Peningkatan trafik Internet yang di alami suatu situs mungkin belum bisa di artikan positif. Kebanyakan kasus yang marak terjadi belakangan ini adalah peningkatan trafik yang tiba-tiba di sebabkan atas serangan dari berbagai sumber yang terjadi secara bersamaan. Serangan yang tiba-tiba ini di artikan sebagai serangan yang terkoordinasi. Ratusan hingga ribuan sumber IP address mengirimkan trafik dalam jumlah besar sehingga menimbulkan target IP address kehilangan banyak Internet bandwidth sehingga tidak mampu untuk memberikan respon atas trafik yang legitimate. Serangan ini diberikan nama Distributed Denial of Service Attack, atau di singkat dengan istilah DDoS. Bahkan dalam situasi pandemic Covid-19 seperti sekarang ini, semakin intens di temukan serangan DDoS ini terjadi di beberapa lokasi. Tidak ada system yang di retas ataupun data yang di curi dalam model serangan DDoS ini. Tujuan utama dari model serangan ini adalah memberikan dampak gangguan sehingga fungsi layanan online atau website dari penyedia jasa layanan terkendala untuk beroperasi. Serangan ini di lancarkan secara intens dan dalam durasi waktu yang cukup lama sehingga terkesan website menjadi offline. Tentunya ini akan terjadi bilamana penyerang berhasil memberikan trafik sebesar dengan bandwidth maksimal yang di miliki penyedia jasa layanan dan tidak ada bandwidth yang cukup tersedia untuk pelanggan lainnya. Ini bukan merupakan satu-satunya cara penyerang dalam kaitan dengan DDoS attack, namun belakangan ini merupakan hal yang cukup sering di lakukan.

Sejarah DDoS

Sebelum di sebut dengan istilah DDoS, istilah ini pertama kali di kenal dengan sebuat Denial of Service attack atau DoS. Huruf ‘D’ atau ‘Distributed’ yang kemudian ditambahkan disini melambangkan serangan yang di lakukan secara terkoordinasi namun terpecah. Berawal pada tahun 1974, David Dennis, seorang anak yang berusia 13 tahun tinggal di dekat sebuah laboratorium yang bernama Computer-Based Education Research Laboratory (CERL) yang memiliki sebuah unit komputer yang diberi nama PLATO. Komputer ini memiliki kemampuan untuk terhubung dengan perangkat external devices. Dan instruksi program untuk ini juga tersedia yang memungkinkan pengembangan lebih lanjut. Dennis menemukan sebuah cacat dari program tersebut, yang dapat menyebabkan PLATO menjadi crash dan perlu untuk di restart sebelum dapat kembali melayani user yang terkoneksi. Menyadari akan hal ini, Dennis kemudian mengembangkan program yang memanfaatkan celah kelemahan ini sehingga berhasil menjadikan system PLATO di power-off sehingga merepotkan 31 user yang saat itu sedang terhubung. Dalam kasus ini, serangan yang di lakukan oleh Dennis adalah menyerang availabilitas dari PLATO, meski tidak merusak data-data yang tersimpan. Inilah inti dari serangan DoS attack.

Tidak hanya berhenti pada kasus David Dennis ini, pada Agustus 1999 terjadi serangan DoS pada University of Minnesota. Serangan yang di lakukan oleh hacker ini mempergunakan tool yang di sebut ’Trinoo’ yang menyebabkan menciptakan gangguan pada target IP dengan membanjiri jaringan dengan paket UDP yang bersumber dari berbagai perangkat yang di kelompokkan dengan istilah ‘Master’ dan ‘Daemon’. Hal ini merupakan awal dari penambahan kata Distributed pada DoS attack, sehingga kemudian lebih sering di kenal dengan sebutan DDoS. 

Distributed Denial of Service attack atau di singkat dengan DDoS attack memiliki beberapa jenis kategori. Salah satunya yang baru saja saya sebutkan tadi. Pada episode ke 30 ini saya akan juga menjelaskan beberapa jenis kategori lainnya. Untuk bisa memahami secara lebih dalam terhadap kategori ini, kita perlu sejenak kembali kepada definisi bahwa komunikasi di Internet secara konseptual terjadi melalui 7 tahapan, yang kemudian di sebut dengan istilah Seven Layer OSI. Hal ini mengingatkan saya pada materi komunikasi data saat sedang mengambil S1 dulu. Komunikasi atau pertukaran data terjadi melalui tujuh layer tadi hingga kini masih dipergunakan sebagai pendekatan konseptual. Tujuh layer ini di mulai dari layer paling atas, atau layer ke tujuh, yaitu: Application Layer, di lanjutkan dengan Presentation layer, Session layer, Transport layer, Network layer, Data-link layer, hingga terakhir Physical Layer. Layer pertama atau layer terbawah di analogikan sebagai layer yang paling dekat dengan perangkat, sementara layer ke tujuh merupakan layer ke tujuh adalah layer terluar yang merupakan layer terakhir. Setiap pertukaran data antar perangkat pasti melalui seluruh tahapan layer ini. Dan tentunya serangan cyber attack yang terjadi juga akan di lancarkan pada satu atau beberapa dari ketujuh layer ini.

