak sesuai dengan aturan yang ada.
12
2.1.6 Keuntungan dan Kekurangan IDS
Berikut ini beberapa keuntungan dari penerapan IDS pada sistem jaringan
komputer :
1. Secara efektif mendeteksi aktifitas penyusupan, penyerangan atau tindak
pelanggaran lainnya yang mengacam aset atau sumber daya sistem
jaringan.
2. IDS membuat administrator diinformasikan tentang status keamanan dan
secara berkesinambungan mengamati traffic dari sistem jaringan komputer
dan secara rinci menginformasikan setiap event yang berhubungan dengan
aspek keamanan.
3. IDS menyediakan informasi akurat terhadap gangguan secara langsung,
meningkatkan diagnosis, pemulihan, mengoreksi sejumlah faktor
penyebab intursi atau serangan
4. Sejumlah file log yang berisi catatan aktifitas kinerja IDS adalah bagian
penting dari forensik komputer yang dapat digunakan sebagai sumber
informasi untuk proses penelusuran aktivitas serangan yang terjadi,
analisis dan audit kinerja sensor IDS serta sebagai barang bukti untuk
tindakan hukum.
Ada pula kekurangan yang terdapat pada penerapan sensor IDS, sebagai
berikut :
1. Rentang waktu antara pengembangan teknik penyerangan atau intrusi dan
pembuatan signature, memungkinkan penyerang untuk mengeksploitasi
IDS yang tidak mengenali jenis serangan spesifik. Karena signature tidak
dapat dibuat tanpa mempelajari traffic serangan.
2. False Negative adalah serangan sesungguhnya yang tidak terdeteksi maka
tidak ada peringatan atau notification mengenai peristiwa ini.
3. False Positive adalah kesalahan IDS dalam mendeteksi traffic network
normal sebagai suatu serangan. Jika terjadi dalam jumlah besar
berkemungkinan menutupi kejadian intrusi sesungguhnya.
13
2.2 Snort
IDS SNORT adalah open source yang berbasis jaringan sistem deteksi
intrusi (NIDS) yang memiliki kemampuan untuk melakukan analisis lalu lintas
secara real - time dan paket logging pada jaringan Internet Protocol (IP). Snort
melakukan analisis protokol, mencari konten, dan pencocokan konten. Program
ini juga dapat digunakan untuk mendeteksi probe atau serangan. Snort sudah di
download lebih dari 3 juta orang. Hal ini menandakan bahwa snort merupakan
suatu intrusion Detection System yang dipakai banyak orang di dunia. Snort bisa
di operasikan dengan tiga mode (Ariyus, 2007) yaitu:
1. Paket sniffer : Untuk melihat paket yang lewat di jaringan.
2. Paket logger : Untuk mencatat semua paket yang lewat di jaringan
3. Network Intrusion Detection System (NIDS.) : deteksi penyusupan pada
netwaork : pada mode ini snort akan berfungsi untuk mendeteksi serangan
yang dilakukan melalui jaringan computer.
Cara kerja Snort adalah dengan menggunakan deteksi signature pada lalu
lintas jaringan mencocokkan lalu lintas jaringan dengan daftar signature serangan
yang disebut Snort rules. Jika aksi atau paket yang melintasi jaringan itu sesuai
dengan rules, maka Snort engine akan menganggapnya sebagai intrusi dan dicatat
pada log kemudian disimpan di database.
2.2.1 Komponen – komponen Snort
Snort memiliki komponen yang bekerja saling berhubungan satu dengan
yang lainnya seperti berikut ini. (Ariyus, 2007:146) :
1. Rule Snort. Merupakan database yang berisi pola-pola serangan berupa
signature jenis-jenis serangan. Rule Snort IDS ini, harus di update secara
rutin agar, ketika ada suatu teknik serangan yang baru Snort bisa
mendeteksi karena jenis atau pola serangan tersebut sudah ada pada rule
snort.
2. Snort Engine. Merupakan program yang berjalan sebagai proses yang
selalu bekerja untuk membaca paket data dan kemudian
membandingkannya dengan rule Snort.
