Apa itu serangan DDoS - Anti-DDoS

Serangan penolakan layanan terdistribusi (distributed denial-of-service/DDoS) memanfaatkan banyak komputer untuk melancarkan serangan terkoordinasi terhadap satu atau beberapa target. Komputer-komputer tersebut menggunakan program berbahaya dan koneksi remote guna menghabiskan sumber daya server target atau lebar pita jaringan, sehingga mencegah server memberikan layanan.

Cara kerja serangan DDoS

Serangan DDoS adalah serangan terkoordinasi yang memanfaatkan jaringan bot (botnet):

Penyerang membangun botnet besar dengan mengendalikan banyak perangkat di Internet secara ilegal.
Saat menyerang, penyerang mengirim perintah dari server kendali yang mengarahkan semua host zombie dalam botnet untuk secara bersamaan mengirim banjir permintaan atau lalu lintas besar-besaran ke target tertentu, seperti website atau server.
Lonjakan lalu lintas mendadak ini dengan cepat menghabiskan sumber daya sistem atau lebar pita jaringan server target, menyebabkan layanan melambat atau bahkan crash sepenuhnya. Akibatnya, server tidak dapat memproses permintaan dari pengguna sah, sehingga mencapai tujuan serangan penolakan layanan.

Risiko serangan DDoS

Kerugian finansial dan reputasi merek yang signifikan: Serangan dapat menyebabkan gangguan layanan dan mencegah pengguna mengakses layanan Anda. Hal ini mengakibatkan kerugian finansial langsung akibat pesanan yang hilang dan churn pelanggan, serta merusak reputasi merek secara serius.
Catatan
Contoh: Platform e-commerce menjadi sasaran serangan DDoS, menyebabkan website-nya tidak dapat diakses atau mati sementara. Akibatnya, pengguna sah tidak dapat melakukan pemesanan.
Risiko kebocoran data: Serangan DDoS dapat berfungsi sebagai kedok taktis. Saat menciptakan kekacauan jaringan, penyerang mungkin memanfaatkan kesempatan tersebut untuk menyusup ke sistem dan mencuri data sensitif atau inti.
Persaingan bisnis tidak sehat: Serangan DDoS digunakan sebagai taktik persaingan tidak adil. Penyerang melumpuhkan layanan pesaing untuk mengganggu operasional bisnis mereka, merebut pangsa pasar, dan merusak ekosistem industri.
Catatan
Contoh: Layanan game menjadi sasaran serangan DDoS, menyebabkan jumlah pemain turun drastis. Serangan tersebut bahkan dapat membuat layanan game offline sepenuhnya selama beberapa hari.

Cara menentukan apakah layanan Anda sedang diserang DDoS

Untuk menentukan apakah layanan Anda sedang diserang DDoS, perhatikan tanda-tanda berikut:

Penting

Untuk memeriksa apakah suatu aset sedang diserang, cek status aset tersebut di halaman Assets pada Konsol Keamanan Lalu Lintas. Untuk informasi selengkapnya, lihat Asset Center.

Penurunan kualitas layanan: Layanan Anda melambat, merespons dengan lambat, atau banyak pengguna terputus.
Sumber daya server tidak normal: Utilisasi CPU atau memori melonjak.
Lonjakan lalu lintas jaringan: Lalu lintas outbound atau inbound meningkat secara tak terduga.
Akses massal dari sumber tidak dikenal: Website atau aplikasi Anda dibanjiri permintaan dari sumber yang tidak dikenal.
Kesulitan dalam manajemen remote: Anda tidak dapat login ke server, atau server merespons sangat lambat.

Cara Alibaba Cloud memberikan perlindungan DDoS

Catatan

Untuk informasi lebih lanjut tentang cara memilih produk Anti-DDoS yang sesuai, lihat Selection guide.

Anti-DDoS Origin Basic (Gratis)
Menyediakan kemampuan mitigasi DDoS sebesar 500 Mbps hingga 5 Gbps untuk Produk Alibaba Cloud yang Anda gunakan, seperti ECS, Server Load Balancer, EIP (termasuk EIP yang disambungkan ke NAT Gateway), , Global Accelerator, dan Web Application Firewall. Untuk informasi selengkapnya, lihat dokumentasi produk cloud spesifik tersebut.
Anti-DDoS Origin
Anti-DDoS Origin adalah layanan perlindungan transparan untuk sumber daya yang dideploy di Alibaba Cloud. Untuk informasi selengkapnya, lihat What is Anti-DDoS Origin?.
Anti-DDoS Proxy
Anti-DDoS Proxy menggunakan model proxy untuk melindungi port dan nama domain. Layanan ini dapat melindungi host yang tidak berada di Alibaba Cloud. Untuk informasi selengkapnya, lihat What is Anti-DDoS Proxy?.