Dalam episode ini saya belum akan menjelaskan satu per satu dari fungsi ke tujuh layer OSI tadi. Melainkan hanya memberikan fokus kepada kategori dari DDoS attack. Kita mulai dari kategori serangan DDoS attack yang paling sering terjadi, yaitu: Volumetric attack. DDoS dengan kategori Volumetric attack akan memberikan fokus serangan kepada penggunaan seluruh bandwidth yang tersedia pada sisi target, sehingga layanan terkesan offline. Serangan ini meski bersumber dari ratusan atau bahkan ribuan IP address; namun dalam prakteknya di lakukan oleh satu atau lebih peretas yang memanfaatkan koordinasi dengan BOT yang sebelumnya telah di persiapkan. Besaran serangan tersebut di tentukan banyaknya BOT tadi. Menariknya, dalam kasus umum initiator serangannya sendiri hampir tidak melakukan penyerangan kepada target, selain hanya mengatur serangan yang seluruhnya bersumber dari BOT tadi. 

Selain DDoS Volumetric attack, terdapat kategori serangan lainnya yang akan kita bahas di sini. Kategori serangan ini di kenal dengan nama Application Layer attack. Atau di kenal dengan nama lain Layer 7 DDoS, sesuai dengan layer ke tujuh dari OSI layer. Serangan Layer 7 DDoS sulit di bedakan dari akses legal atau normal lainnya. Karena sama-sama mempergunakan Application Layer. Namun akumulasi aksesnya yang menyebabkan resource target komputer menjadi kesulitan bahkan tidak mampu lagi memproses dikarenakan ketidaktersediaan computing resource. Misalnya, aplikasi web yang menyediakan HTTP form login. Setiap proses data yang di isi pada form tersebut, tentunya akan di proses dengan membandingkan dengan data yang tersimpan hingga proses lainnya yang membutuhkan computing power seperti processor dan memory. Jika terjadi akumulasi dari request pada waktu yang sama sehingga berjumlah ribuan atau puluhan ribu, tentunya dapat menciptakan lonjakan penggunaan resource yang berpotensi membuat system menjadi slow response atau bahkan halted. Sender yang me-request tentunya tidak membutuhkan computing power yang tinggi, selain cukup untuk mengirimkan hasil keystroke ke server penerima. Tidak ada upaya ilegal yang di lakukan oleh sender, dan yang di lakukannya pun sama seperti akses legal lainnya. Hingga IP address sender pun terkesan legitimate sehingga sulit di bedakan. Bedanya peningkatan trafik disini di sebabkan oleh akses yang di lakukan oleh BOT pada layer ke tujuh. Peningkatan trafik disini tidak perlu memfokuskan untuk menghabiskan resources bandwidth, cukup dengan membebani computing power dari target perangkat. Sehingga pada akhirnya mengakibatkan kelambatan akses atau bahkan crash. Serangan ini bahkan bisa semakin kompleks. Hal ini dilakukan dengan upaya bervariasi. Di mulai dengan mentargetkan URL yang berbeda-beda pada target perangkat hingga penggunaan browser-agent yang beragam sehingga sulit untuk di lakukan proses filterisasi.

Setelah membahas Volumetric dan Layer 7 DDoS. Kini tentang serangan DDoS yang memberikan target Layer 3 dan 4 dari OSI Layer. Serangan ini di sebut dengan nama Protocol Attack. Di samping mentargetkan pada web server, serangan juga kadang ditujukan pada perangkat Firewall atau bahkan ada juga yang mentargetkan pada Load Balancer. Dalam setiap komunikasi antar perangkat, terdapat mekanisme standar yang di kenal dengan TCP handshake. Signal untuk membuka komunikasi pertama kali di kirimkan oleh perangkat sender, kemudian target perangkat akan mengirimkan response acknowledge. Dan menunggu konfirmasi final dari perangkat sender sebelum mulai menerima data dari sender. Segera setelah perangkat target mengirimkan konfirmasi tadi, bukannya menutup komunikasi, malahan sender mengirimkan kembali signal awal komunikasi. Seolah-olah ini adalah request baru. Dan untuk setiap permintaan komunikasi yang hendak di lakukan akan membuka jalur antrian baru pada perangkat penerima. Akumulasi request ini pada akhirnya akan menyebabkan perangkat tujuan akan mengalami kepenuhan jalur antrian sehingga pada akhirnya tidak mampu lagi untuk melayani request baru. Dan tentunya akan menghabiskan computing resource pada perangkat penerima. 