14
3. Alert. Merupakan catatan serangan pada deteksi penyusupan, jika snort
engine menyatakan paket data yang lewat sebagai serangan, maka snort
engine akan mengirimkan alert berupa log file. Untuk kebutuhan analisa,
alert dapat disimpan di dalam database.
4. Preprocessors. Merupakan suatu saringan yang mengidentifikasi berbagai
hal yang harus diperiksa seperti Snort Engine. Preprocessors berfungsi
mengambil paket yang berpotensi membahayakan, kemudian dikirim ke
Snort engine untuk dikenali polanya.
5. Output Plug - ins : suatu modul yang mengatur format dari keluaran untuk
alert dan file logs yang bisa diakses dengan berbagai cara, seperti console,
extern files, database, dan sebagainya.
2.2.2 Fitur – fitur Snort
Menurut Wardhani (2007) Snort memiliki fitur - fitur dan kemudahan
dalam melakukan pendekesiaan suatu serangan. Fitur - fitur tersebut adalah
sebagai berikut :
1. Bersifat Opensource, karena itu maka penggunaannya betul - betul gratis,
Snort merupakan pilihan yang sangat baik sebagai NIDS ringan yang cost
- effective dalam suatu organisasi yang kecil jika organisasi tersebut tidak
mampu menggunakan NIDS commercial yang harganya paling sedikit
ribuan dolar US. Dari sisi harga, jelas tidak ada NIDS lain yang mampu
mengalahkan Snort.
2. Karena Snort bersifat opensource, maka penggunaannya betul - betul
bebas sehingga dapat diterapkan dalam lingkungan apa saja. Kode
sumbernya pun bisa didapatkan sehingga Snort bisa secara bebas
dimodifikasi sendiri sesuai keperluan. Selain itu, karena Snort merupakan
software yang bebas, maka telah terbentuk suatu komunitas Snort yang
membantu memberikan berbagai macam dukungan untuk penggunaan,
pengembangan, penyempurnaan, dan perawatan software Snort itu.
3. Snort memiliki bahasa pembuatan rules yang relatif mudah dipelajari dan
fleksibel. Ini berarti bahwa pengguna dengan mudah dan cepat membuat
15
berbagai rules baru untuk mendeteksi tipe-tipe serangan yang baru. Selain
itu, berbagai rule khusus dapat dibuat untuk segala macam situasi.
4. Snort sudah memiliki sebuah database untuk berbagai macam rules, dan
database ini secara aktif terus dikembangkan oleh komunitas Snort
sehingga tipe-tipe serangan yang baru dapat dicatat
5. Snort merupakan software yang ringkas dan padat, sehingga tidak
memakan banyak resources tetapi cukup canggih dan fleksibel untuk
digunakan sebagai salah satu bagian dari NIDS yang terpadu (Integrated
NIDS). selain itu, snort bersifat lighweight, maka penerapannya juga
mudah dan cepat.
6. Snort dapat melakukan logging langsung ke sistem database (MySQL).
7. Snort sebagai NIDS dapat menyembunyikan dirinya dalam jaringan
computer sehingga keberadaannya tidak bisa terdeteksi oleh komputer
mana pun. Ini disebut sebagai stealth mode
2.2.3 Snort Rules
Snort Rules merupakan database yang berisi pola-pola serangan berupa
signature jenis-jenis serangan. Snort Rules IDS ini, harus diupdate secara rutin
agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat
terdeteksi. Sebagai contoh rule pada Snort sebagai berikut : alert tcp
$EXTERNAL NET alert tcp $EXTERNAL NET any -> $HTTP SERVERS
$HTTP PORTS (msg:"WEB-IIS unicode directory traversal attempt"; flow:to
server, established; content:¨/..%c0%af../"; nocase; classtype:web-application-
attack; reference:cve, CVE-2000-0884; sid:981; rev:6;).
