6

BAB II

TINJAUAN PUSTAKA

2.1. Intrusion Detection System (IDS)

Intrusion Detection System (IDS) adalah sebuah aplikasi perangkat lunak

atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam

sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas

inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan

mencari bukti dari percobaan intrusion (penyusupan).

Intrusion Detection System (IDS) mempunyai sistem kerja yang berbeda-

beda yaitu signature based, anomaly based, passive IDS, reactive IDS.

Kebanyakan produk IDS merupakan sistem yang bersifat pasif, hanya mendeteksi

intrusion yang terjadi dan memberikan peringatan kepada administrator jaringan

bahwa mungkin ada serangan atau gangguan terhadap jaringan. Beberapa vendor

juga mengembangkan IDS bersifat aktif yang dapat melakukan beberapa tugas

untuk melindungi host atau jaringan dari serangan ketika terdeteksi, seperti

menutup beberapa port atau memblokir beberapa IP Address.

Dalam melakukan tugasnya IDS (intrusion detection system) berada pada

lapisan jaringan OSI (Open System Interconnection) model yang terdapat pada

lapisan ketiga yaitu pada lapisan network dan sensor jaringan pasif yang secara

khusus diposisikan pada choke point pada jaringan metode dari lapisan OSI.

Gambar 2.1. Bagian IDS

7

2.1.1 Tipe Intrusion Detection System (IDS)

Pada dasarnya terdapat tiga macam IDS (intrusion detection system),

antara lain :

1. Network based Intrusion Detection System (NIDS) : IDS network - based

biasanya berupa suatu mesin yang khusus dipergunakan untuk melakukan

seluruh segmen dari jaringan. IDS network - based akan mengumpulkan paket

- paket data yang terdapat pada jaringan dan kemudian menganalisisnya serta

menentukan apakah paket - paket itu berupa suatu paket yang normal atau

suatu serangan atau berupa suatu aktivitas yang mencurigakan. IDS

memperoleh informasi dari paket - paket jaringan yang ada.

Gambar 2.2. Network Based IDS

Network – based IDS menggunakan raw paket yang ada di jaringan sebagai

sumber datanya dengan menggunakan network adapter sebagai alat untuk

menangkap paket - paket yang akan dipantau. Network adapter berjalan pada

mode prosmicuous untuk memonitor dan melakukan analisis paket - paket

yang ada yang berjalan di jaringan. Semua lalu lintas yang mengalir ke sebuah

jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau

penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam

8

segmen jaringan penting di mana server berada atau terdapat pada "pintu

masuk" jaringan.

2. Host based Intrusion Detection System (HIDS) : IDS host - based bekerja pada

host yang akan dilindungi. IDS jenis ini dapat melakukan berbagai macam

tugas untuk mendeteksi serangan yang dilakukan pada host tersebut.

Keunggulannya adalah pada tugas - tugas yang berhubungan dengan

keamanan file. Untuk melakukan analisis terhadap paket data IDS

memperoleh data informasi dari data yang dihasilkan oleh sistem pada sebuah

komputer yang diamati. Data host - based IDS biasanya berupa log yang

dihasilkan dengan memonitor sistem file, event, dan keamanan pada operating

sistem dan syslog pada lingkungan sistem operasi UNIX.

Gambar 2.3. Host Based IDS

3. Distributed Intrusion Detection System (DIDS) : sekumpulan sensor IDS yang

saling terhubung satu sama lain dan berfungsi sebagai remotet sensor (sensor

jarak jauh) yang memberikann pelaporan pada manajemen sistem terpusat.

9

2.1.2 IDS Didasarkan Pada Beberapa Terminologi

Pembagian jenis-jenis IDS yang ada saat sekarang ini didasarkan pada

beberapa terminologi, di antaranya :

1. Arsitektur sistem. Dibedakan menurut komponen fungsional IDS (intrusion

detection system), bagaimana diatur satu sama lainnya.

a. Host-Target Co-Location : IDS dijalankan pada sistem yang akan

dilindungi. Kelemahan sistem ini adalah jika penyusup berhasil

memperoleh akses ke sistem maka penyusup dapat dengan mudah mencuri

informasi dari client.

b. Host-Target Separation : IDS diletakkan pada komputer yang berbeda

dengan komputer yang akan dilindungi.