Selain dari Volumetric, Layer 7, dan Protocol attack; masih terdapat ragam varian DDoS lainnya seperti antara lain DNS Amplification. Tapi ketiga kategori attack yang saya bagikan disini mungkin cukup mewakili mayoritas serangan DDoS yang umum terjadi hingga tahun 2020 ini. Secara umum, serangan DDoS hanya berdampak pada availability dari layanan online. Namun besaran dari serangannya semakin hari semakin meningkat. Jika sebuah perusahaan menempatkan seluruh layanan online-nya pada on-premise, tentunya DDoS akan terbatas pada besaran bandwidth yang di gunakan. Dan dalam kasus ini, tentunya biaya koneksi Internet besarannya akan cenderung tetap untuk setiap waktunya. Tentunya akan berbeda jika pelanggan mempergunakan layanan Cloud yang mana besaran tagihan akan sangat dinamis dari waktu ke waktu. Pastinya peningkatan trafik akses ini berpotensi mempengaruhi besaran biaya operasional layanan cloud. Berpotensi yang saya maksudkan disini adalah perlu persiapan arsitektural yang khusus memperhatikan kemungkinan atas serangan DDoS sehingga mampu menekan dampak availabilitas dan juga pengaruhnya terhadap peningkatan tagihan pada periode berjalan. Inilah mengapa dalam satu hingga dua tahun berjalan ini, praktisi cybersecurity dan CISO semakin memberikan perhatian terhadap penanganan DDoS khususnya di karenakan peningkatan penggunaan infrastruktur Cloud di bandingkan on-premise. Karena kini dampaknya selain kepada availabilitas layanan, bisa berpotensi mengakibatkan kerugian finansial akibat peningkatan biaya operasional.

BPS dan PPS

Lebih sering serangan DDoS merupakan serangan Volumetric, yang artinya terjadi peningkatan bobot atau lonjakan trafik yang menghabiskan resource bandwidth. Namun sebenarnya serangan Volumetric ini pada prakteknya terdapat dua kategori dampak. Yang pertama, lonjakan trafik jika di lakukan pengukuran berdasarkan bits-per-second atau di singkat BPS. Mungkin bagian ini cukup jelas bagi kita, yaitu: pengukuran berdasarkan kapasitas kecepatan bandwidth. Kemudian yang kedua, adalah pengukuran berdasarkan packet-per-second yaitu PPS. Artinya pengukuran lonjakan berdasarkan satuan packet yang masuk. Tujuannya adalah di samping menyerang kapasitas yang tersedia, juga akan berdampak pada kemampuan perangkat jaringan memproses lonjakan packet ini. Kejadian ini memungkinkan perangkat jaringan yang menghubungkan internal dan eksternal menjadi terdampak kecepatannya sehingga menyulitkan menerima packet yang legit. Saya mencoba memberikan sederhana dari kedua kategori ini dengan memberikan gambaran antrian kasir pada supermarket. Kategori pertama adalah: ratusan orang antri untuk membayar di kasir dengan masing-masing membawa troli belanjaan yang banyak sehingga memenuhi troli. Proses dari masing-masing pelanggan akan sangat memakan waktu sehingga menyebabkan antrian semakin panjang. Sementara untuk kategori kedua adalah: jutaan pelanggan antri untuk membayar ke kasir dengan masing-masing pelanggan hanya membeli 1 item, misalnya: permen atau minuman ringan. Banyaknya antrian menyebabkan peningkatan jumlah antrian karena item yang di beli sangat variatif dan membingungkan proses. Jika dalam kategori pertama, sistem pengamanan bisa lebih mudah meng-eliminasi pelanggan yang terlalu banyak membawa barang ke kasir. Hal ini tidak dapat di terapkan dengan kategori ke dua di sebabkan pelanggan hanya membawa satu hingga dua item untuk di bayar. Intinya, pada kategori pertama serangan akan menekankan pada penggunaan bandwidth maksimal, sedangkan pada kategori kedua serangan akan mentargetkan pada penggunaan computing resource pada perangkat jaringan sehingga menyebabkan delay proses yang tinggi atau bahkan berpotensi untuk crash.