Jenis-jenis umum serangan DDoS

Klasifikasi serangan DDoS	Subkelas serangan	Deskripsi
Malformed packet	Serangan malformed packet mencakup Frag Flood, Smurf, Stream Flood, Land Flood, dan serangan yang menggunakan paket IP, TCP, atau UDP tidak berbentuk.	Serangan malformed packet mengirimkan paket IP cacat ke sistem target. Saat sistem mencoba memproses paket-paket tersebut, sistem bisa crash, sehingga mengakibatkan serangan penolakan layanan.
Transport layer DDoS attack	Serangan DDoS lapisan transport mencakup serangan SYN Flood, ACK Flood, UDP Flood, ICMP Flood, dan RST Flood.	Ambil contoh serangan SYN Flood. Serangan ini mengeksploitasi jabat tangan tiga arah TCP. Saat server menerima permintaan SYN, server harus menggunakan antrian pendengar (listener queue) untuk menahan koneksi tersebut selama periode waktu tertentu. Penyerang mengirim aliran terus-menerus permintaan SYN tetapi tidak merespons paket SYN+ACK dari server. Hal ini menghabiskan sumber daya server hingga antrian pendengar penuh. Pada titik tersebut, server tidak dapat menerima permintaan dari pengguna sah, sehingga mengakibatkan serangan penolakan layanan.
DNS DDoS attack	Serangan DDoS DNS mencakup DNS Request Flood, DNS Response Flood, DNS Query Flood dari sumber palsu maupun asli, serangan terhadap server otoritatif, dan serangan terhadap server lokal.	Ambil contoh serangan DNS Query Flood. Serangan ini menggunakan permintaan kueri asli yang tampak seperti perilaku layanan normal. Namun, jika banyak mesin zombie secara bersamaan mengirim sejumlah besar kueri nama domain, server tidak dapat merespons kueri sah. Hal ini mengakibatkan penolakan layanan.
Connection-based DDoS attack	Serangan DDoS berbasis koneksi mencakup serangan slow-rate seperti serangan koneksi lambat TCP, serangan kehabisan koneksi, Loic, Hoic, Slowloris, Pyloris, dan Xoic.	Ambil contoh serangan Slowloris. Tujuan serangan ini adalah menghabiskan batas koneksi bersamaan server web. Server web hanya dapat menangani jumlah koneksi bersamaan yang terbatas. Serangan Slowloris berusaha menjaga sebanyak mungkin koneksi tetap terbuka selama mungkin. Saat semua koneksi yang tersedia sedang digunakan, server web tidak dapat menerima permintaan baru dari pengguna sah. Serangan Slowloris mengeksploitasi fitur protokol HTTP. Permintaan HTTP menggunakan `\r\n\r\n` untuk menandai akhir header. Jika server web hanya menerima `\r\n`, server mengasumsikan bahwa bagian header HTTP belum lengkap. Server kemudian menjaga koneksi tetap terbuka dan menunggu sisa konten permintaan.
Application layer DDoS attack	Serangan lapisan aplikasi mencakup HTTP GET Flood, HTTP POST Flood, dan serangan CC.	Serangan lapisan aplikasi sering kali mensimulasikan permintaan pengguna dengan sangat mirip, seperti mesin pencari dan perayap web. Perilaku serangan ini sulit dibedakan dari lalu lintas bisnis normal, sehingga sulit diidentifikasi. Beberapa transaksi dan halaman dalam layanan web mengonsumsi sumber daya dalam jumlah besar. Misalnya, pada aplikasi web yang menggunakan paging dan sharding tabel, jika parameter yang mengontrol halaman terlalu besar, pergantian halaman yang sering akan menghabiskan banyak sumber daya layanan web. Dalam skenario konkurensi tinggi dengan pemanggilan yang sering, transaksi semacam ini sering menjadi target serangan CC. Karena sebagian besar serangan saat ini bersifat hybrid, operasi berulang yang mensimulasikan perilaku pengguna dapat dianggap sebagai serangan CC. Misalnya, bot pembelian tiket yang berulang kali mengakses website dapat dianggap sebagai serangan CC. Serangan CC menargetkan layanan backend aplikasi web. Selain menyebabkan penolakan layanan, serangan ini secara langsung memengaruhi fungsi dan performa aplikasi web, seperti waktu respons web, layanan database, serta operasi baca/tulis disk.