2. Tujuan Sistem. Ada dua bagian tujuan intrusion detection system (IDS),

diantaranya adalah :

a. Tanggung jawab : adalah kemampuan untuk menghubungkan suatu

kegiatan dan bertanggung jawab terhadap semua yang terjadi, diantaranya

adalah serangan.

b. Respons : suatu kemampuan untuk mengendalikan aktivitas yang

merugikan dalam suatu sistem komputer.

3. Strategi Pengendalian. Pada tahap ini IDS dibedakan berdasarkan yang

dikendalikan, baik input maupun outputnya. Jenis-jenis IDS menurut

terminologi ini adalah :

a. Terpusat : seluruh kendalai pada IDS, baik monitoring, deteksi, dan

pelaporannya dikendalikan secara terpusat.

b. Terdistribusi Parsial : monitoring dan deteksi dikendalikan dari node lokal

dengan hierarki pelaporan pada satu atau beberapa pusat lokasi.

c. Terdistribusi Total : monitoring dan deteksi menggunakan pendekatan

berbasis agen, dimana keputusan respons dibuat pada kode analisis.

4. Waktu. Waktu dalam hal ini berarti waktu antara kejadian, baik monitoring

atau analisis. Jenisnya adalah :

a. Interval-Based (Batch Mode) : Informasi dikumpulkan terlebih dahulu,

kemudian dievaluasi menurut interval waktu yang telah ditentukan.

10

b. Realtime (Continues) : IDS memperoleh data terus menerus dan dapat

mengetahui bahwa penyerangan sedang terjadi sehingga secara cepat dapat

melakukan respons terhadap penyerangan

2.1.3 IDS Dalam Melakukan Analisa Paket Data

Dilihat dari cara kerja dalam menganalisa apakah paket data dianggap

sebagai penyusupan atau bukan, IDS dibagi menjadi 2 :

1. Signature based atau Misuse detection

IDS ini dapat mengenali adanya penyusupan dengan cara menyadap paket

data kemudian membandingkannya dengan database rule IDS (berisi

signature - signature paket serangan). Jika paket data mempunyai pola

yang sama dengan (setidaknya) salah satu pola di database rule IDS, maka

paket tersebut dianggap sebagai serangan, dan demikian juga sebaliknya,

jika paket data tersebut sama sekali tidak mempunyai pola yang sama

dengan pola di database rule IDS, maka paket data tersebut dianggap

bukan serangan.

2. Behavior based atau anomaly based

IDS ini dapat mendeteksi adanya penyusupan dengan mengamati adanya

kejanggalan - kejanggalan pada sistem, atau adanya penyimpangan -

penyimpangan dari kondisi normal, sebagai contoh ada penggunaan

memori yang melonjak secara terus menerus atau ada koneksi parallel dari

1 buah IP dalam jumlah banyak dan dalam waktu yang bersamaan.

Kondisi - kondisi diatas dianggap kejanggalan yang kemudian oleh IDS

jenis anomaly based dianggap sebagai serangan.

2.1.4 Fungsi IDS (Intrusion Detection System)

Beberapa alasan untuk memperoleh dan menggunakan IDS (intrusion

detection system) (Ariyus, 2007), diantaranya adalah :

1. Mencegah resiko keamanan yang terus meningkat, karena banyak

ditemukan kegiatan ilegal yang diperbuat oleh orang-orang yang tidak

bertanggung jawab dan hukuman yang diberikan atas kegiatan tersebut.

11

2. Mendeteksi serangan dan pelanggaran keamanan sistem jaringan yang

tidak bisa dicegah oleh sistem umum pakai, seperti firewall. Sehingga

banyak menyebabkan adanya lubang keamanan, seperti user yang tidak

memahami sistem, sehingga jaringan dan protokol yang mereka gunakan

memiliki celah dari keamanannya dan membuat kesalahan dalam

konfigurasi atau dalam menggunakan system

3. Mencegah resiko keamanan yang terus meningkat, karena banyak

ditemukan kegiatan ilegal yang diperbuat oleh orang - orang yang tidak

bertanggung jawab.

4. Mengamankan file yang keluar dari jaringan sebagai pengendali untuk

rancangan keamanan dan administrator, terutama bagi perusahaan yang

besar.

5. Menyediakan informasi yang akurat terhadap ganguan secara langsung,

meningkatkan diagnosis, recovery, dan mengoreksi faktor-faktor penyebab

serangan.