Rule di atas terdiri dari 2 bagian: header dan option. Bagian ”alert tcp
$EXTERNAL NET any -¿ $HTTP SERVERS $HTTP PORTS” adalah header
dan selebihnya merupakan option. Dari rule-rule seperti di ataslah IDS Snort
menghukumi apakah sebuah paket data dianggap sebagai penyusupan / serangan
atau bukan, paket data dibandingkan dengan rule IDS, jika terdapat dalam rule,
maka paket data tersebut dianggap sebagai penyusupan / serangan dan demikian
juga sebaliknya jika tidak ada dalam rule maka dianggap bukan penyusupan /
16
serangan. Setelah menginstal Snort engine dan rulesnya, maka langkah
selanjutnya adalah mengkonfigurasi Snort engine. Snort engine dimodifikasi
sesuai kebutuhan dan spesifikasi jaringan yang akan dipindai oleh Snort.
Cara kerja Snort rules adalah Rules dibaca ke dalam struktur atau rantai
data internal kemudian dicocokkan dengan paket yang ada. Jika paket sesuai
dengan rules yang ada, tindakan akan diambil, jika tidak paket akan dibuang.
Tindakan yang diambil dapat berupa logging paket atau mengaktifkan alert.
2.2.4 Flowchart Snort
Flowchart membahas lebih dalam mengenai cara kerja snort. Network
traffic yang berisi paket data, akan diambil oleh Snort decoder. Snort decoder
mendecode paket ke dalam data struktur snort untuk dianalisis. Kemudian paket
data diteruskan ke preprocessor untuk dilihat paket header-nya dan informasi
didalamnya. Kemudian paket data diteruskan menuju detection engine. Dengan
menggunakan rule, detection engine membandingkan antara paket data dan rule
dan memutuskan apakah paket data bisa lewat atau akan di drop. Output engine
memberikan hasil dari detection engine dalam format terpisah seperti log file dan
database. Berdasarkan hasil dari detection engine, snort bisa mengambil tindakan
lebih lanjut untuk merespon paket tersebut.
Gambar 2.4. Flowchart Snort
17
2.3 BASE (Basic Analysis Security Engine)
BASE adalah sebuah interface web untuk melakukan analisis dari intrusi
yang snort telah deteksi pada jaringan. (Orebaugh, 2008:217) BASE ditulis oleh
kevin johnson adalah program analisis sistem jaringan berbasis PHP yang mencari
dan memproses database dari security event yang dihasilkan oleh berbagai
program monitoring jaringan, firewall, atau sensor IDS. Berikut ini adalah
beberapa kelebihan dari BASE yaitu :
1. Program berbasis web yang memungkinkan implementasi antar platform.
2. Log - log yang sulit untuk dibaca akan menjadi mudah untuk dibaca.
3. Data - data dapat dicari sesuai dengan kriteria tertentu.
4. Open source yang merupakan perintis antarmuka GUI untuk snort dan
paling banyak digunakan oleh pengguna IDS. BASE merupakan
rekomendasi dari Snort.org sendiri.
5. Multi language, antarmuka memilki beberapa bahasa selain bahasa Inggris
dan layanan peringatan yang real time.
6. Dapat diimplementasikan pada IDS manapun selain snort.
Gambar 2.5. BASE (Basic Analysis Security Engine)
Berikut ini adalah beberapa Fitur yang ada pada BASE (Basic Analysis
Security Engine) :
1. Ditulis dalam bahasa PHP
2. Menganalisa log intrusi
3. Mendisplay informasi database dalam bentuk web
18
4. Mengenerate graph dan alert berdasarkan sensor, waktu rule dan protocol
5. Mendisplay summary log dari semua alert dan link untuk graph
6. Dapat diatur berdasarkan kategori grup alert, false positif dan email
2.4 DOS (Denial Of Services)
Denial of service (DoS) adalah sebuah metode serangan terhadap sebuah
komputer atau server di dalam jaringan internet dengan cara menghabiskan
sumber daya (resource) sebuah peralatan jaringan komputer sehingga layanan
jaringan komputer menjadi terganggu. Serangan ini bertujuan untuk mencegah
pengguna mendapatkan layanan dari sistem. Denial of Service (DOS) dapat
menghambat kerja sebuah layanan (servis) atau mematikannya, sehingga user
yang berhak atau berkepentingan tidak dapat menggunakan layanan tersebut.