Architecting for Failure

Pada dekade ini, merancang arsitektur system tidak dapat di lakukan hanya dengan menghubungkan perangkat secara fisik. Kita perlu mempersiapkan segala kemungkinan yang dapat terjadi. Jika kita berbicara mengenai arsitektur cloud, di sarankan untuk menganut konsep pemikiran, Architecting for Failure. Atau dengan kata lain, rancangan arsitektur di persiapkan sedapat mungkin untuk mampu memberikan respon atas segala bentuk serangan yang mungkin terjadi. Ini memerlukan proses berkelanjutan meskipun setelah arsitektur selesai di rancang. Perubahan mekanisme attack pun pastinya akan mengalami perkembangan. Jika saat ini hanya ada tiga kategori DDoS attack, yaitu: Volumetric, Layer 7, dan Protocol Attack, mungkin saja beberapa tahun ke depan akan terdapat banyak kategori serangan baru. Hal ini di sebabkan dinamisasi perubahan landscape yang pastinya akan terus terjadi. Untungnya, perubahan arsitektur di cloud jauh lebih mudah di bandingkan dengan on-premise yang memerlukan investasi capital dan pengadaan perangkat. 

Konsep monolithic yang umumnya ada di on-premise tentunya sudah sangat ketinggalan. Monolithic adalah sebuah pendekatan yang secara umum di terjemahkan dengan arti di mana semua proses di laksanakan oleh satu aplikasi besar. Sehingga bottleneck dan single point of failure bisa saja terjadi. Hal ini tentunya semakin memperbesar keberhasilan serangan DDoS. Dalam architecture cloud, memiliki pendekatan yang berbeda. Konsep arsitektural cloud memberikan penekanan kepada service, bukan server. Ini artinya, sebuah arsitektur yang lebih mengangkat kepada kolaborasi dari microservices. Kolaborasi ini di sebut dengan istilah lain, yaitu loose coupling. Yang secara khusus di maksudkan agar kegagalan pada satu services tidak menyebabkan kegagalan pada services lainnya. Arsitektur cloud yang terdiri dari beragam microservices saling berinteraksi secara harmonis. Jika terjadi kegagalan pada satu microservices, maka microservice lainnya tidak perlu kemudian di refresh. Cukup microservice yang bermasalah saja. Hal inilah yang membuat availability time dari arsitektur cloud bisa lebih tinggi di capai tanpa mengorbankan biaya yang tinggi dalam menjaga availability tersebut.

DDoS dan Arsitektur Cloud

Serangan DDoS yang mendera infrastruktur baik dengan mengkonsumsi bandwidth yang sangat signifikan dan juga computing resources yang di miliki pada akhirnya mengakibatkan availability system menjadi menurun. Tidak hanya nama baik dan kepercayaan pengguna yang tercoreng, namun biaya akibat penggunaan resource bandwidth dan computing power pun menjadi sesuatu yang tidak dapat di hindari. Namun untungnya, perkembangan teknologi cybersecurity dewasa ini menunjukkan kemampuan yang handal dari penyedia jasa layanan cloud dan content delivery network untuk mampu menekan potensi dari serangan DDoS. Hal ini di sebabkan kemampuan predictive analysis yang di dukung oleh machine learning, telah mampu memanfaatkan data trafik sehingga bisa lebih baik membedakan antara trafik yang legit dan yang malicious. Ini merupakan salah satu keunggulan penerapan arsitektur cybersecurity di cloud, yang mana analisa trafik bisa dapat lebih akurat karena data yang diperoleh sangat banyak dan berasal dari berbagai macam sumber. Tentunya dengan dukungan kapasitas pipa bandwidth yang besar, bisa di pastikan serangan DDoS tidak menyebabkan layanan perusahaan terkena dampak yang berarti. 

Biaya sebagai akibat atas serangan DDoS diperkirakan dapat mencapai $ 500 miliar. Meski para ahli mengklaim bahwa sekitar 50 juta serangan DDoS masih belum terdeteksi setiap tahunnya. Dalam kasus DDoS, mencegah dan melindungi terhadap ancaman DDoS tidak hanya membutuhkan teknologi otomasi, namun pada beberapa kondisi tetapi juga kecerdasan manusia. Untuk itulah, tetap di perlukan untuk memahami dasar-dasar bagaimana serangan DDoS bekerja. Bentuk perlindungan terbaik datang dalam bentuk keamanan cloud berlapis-lapis hingga dipantau oleh para profesional berpengalaman yang biasanya tergabung dalam team SOC.

Cyber Security Strategist with 20+ years experience in CyberSecurity
About the Author
Faisal has two decades of progressive leadership experience in Cyber Security and Enterprise Architecture. Playing an integral role in spearheading all Integration of IS/IT, IT Infosec Strategy, Security Technology Roadmaps, CyberSecurity Architecture, Incident Response Team, and Red/Blue Teaming (cross functional team leadership – Purple teaming). Proven role model, Virtual CISO, and an engineering mentor, including university post-graduate lecturer. Engaged with the Asian IT communities, actively researching, speaking and advocating for better Cybersecurity. Apart from coaching the next generation leaders, Faisal actively engages with the IT communities within the region, giving time on researching, speaking at public conferences and advocating on better Cybersecurity practices and defining improvements in the Information Security space.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.