2.1.5 Peran IDS (Intrusion Detection System)

IDS (intrusion detection system) juga memiliki peran penting untuk

mendapatkan arsitektur defence-in-depth (pertahanan yang mendalam) dengan

melindungi akses jaringan internal, sebagai tambahan dari parameter defence. Hal

- hal yang dilakukan IDS (intrusion detection system) pada jaringan internal

adalah sebagai berikut: (Ariyus, 2007:34)

1. Memonitor akses database : ketika mempetimbangkan pemilihan kandidat

untuk penyimpanan data, suatu perusahaan akan memilih database sebagai

solusi untuk menyimpan data - data yang berharga.

2. Melindungi e-mail server : IDS (intrusion detection system) juga berfungsi

untuk mendeteksi virus e-mail seperti QAZ, Worm, NAVIDAD Worm,

dan versi terbaru dari ExploreZip.

3. Memonitor policy security : jika ada pelanggaran terhadap policy security

maka IDS (intrusion detection system) akan memberitahu bahwa telah

terjadi sesuatu yang tidak sesuai dengan aturan yang ada.

12

2.1.6 Keuntungan dan Kekurangan IDS

Berikut ini beberapa keuntungan dari penerapan IDS pada sistem jaringan

komputer :

1. Secara efektif mendeteksi aktifitas penyusupan, penyerangan atau tindak

pelanggaran lainnya yang mengacam aset atau sumber daya sistem

jaringan.

2. IDS membuat administrator diinformasikan tentang status keamanan dan

secara berkesinambungan mengamati traffic dari sistem jaringan komputer

dan secara rinci menginformasikan setiap event yang berhubungan dengan

aspek keamanan.

3. IDS menyediakan informasi akurat terhadap gangguan secara langsung,

meningkatkan diagnosis, pemulihan, mengoreksi sejumlah faktor

penyebab intursi atau serangan

4. Sejumlah file log yang berisi catatan aktifitas kinerja IDS adalah bagian

penting dari forensik komputer yang dapat digunakan sebagai sumber

informasi untuk proses penelusuran aktivitas serangan yang terjadi,

analisis dan audit kinerja sensor IDS serta sebagai barang bukti untuk

tindakan hukum.

Ada pula kekurangan yang terdapat pada penerapan sensor IDS, sebagai

berikut :

1. Rentang waktu antara pengembangan teknik penyerangan atau intrusi dan

pembuatan signature, memungkinkan penyerang untuk mengeksploitasi

IDS yang tidak mengenali jenis serangan spesifik. Karena signature tidak

dapat dibuat tanpa mempelajari traffic serangan.

2. False Negative adalah serangan sesungguhnya yang tidak terdeteksi maka

tidak ada peringatan atau notification mengenai peristiwa ini.

3. False Positive adalah kesalahan IDS dalam mendeteksi traffic network

normal sebagai suatu serangan. Jika terjadi dalam jumlah besar

berkemungkinan menutupi kejadian intrusi sesungguhnya.

13

2.2 Snort

IDS SNORT adalah open source yang berbasis jaringan sistem deteksi

intrusi (NIDS) yang memiliki kemampuan untuk melakukan analisis lalu lintas

secara real - time dan paket logging pada jaringan Internet Protocol (IP). Snort

melakukan analisis protokol, mencari konten, dan pencocokan konten. Program

ini juga dapat digunakan untuk mendeteksi probe atau serangan. Snort sudah di

download lebih dari 3 juta orang. Hal ini menandakan bahwa snort merupakan

suatu intrusion Detection System yang dipakai banyak orang di dunia. Snort bisa

di operasikan dengan tiga mode (Ariyus, 2007) yaitu:

1. Paket sniffer : Untuk melihat paket yang lewat di jaringan.

2. Paket logger : Untuk mencatat semua paket yang lewat di jaringan

3. Network Intrusion Detection System (NIDS.) : deteksi penyusupan pada

netwaork : pada mode ini snort akan berfungsi untuk mendeteksi serangan

yang dilakukan melalui jaringan computer.

Cara kerja Snort adalah dengan menggunakan deteksi signature pada lalu

lintas jaringan mencocokkan lalu lintas jaringan dengan daftar signature serangan

yang disebut Snort rules. Jika aksi atau paket yang melintasi jaringan itu sesuai

dengan rules, maka Snort engine akan menganggapnya sebagai intrusi dan dicatat

pada log kemudian disimpan di database.