Denial of Service merupakan serangan yang sulit diatasi, hal ini disebabkan oleh
resiko layanan publik dimana admin akan berada pada kondisi yang
membingungkan antara layanan dan kenyamanan terhadap keamanan. Seperti
yang kita tahu, keyamanan berbanding terbalik dengan keamanan. Maka resiko
yang mungkin timbul selalu mengikuti hukum ini.
Gambar 2.6. Serangan DOS (Denial Of Services)
Serangan DOS ini telah ada pada tahun 1988. Target - target serangan
DOS biasanya adalah server - server ISP, Internet Banking, E-commerce, Web
perusahaan, dan pemerintah. Denial of Service dikategorikan sebagai serangan
SYN (SYN attack) karena menggunakan packet SYN (synchronization) pada
19
waktu melakukan 3-way handshake untuk membentuk suatu hubungan berbasis
TCP/IP. Proses yang terjadi dalam 3-way handshake adalah sebagai berikut :
1. Client mengirimkan sebuah paket SYN ke server atau host fungsinya untuk
membentuk hubungan TCP/IP antara client dan host.
2. Host menjawab dengan mengirimkan sebuah paket SYN/ACK
(Synchronization / Acknowledgement) kembali ke client.
3. Client menjawab dengan mengirimkan sebuah paket ACK kembali ke
host. Dengan demikian, hubungan TCP/IP antara client dan host terbentuk
dan transfer data bisa dimulai.
Dalam Denial of Service, komputer penyerang yang bertindak sebagai
client mengirim sebuah paket SYN yang telah direkayasa ke suatu server yang
akan diserang. Paket SYN yang telah direkayasa ini berisikan alamat asal (source
address) dan nomor port asal (source port number) yang sama dengan alamat
tujuan (destination address) dan nomor port tujuan (destination port number).
Pada waktu host mengirimkan paket SYN/ACK kembali ke client, maka terjadi
suatu infinite loop karena sebetulnya host mengirimkan paket SYN/ACK tersebut
ke dirinya sendiri. Host atau server yang belum terproteksi biasanya akan crash
oleh serangan ini.
Gambar 2.7. Proses 3-way handshake
Serangan DoS dapat dilakukan dengan mengirimkan query sebanyak
mungkin hingga target tidak bisa lagi menanganinya sehingga target lumpuh. Cara
20
lain melakukan serangan DoS adalah dengan mengirimkan data rusak atau data
yang tidak mampu di tangani oleh server target sehingga server tersebut menjadi
hang (tidak bisa berfungsi sebagaimana mestinya dan perlu di restart ulang).
Dalam sebuah serangan Denial of Service, penyerang akan mencoba untuk
mencegah akses seorang pengguna terhadap sistem atau jaringan dengan
menggunakan beberapa cara, yakni sebagai berikut :
1. Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas
jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat
masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic
flooding.
2. Membanjiri jaringan dengan banyak request terhadap sebuah layanan
jaringan yang disedakan oleh sebuah host sehingga request yang datang
dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik
ini disebut sebagai request flooding.
3. Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar
dengan menggunakan banyak cara, termasuk dengan mengubah informasi
konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan
server.
Tujuan serangan ini adalah membuat server shutdown, reboot, crash, “not
responding”. Jadi serangan ini menghasilkan kerusakan yang sifatnya persisten
artinya kondisi DoS akan tetap terjadi walaupun attacker sudah berhenti
menyerang, server baru normal kembali setelah di-restart/reboot.
Beberapa contoh Serangan DoS adalah :
1. Ping of Death : ping ini di gunakan untuk memeriksa utility ping untuk
mengetahui ip dan jenis host yang di gunakan. ping ini sering kita jumpai
di CMD pada Os windows. serangan ini sudah tidak terlalu ampuh karena
proses yang cukup lama dan website - website juga melakukan update
secara berkala.
2. Buffer Overflow mengirimkan data yang melebihi kapasitas system,
misalnya paket ICMP yang berukuran sangat besar.
21
3. ICMP Flooding : Mengirimkan paket ICMP secara berlebihan dan
mengakibatkan mesin crash dan tidak dapat melayani request TCP/IP.
