Serangan Distributed Denial-of-Service (DDoS) menggunakan beberapa komputer untuk menyerang satu atau lebih server dengan program jahat. Serangan ini melemahkan performa atau mengonsumsi lebar pita jaringan server, sehingga server tidak dapat memberikan layanan seperti yang diharapkan.
Prinsip serangan
Dalam banyak kasus, penyerang memasang program induk DDoS pada satu komputer menggunakan akun tidak sah dan kemudian memasang program agen pada beberapa komputer lain. Program induk berkomunikasi dengan sejumlah besar program agen dalam periode waktu tertentu. Ketika program agen menerima perintah, mereka memulai serangan. Program induk dapat meluncurkan ratusan hingga ribuan program agen dalam hitungan detik.
Risiko serangan
Serangan DDoS dapat menyebabkan risiko berikut terhadap layanan Anda:
Kehilangan ekonomi yang signifikan
Ketika serangan DDoS terjadi, server asal Anda mungkin tidak dapat memberikan layanan, dan pengguna tidak dapat mengakses layanan tersebut. Hal ini dapat mengakibatkan kerugian ekonomi dan reputasi yang besar.
Sebagai contoh, ketika serangan DDoS terjadi pada platform e-commerce, situs web tidak dapat diakses atau mungkin ditutup sementara. Akibatnya, pengguna tidak dapat membeli produk.
Kebocoran data
Penyerang dapat mengakses data inti dari layanan Anda.
Persaingan tidak sehat
Pesaing dapat meluncurkan serangan DDoS terhadap layanan Anda untuk mendapatkan keunggulan kompetitif.
Sebagai contoh, sebuah game sedang diserang DDoS, dan jumlah pemain berkurang secara signifikan. Akibatnya, game tersebut mungkin akan offline selama beberapa hari.
Jenis-jenis serangan DDoS umum
Tipe | Serangan Tipikal | Deskripsi |
Serangan Paket Tidak Berbentuk | Flood fragmen, smurf, stream flood, land flood, paket IP tidak berbentuk, paket TCP tidak berbentuk, dan paket UDP tidak berbentuk | Serangan paket tidak berbentuk terjadi ketika paket IP tidak berbentuk dikirim ke sistem. Hal ini dapat menyebabkan sistem berhenti merespons. |
Serangan DDoS Lapisan Transportasi | Syn flood, Ack flood, UDP flood, ICMP flood, dan RST flood | Syn floods adalah serangan protokol yang mengeksploitasi kerentanan dalam jabat tangan tiga arah TCP. Dalam proses jabat tangan normal, ketika server menerima permintaan SYN, server menyimpan koneksi dalam antrian SYN. Jika penyerang terus mengirim permintaan SYN ke server tetapi tidak merespons dengan Pesan ACK yang diharapkan, sumber daya server dikonsumsi. Ketika antrian SYN penuh, server berhenti merespons permintaan dari pengguna. |
Serangan Domain Name Service (DNS) | Flood permintaan DNS, flood respons DNS, flood Kueri DNS (permintaan palsu dan nyata), serangan server otoritatif, dan serangan server lokal | Flood Kueri DNS menjalankan permintaan kueri nyata, yang merupakan operasi layanan normal. Jika beberapa zombie memulai sejumlah besar permintaan kueri nama domain secara bersamaan, server tidak dapat merespons permintaan tersebut. Hal ini dapat mengakibatkan penolakan layanan. |
Serangan DDoS Berbasis Koneksi | Serangan rendah dan lambat, serangan kelelahan koneksi, Low Orbit Ion Cannon (LOIC), High Orbit Ion Cannon (HOIC), Slowloris, PyLoris, dan XOIC | Serangan Slowloris dapat menghabiskan sumber daya koneksi konkuren dari server target. Ketika jumlah koneksi konkuren mencapai batas atas, server menolak percobaan koneksi berikutnya. Sebagai contoh, ketika server menerima permintaan HTTP baru, server memproses permintaan tersebut, mengembalikan respons, dan kemudian menutup koneksi. Jika koneksi tetap terbuka, server harus membuat koneksi baru ketika server menerima permintaan HTTP lainnya. Jika semua koneksi tetap terbuka, server berhenti merespons permintaan baru apa pun. Serangan Slowloris mengeksploitasi fitur HTTP. Permintaan HTTP dimulai dengan |
Serangan Lapisan Aplikasi | HTTP GET flood, HTTP POST flood, dan serangan HTTP flood | Serangan lapisan aplikasi dapat mensimulasikan permintaan pengguna. Sebagai contoh, serangan tersebut dapat mensimulasikan permintaan pengguna sebagai permintaan yang dikirim dari mesin pencari dan crawler. Perbedaan antara serangan dan permintaan normal sulit dibedakan. Transaksi dan halaman yang mengonsumsi sejumlah besar sumber daya dalam layanan web rentan terhadap serangan HTTP flood dalam skenario konkurensi tinggi, seperti paging dan sharding. Jika ukuran halaman terlalu besar, paging yang sering mengonsumsi sejumlah besar sumber daya. Serangan-serangan ini adalah serangan hibrida. Operasi yang sering dilakukan dan memiliki fitur operasi pengguna nyata diidentifikasi sebagai serangan HTTP flood. Sebagai contoh, jika sebuah situs web diakses oleh bot tiket, akses tersebut dapat diidentifikasi sebagai serangan HTTP flood. Serangan HTTP flood menargetkan layanan backend aplikasi web. Selain menyebabkan penolakan layanan, serangan HTTP flood secara langsung memengaruhi fungsi dan performa aplikasi web, termasuk waktu respons, layanan database, dan operasi baca-tulis disk. |
Bagaimana cara mengidentifikasi serangan DDoS?
Jika salah satu dari skenario berikut terjadi, layanan Anda mungkin sedang mengalami serangan DDoS:
Koneksi tak terduga terputus pada server Anda, kecepatan akses menjadi lambat, dan pengguna offline, tetapi jaringan dan perangkat bekerja seperti yang diharapkan.
Penggunaan CPU atau memori server Anda meningkat secara signifikan.
Lalu lintas arah keluar atau arah masuk meningkat secara signifikan.
Situs web atau aplikasi Anda tiba-tiba menerima sejumlah besar permintaan yang tidak diminta.
Login ke server Anda gagal atau menjadi sangat lambat.
Untuk menentukan apakah aset sedang diserang, lihat status aset di halaman Assets dari Konsol Keamanan Lalu Lintas. Untuk informasi lebih lanjut tentang cara melihat status aset, lihat Lihat halaman Aset.