2.2.1 Komponen – komponen Snort

Snort memiliki komponen yang bekerja saling berhubungan satu dengan

yang lainnya seperti berikut ini. (Ariyus, 2007:146) :

1. Rule Snort. Merupakan database yang berisi pola-pola serangan berupa

signature jenis-jenis serangan. Rule Snort IDS ini, harus di update secara

rutin agar, ketika ada suatu teknik serangan yang baru Snort bisa

mendeteksi karena jenis atau pola serangan tersebut sudah ada pada rule

snort.

2. Snort Engine. Merupakan program yang berjalan sebagai proses yang

selalu bekerja untuk membaca paket data dan kemudian

membandingkannya dengan rule Snort.

14

3. Alert. Merupakan catatan serangan pada deteksi penyusupan, jika snort

engine menyatakan paket data yang lewat sebagai serangan, maka snort

engine akan mengirimkan alert berupa log file. Untuk kebutuhan analisa,

alert dapat disimpan di dalam database.

4. Preprocessors. Merupakan suatu saringan yang mengidentifikasi berbagai

hal yang harus diperiksa seperti Snort Engine. Preprocessors berfungsi

mengambil paket yang berpotensi membahayakan, kemudian dikirim ke

Snort engine untuk dikenali polanya.

5. Output Plug - ins : suatu modul yang mengatur format dari keluaran untuk

alert dan file logs yang bisa diakses dengan berbagai cara, seperti console,

extern files, database, dan sebagainya.

2.2.2 Fitur – fitur Snort

Menurut Wardhani (2007) Snort memiliki fitur - fitur dan kemudahan

dalam melakukan pendekesiaan suatu serangan. Fitur - fitur tersebut adalah

sebagai berikut :

1. Bersifat Opensource, karena itu maka penggunaannya betul - betul gratis,

Snort merupakan pilihan yang sangat baik sebagai NIDS ringan yang cost

- effective dalam suatu organisasi yang kecil jika organisasi tersebut tidak

mampu menggunakan NIDS commercial yang harganya paling sedikit

ribuan dolar US. Dari sisi harga, jelas tidak ada NIDS lain yang mampu

mengalahkan Snort.

2. Karena Snort bersifat opensource, maka penggunaannya betul - betul

bebas sehingga dapat diterapkan dalam lingkungan apa saja. Kode

sumbernya pun bisa didapatkan sehingga Snort bisa secara bebas

dimodifikasi sendiri sesuai keperluan. Selain itu, karena Snort merupakan

software yang bebas, maka telah terbentuk suatu komunitas Snort yang

membantu memberikan berbagai macam dukungan untuk penggunaan,

pengembangan, penyempurnaan, dan perawatan software Snort itu.

3. Snort memiliki bahasa pembuatan rules yang relatif mudah dipelajari dan

fleksibel. Ini berarti bahwa pengguna dengan mudah dan cepat membuat

15

berbagai rules baru untuk mendeteksi tipe-tipe serangan yang baru. Selain

itu, berbagai rule khusus dapat dibuat untuk segala macam situasi.

4. Snort sudah memiliki sebuah database untuk berbagai macam rules, dan

database ini secara aktif terus dikembangkan oleh komunitas Snort

sehingga tipe-tipe serangan yang baru dapat dicatat

5. Snort merupakan software yang ringkas dan padat, sehingga tidak

memakan banyak resources tetapi cukup canggih dan fleksibel untuk

digunakan sebagai salah satu bagian dari NIDS yang terpadu (Integrated

NIDS). selain itu, snort bersifat lighweight, maka penerapannya juga

mudah dan cepat.

6. Snort dapat melakukan logging langsung ke sistem database (MySQL).

7. Snort sebagai NIDS dapat menyembunyikan dirinya dalam jaringan

computer sehingga keberadaannya tidak bisa terdeteksi oleh komputer

mana pun. Ini disebut sebagai stealth mode

2.2.3 Snort Rules

Snort Rules merupakan database yang berisi pola-pola serangan berupa

signature jenis-jenis serangan. Snort Rules IDS ini, harus diupdate secara rutin

agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat

terdeteksi. Sebagai contoh rule pada Snort sebagai berikut : alert tcp

$EXTERNAL NET alert tcp $EXTERNAL NET any -> $HTTP SERVERS

$HTTP PORTS (msg:"WEB-IIS unicode directory traversal attempt"; flow:to

server, established; content:¨/..%c0%af../"; nocase; classtype:web-application-

attack; reference:cve, CVE-2000-0884; sid:981; rev:6;).