4. Udp Flood : serangan yang membuat admin merasa terkejut karena
serangan ini korban mendapatkan servernya yang terkena hang pada
serangan ini. penyerang juga selalu menyembunyikan identitasnya agar
sulit di lacak.
5. Syn Flooding : serangan ini mencari kelemahan dalam sistem protocol.
serangan ini dengan mengirimkan Syn kepada komputer target sehingga
korban terus menerima paket - paket data yang tidak di inginkan.
6. Smurf Attack : Serangan yang memanfaatkan pihak ke tiga di mana si
hacker menargetkan kepada si korban melalui daemon-daemon dari tools
flooder.
2.4.1 Karakteristik Serangan DoS (Denial Of Services)
DoS attack ditandai oleh usaha attacker untuk mencegah legitimate user
dari penggunaan resource yang diinginkan. Cara DoS attack :
1. Mencoba untuk membanjiri (flood) network, dengan demikian mencegah
lalu lintas yang legitimate pada network.
2. Mencoba mengganggu koneksi antara dua mesin, dengan demikian
mencegah suatu akses layanan.
3. Mencoba untuk mencegah individu tertentu dari mengakses layanan.
4. Mencoba untuk mengganggu layanan sistem yang spesifik atau layanan itu
sendiri.
2.5 IP-Tables
Ip-tables adalah suatu tools dalam sistem operasi linux yang berfungsi
sebagai alat untuk melakukan filter (penyaringan) terhadap (trafic) lalulintas data.
Secara sederhana digambarkan sebagai pengatur lalulintas data. IP-Tables
merupakan firewall bawaan Linux. Ip-tables mampu melakukan filtering dari
layer transport sampai layer physical. Dengan iptables inilah kita akan mengatur
semua lalulintas dalam komputer kita, baik yang masuk ke komputer, keluar dari
komputer, ataupun traffic yang sekedar melewati komputer kita. Membahas
22
prinsip dasar firewall iptables, mengelola akses internet berdasarkan alamat IP,
port aplikasi dan MAC address. Firewall IP¬Tables packet filtering memiliki tiga
aturan (policy), yaitu :
1. Input.
Mengatur paket data yang memasuki firewall dari arah intranet
maupun internet. kita bisa mengelola komputer mana saja yang bisa
mengakses firewall. misal: hanya komputer IP 192.168.1.100 yang bisa
SSH ke firewall dan yang lain tidak boleh.
2. Output.
Mengatur paket data yang keluar dari firewall ke arah intranet maupun
internet. Biasanya output tidak diset,karena bisa membatasi kemampuan
firewall itu sendiri.
3. Forward.
Mengatur paket data yang melintasi firewall dari arah internet ke
intranet maupun sebaliknya. Policy forward paling banyak dipakai saat ini
untuk mengatur koneksi internet berdasarkan port, mac address dan alamat
IP.
2.5.1 Parameter IP-Tables
Selain aturan (policy) firewall iptables juga mempunyai parameter yang
disebut dengan target, yaitu status yang menentukkan koneksi di iptables
diizinkan lewat atau tidak. Status Target ada tiga macam yaitu :
1. Accept.
Akses diterima dan diizinkan melewati firewall.
2. Reject.
Akses ditolak, koneksi dari komputer klien yang melewati firewall
langsung terputus, biasanya terdapat pesan “Connection Refused”. Target
reject tidak menghabiskan bandwidth internet karena akses langsung
ditolak, hal ini berbeda dengan drop.
23
3. Drop.
Akses diterima tetapi paket data langsung dibuang oleh kernel,
sehingga pengguna tidak mengetahui kalau koneksinya dibatasi oleh
firewall, pengguna melihat seakan - akan server yang dihubungi
mengalami permasalahan teknis. Pada koneksi internet yang sibuk dengan
trafik tinggi target drop sebaiknya jangan digunakan.
2.6 Tinjauan Studi
Dalam pelaksanaan penelitian ini digunakan beberapa tinjauan studi yang
akan digunakan untuk mendukung pelaksanaan penelitian yang dilakukan.