Rule di atas terdiri dari 2 bagian: header dan option. Bagian ”alert tcp

$EXTERNAL NET any -¿ $HTTP SERVERS $HTTP PORTS” adalah header

dan selebihnya merupakan option. Dari rule-rule seperti di ataslah IDS Snort

menghukumi apakah sebuah paket data dianggap sebagai penyusupan / serangan

atau bukan, paket data dibandingkan dengan rule IDS, jika terdapat dalam rule,

maka paket data tersebut dianggap sebagai penyusupan / serangan dan demikian

juga sebaliknya jika tidak ada dalam rule maka dianggap bukan penyusupan /

16

serangan. Setelah menginstal Snort engine dan rulesnya, maka langkah

selanjutnya adalah mengkonfigurasi Snort engine. Snort engine dimodifikasi

sesuai kebutuhan dan spesifikasi jaringan yang akan dipindai oleh Snort.

Cara kerja Snort rules adalah Rules dibaca ke dalam struktur atau rantai

data internal kemudian dicocokkan dengan paket yang ada. Jika paket sesuai

dengan rules yang ada, tindakan akan diambil, jika tidak paket akan dibuang.

Tindakan yang diambil dapat berupa logging paket atau mengaktifkan alert.

2.2.4 Flowchart Snort

Flowchart membahas lebih dalam mengenai cara kerja snort. Network

traffic yang berisi paket data, akan diambil oleh Snort decoder. Snort decoder

mendecode paket ke dalam data struktur snort untuk dianalisis. Kemudian paket

data diteruskan ke preprocessor untuk dilihat paket header-nya dan informasi

didalamnya. Kemudian paket data diteruskan menuju detection engine. Dengan

menggunakan rule, detection engine membandingkan antara paket data dan rule

dan memutuskan apakah paket data bisa lewat atau akan di drop. Output engine

memberikan hasil dari detection engine dalam format terpisah seperti log file dan

database. Berdasarkan hasil dari detection engine, snort bisa mengambil tindakan

lebih lanjut untuk merespon paket tersebut.

Gambar 2.4. Flowchart Snort

17

2.3 BASE (Basic Analysis Security Engine)

BASE adalah sebuah interface web untuk melakukan analisis dari intrusi

yang snort telah deteksi pada jaringan. (Orebaugh, 2008:217) BASE ditulis oleh

kevin johnson adalah program analisis sistem jaringan berbasis PHP yang mencari

dan memproses database dari security event yang dihasilkan oleh berbagai

program monitoring jaringan, firewall, atau sensor IDS. Berikut ini adalah

beberapa kelebihan dari BASE yaitu :

1. Program berbasis web yang memungkinkan implementasi antar platform.

2. Log - log yang sulit untuk dibaca akan menjadi mudah untuk dibaca.

3. Data - data dapat dicari sesuai dengan kriteria tertentu.

4. Open source yang merupakan perintis antarmuka GUI untuk snort dan

paling banyak digunakan oleh pengguna IDS. BASE merupakan

rekomendasi dari Snort.org sendiri.

5. Multi language, antarmuka memilki beberapa bahasa selain bahasa Inggris

dan layanan peringatan yang real time.

6. Dapat diimplementasikan pada IDS manapun selain snort.

Gambar 2.5. BASE (Basic Analysis Security Engine)

Berikut ini adalah beberapa Fitur yang ada pada BASE (Basic Analysis

Security Engine) :

1. Ditulis dalam bahasa PHP

2. Menganalisa log intrusi

3. Mendisplay informasi database dalam bentuk web

18

4. Mengenerate graph dan alert berdasarkan sensor, waktu rule dan protocol

5. Mendisplay summary log dari semua alert dan link untuk graph

6. Dapat diatur berdasarkan kategori grup alert, false positif dan email

2.4 DOS (Denial Of Services)

Denial of service (DoS) adalah sebuah metode serangan terhadap sebuah

komputer atau server di dalam jaringan internet dengan cara menghabiskan

sumber daya (resource) sebuah peralatan jaringan komputer sehingga layanan

jaringan komputer menjadi terganggu. Serangan ini bertujuan untuk mencegah

pengguna mendapatkan layanan dari sistem. Denial of Service (DOS) dapat

menghambat kerja sebuah layanan (servis) atau mematikannya, sehingga user

yang berhak atau berkepentingan tidak dapat menggunakan layanan tersebut.

Denial of Service merupakan serangan yang sulit diatasi, hal ini disebabkan oleh

resiko layanan publik dimana admin akan berada pada kondisi yang

membingungkan antara layanan dan kenyamanan terhadap keamanan. Seperti

yang kita tahu, keyamanan berbanding terbalik dengan keamanan. Maka resiko

yang mungkin timbul selalu mengikuti hukum ini.

Gambar 2.6. Serangan DOS (Denial Of Services)

Serangan DOS ini telah ada pada tahun 1988. Target - target serangan

DOS biasanya adalah server - server ISP, Internet Banking, E-commerce, Web

perusahaan, dan pemerintah. Denial of Service dikategorikan sebagai serangan

SYN (SYN attack) karena menggunakan packet SYN (synchronization) pada

19

waktu melakukan 3-way handshake untuk membentuk suatu hubungan berbasis

TCP/IP. Proses yang terjadi dalam 3-way handshake adalah sebagai berikut :

1. Client mengirimkan sebuah paket SYN ke server atau host fungsinya untuk

membentuk hubungan TCP/IP antara client dan host.

2. Host menjawab dengan mengirimkan sebuah paket SYN/ACK

(Synchronization / Acknowledgement) kembali ke client.

3. Client menjawab dengan mengirimkan sebuah paket ACK kembali ke

host. Dengan demikian, hubungan TCP/IP antara client dan host terbentuk

dan transfer data bisa dimulai.

Dalam Denial of Service, komputer penyerang yang bertindak sebagai

client mengirim sebuah paket SYN yang telah direkayasa ke suatu server yang

akan diserang. Paket SYN yang telah direkayasa ini berisikan alamat asal (source

address) dan nomor port asal (source port number) yang sama dengan alamat

tujuan (destination address) dan nomor port tujuan (destination port number).

Pada waktu host mengirimkan paket SYN/ACK kembali ke client, maka terjadi

suatu infinite loop karena sebetulnya host mengirimkan paket SYN/ACK tersebut

ke dirinya sendiri. Host atau server yang belum terproteksi biasanya akan crash

oleh serangan ini.

Gambar 2.7. Proses 3-way handshake

Serangan DoS dapat dilakukan dengan mengirimkan query sebanyak

mungkin hingga target tidak bisa lagi menanganinya sehingga target lumpuh. Cara

20

lain melakukan serangan DoS adalah dengan mengirimkan data rusak atau data

yang tidak mampu di tangani oleh server target sehingga server tersebut menjadi

hang (tidak bisa berfungsi sebagaimana mestinya dan perlu di restart ulang).

Dalam sebuah serangan Denial of Service, penyerang akan mencoba untuk

mencegah akses seorang pengguna terhadap sistem atau jaringan dengan

menggunakan beberapa cara, yakni sebagai berikut :

1. Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas

jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat

masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic

flooding.

2. Membanjiri jaringan dengan banyak request terhadap sebuah layanan

jaringan yang disedakan oleh sebuah host sehingga request yang datang

dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik

ini disebut sebagai request flooding.

3. Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar

dengan menggunakan banyak cara, termasuk dengan mengubah informasi

konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan

server.

Tujuan serangan ini adalah membuat server shutdown, reboot, crash, “not

responding”. Jadi serangan ini menghasilkan kerusakan yang sifatnya persisten

artinya kondisi DoS akan tetap terjadi walaupun attacker sudah berhenti

menyerang, server baru normal kembali setelah di-restart/reboot.

Beberapa contoh Serangan DoS adalah :

1. Ping of Death : ping ini di gunakan untuk memeriksa utility ping untuk

mengetahui ip dan jenis host yang di gunakan. ping ini sering kita jumpai

di CMD pada Os windows. serangan ini sudah tidak terlalu ampuh karena

proses yang cukup lama dan website - website juga melakukan update

secara berkala.