Beberapa tinjauan studi yang diambil adalah :
1. Oleh Regina Riyantika (2013), dengan judul Analisis Kinerja Sistem
Pengamanan Jaringan Dengan Menggunakan Snort IDS dan Ip-Tables di
Area Laboratorium RDNM (Research and Development Network
Management) PT. TELKOM R&D Center. Dari Institut Teknologi
Nasional Bandung. Pada penelitian ini penulis akan membangun sebuah
perancangan sistem keamanan jaringan komputer dengan menggunakan
Snort Intrusion Detection System dan Ip-tables untuk mendeteksi dan
mencegah serangan penyusup (intruder). Jenis serangan yang digunakan
yaitu Port Scanning. Pada penelitian ini penulis melakukan analisis sisi
performance pada sistem kinerja server yaitu membandingkan nilai atau
kinerja dari proses memory, processor, swap dan traffic pada jaringan
sebelum terjadi serangan dan sesudah terjadi serangan.
2. Oleh I Gusti Ngurah Arya Sucipta (2012), dengan judul Analisis Kinerja
Anomaly-Based Intrusion Detection System (IDS) Dalam Mendeteksi
Serangan DOS (Denial Of Services) Pada Jaringan Komputer dari
Universitas Udayana. Dalam penelitian ini, penulis berfokus terhadap
pendeteksian serangan DoS traffic Flooding dengan menggunakan
Anomaly-based. Pada penelitian ini penulis melakukan analisis tingkat
deteksi serangan dari Anomaly-Based IDS dengan melakukan pengukuran
24
akurasi serangan dengan menggunakkan informasi Baseline Anomaly-
based IDS dari 3 kali proses pembentukan baseline yang dilakukan.
3. Oleh Agita Syaimi Putri Utami (2013), dengan judul Perancangan dan
Analisis Kinerja Sistem Pencegahan Penyusupan Jaringan Menggunakan
Snort IDS dan Honeyd dari Institut Teknologi Nasional Bandung. Dalam
penelitian ini, penulis melakukan pencegahan penyusupan menggunakan
Snort IDS dan Honeyd. Snort IDS ini bekerja dengan cara mendeteksi
serangan yang telah dilakukan oleh penyusup (intruder). Setelah serangan
berhasil terdeteksi, maka serangan tersebut akan dibelokkan ke server
palsu (Honeyd). Akibat dari serangan penyusup adalah terjadinya
gangguan pada sisi sistem kinerja server. Jenis serangan yang digunakan
dalam perancangan ini adalah Port Scanning, dengan parameter yang
diujikan kinerja CPU dan Memory
Dari ketiga tinjauan studi yang digunakan sebagai pendukung dalam
penelitian ini tentunya terdapat perbedaan dari ketiga tinjauan tersebut dengan
penelitian yang akan dilakukan. Dimana pada tinjauan studi yang pertama yang
berjudul “Analisis Kinerja Sistem Pengamanan Jaringan Dengan Menggunakan
Snort IDS dan Ip-Tables di Area Laboratorium RDNM (Research and
Development Network Management) PT. TELKOM R&D Center”. Perbedaan
yang penulis lakukan, dalam melakukan penyerangan menggunakan jenis serangan
ICMP Flooding dengan parameter yang diteliti bagaimana IP-Tables Otomatis
yang berintegrasi dengan Snort IDS.
Untuk tinjauan studi kedua yang berjudul “Analisis Kinerja Anomaly-Based
Intrusion Detection System (IDS) Dalam Mendeteksi Serangan DOS (Denial Of
Services) Pada Jaringan Komputer”. Perbedaan yang penulis lakukan dalam
melakukan penyerangan menggunakan jenis serangan ICMP Flooding dengan
menggunakan cara kerja pendeteksian signature base IDS
Untuk tinjauan studi ketiga yang berjudul “Perancangan dan Analisis
Kinerja Sistem Pencegahan Penyusupan Jaringan Menggunakan Snort IDS dan
Honeyd” perbedaan yang penulisan lakukan, dalam melakukan penyerangan
25
menggunakaan jenis serangan ICMP Flooding dengan pencegahan menggunakan
IP-Tables. Parameter yang diteliti bagaimana IP-Tables Otomatis yang
berintegrasi dengan Snort IDS.