2. Buffer Overflow mengirimkan data yang melebihi kapasitas system,

misalnya paket ICMP yang berukuran sangat besar.

21

3. ICMP Flooding : Mengirimkan paket ICMP secara berlebihan dan

mengakibatkan mesin crash dan tidak dapat melayani request TCP/IP.

4. Udp Flood : serangan yang membuat admin merasa terkejut karena

serangan ini korban mendapatkan servernya yang terkena hang pada

serangan ini. penyerang juga selalu menyembunyikan identitasnya agar

sulit di lacak.

5. Syn Flooding : serangan ini mencari kelemahan dalam sistem protocol.

serangan ini dengan mengirimkan Syn kepada komputer target sehingga

korban terus menerima paket - paket data yang tidak di inginkan.

6. Smurf Attack : Serangan yang memanfaatkan pihak ke tiga di mana si

hacker menargetkan kepada si korban melalui daemon-daemon dari tools

flooder.

2.4.1 Karakteristik Serangan DoS (Denial Of Services)

DoS attack ditandai oleh usaha attacker untuk mencegah legitimate user

dari penggunaan resource yang diinginkan. Cara DoS attack :

1. Mencoba untuk membanjiri (flood) network, dengan demikian mencegah

lalu lintas yang legitimate pada network.

2. Mencoba mengganggu koneksi antara dua mesin, dengan demikian

mencegah suatu akses layanan.

3. Mencoba untuk mencegah individu tertentu dari mengakses layanan.

4. Mencoba untuk mengganggu layanan sistem yang spesifik atau layanan itu

sendiri.

2.5 IP-Tables

Ip-tables adalah suatu tools dalam sistem operasi linux yang berfungsi

sebagai alat untuk melakukan filter (penyaringan) terhadap (trafic) lalulintas data.

Secara sederhana digambarkan sebagai pengatur lalulintas data. IP-Tables

merupakan firewall bawaan Linux. Ip-tables mampu melakukan filtering dari

layer transport sampai layer physical. Dengan iptables inilah kita akan mengatur

semua lalulintas dalam komputer kita, baik yang masuk ke komputer, keluar dari

komputer, ataupun traffic yang sekedar melewati komputer kita. Membahas

22

prinsip dasar firewall iptables, mengelola akses internet berdasarkan alamat IP,

port aplikasi dan MAC address. Firewall IP¬Tables packet filtering memiliki tiga

aturan (policy), yaitu :

1. Input.

Mengatur paket data yang memasuki firewall dari arah intranet

maupun internet. kita bisa mengelola komputer mana saja yang bisa

mengakses firewall. misal: hanya komputer IP 192.168.1.100 yang bisa

SSH ke firewall dan yang lain tidak boleh.

2. Output.

Mengatur paket data yang keluar dari firewall ke arah intranet maupun

internet. Biasanya output tidak diset,karena bisa membatasi kemampuan

firewall itu sendiri.

3. Forward.

Mengatur paket data yang melintasi firewall dari arah internet ke

intranet maupun sebaliknya. Policy forward paling banyak dipakai saat ini

untuk mengatur koneksi internet berdasarkan port, mac address dan alamat

IP.

2.5.1 Parameter IP-Tables

Selain aturan (policy) firewall iptables juga mempunyai parameter yang

disebut dengan target, yaitu status yang menentukkan koneksi di iptables

diizinkan lewat atau tidak. Status Target ada tiga macam yaitu :

1. Accept.

Akses diterima dan diizinkan melewati firewall.

2. Reject.

Akses ditolak, koneksi dari komputer klien yang melewati firewall

langsung terputus, biasanya terdapat pesan “Connection Refused”. Target

reject tidak menghabiskan bandwidth internet karena akses langsung

ditolak, hal ini berbeda dengan drop.

23

3. Drop.

Akses diterima tetapi paket data langsung dibuang oleh kernel,

sehingga pengguna tidak mengetahui kalau koneksinya dibatasi oleh

firewall, pengguna melihat seakan - akan server yang dihubungi

mengalami permasalahan teknis. Pada koneksi internet yang sibuk dengan

trafik tinggi target drop sebaiknya jangan digunakan.

2.6 Tinjauan Studi

Dalam pelaksanaan penelitian ini digunakan beberapa tinjauan studi yang

akan digunakan untuk mendukung pelaksanaan penelitian yang dilakukan.

Beberapa tinjauan studi yang diambil adalah :

1. Oleh Regina Riyantika (2013), dengan judul Analisis Kinerja Sistem

Pengamanan Jaringan Dengan Menggunakan Snort IDS dan Ip-Tables di

Area Laboratorium RDNM (Research and Development Network

Management) PT. TELKOM R&D Center. Dari Institut Teknologi

Nasional Bandung. Pada penelitian ini penulis akan membangun sebuah

perancangan sistem keamanan jaringan komputer dengan menggunakan

Snort Intrusion Detection System dan Ip-tables untuk mendeteksi dan

mencegah serangan penyusup (intruder). Jenis serangan yang digunakan

yaitu Port Scanning. Pada penelitian ini penulis melakukan analisis sisi

performance pada sistem kinerja server yaitu membandingkan nilai atau

kinerja dari proses memory, processor, swap dan traffic pada jaringan

sebelum terjadi serangan dan sesudah terjadi serangan.

2. Oleh I Gusti Ngurah Arya Sucipta (2012), dengan judul Analisis Kinerja

Anomaly-Based Intrusion Detection System (IDS) Dalam Mendeteksi

Serangan DOS (Denial Of Services) Pada Jaringan Komputer dari

Universitas Udayana. Dalam penelitian ini, penulis berfokus terhadap

pendeteksian serangan DoS traffic Flooding dengan menggunakan

Anomaly-based. Pada penelitian ini penulis melakukan analisis tingkat

deteksi serangan dari Anomaly-Based IDS dengan melakukan pengukuran

24

akurasi serangan dengan menggunakkan informasi Baseline Anomaly-

based IDS dari 3 kali proses pembentukan baseline yang dilakukan.

3. Oleh Agita Syaimi Putri Utami (2013), dengan judul Perancangan dan

Analisis Kinerja Sistem Pencegahan Penyusupan Jaringan Menggunakan

Snort IDS dan Honeyd dari Institut Teknologi Nasional Bandung. Dalam

penelitian ini, penulis melakukan pencegahan penyusupan menggunakan

Snort IDS dan Honeyd. Snort IDS ini bekerja dengan cara mendeteksi

serangan yang telah dilakukan oleh penyusup (intruder). Setelah serangan

berhasil terdeteksi, maka serangan tersebut akan dibelokkan ke server

palsu (Honeyd). Akibat dari serangan penyusup adalah terjadinya

gangguan pada sisi sistem kinerja server. Jenis serangan yang digunakan

dalam perancangan ini adalah Port Scanning, dengan parameter yang

diujikan kinerja CPU dan Memory

Dari ketiga tinjauan studi yang digunakan sebagai pendukung dalam

penelitian ini tentunya terdapat perbedaan dari ketiga tinjauan tersebut dengan

penelitian yang akan dilakukan. Dimana pada tinjauan studi yang pertama yang

berjudul “Analisis Kinerja Sistem Pengamanan Jaringan Dengan Menggunakan

Snort IDS dan Ip-Tables di Area Laboratorium RDNM (Research and

Development Network Management) PT. TELKOM R&D Center”. Perbedaan

yang penulis lakukan, dalam melakukan penyerangan menggunakan jenis serangan

ICMP Flooding dengan parameter yang diteliti bagaimana IP-Tables Otomatis

yang berintegrasi dengan Snort IDS.

Untuk tinjauan studi kedua yang berjudul “Analisis Kinerja Anomaly-Based

Intrusion Detection System (IDS) Dalam Mendeteksi Serangan DOS (Denial Of

Services) Pada Jaringan Komputer”. Perbedaan yang penulis lakukan dalam

melakukan penyerangan menggunakan jenis serangan ICMP Flooding dengan

menggunakan cara kerja pendeteksian signature base IDS

Untuk tinjauan studi ketiga yang berjudul “Perancangan dan Analisis

Kinerja Sistem Pencegahan Penyusupan Jaringan Menggunakan Snort IDS dan

Honeyd” perbedaan yang penulisan lakukan, dalam melakukan penyerangan

25

menggunakaan jenis serangan ICMP Flooding dengan pencegahan menggunakan

IP-Tables. Parameter yang diteliti bagaimana IP-Tables Otomatis yang

berintegrasi dengan Snort IDS.