Cara Menghentikan Serangan DDoS
Diterbitkan: 2023-03-24Uptime adalah perhatian utama bagi developer front-end dan back-end, tetapi juga penting untuk semua jenis admin sisi server. Sayangnya, salah satu cara paling efektif bagi aktor jahat untuk merusak situs Anda adalah dengan menghentikannya menggunakan serangan Distributed Denial of Service (DDoS) dan mengurangi waktu aktifnya. Dengan demikian, sebagian besar dari Anda yang bekerja dengan situs web pasti ingin tahu cara menghentikan serangan DDoS, atau setidaknya menguranginya.
Posting ini akan membahas cara menghentikan serangan DDoS. Namun sebelum kita sampai ke langkah yang tepat, mari kita atur adegannya. Untuk melakukannya, pertama-tama kita akan melihat apa itu serangan DDoS dan mempelajari cara mengidentifikasinya.
Apa itu serangan DDoS
Secara umum, serangan Denial of Service (DoS) reguler (tidak terdistribusi) terlihat membanjiri sumber daya server untuk menjadikan situs offline. Aktor jahat akan menggunakan permintaan berlebihan untuk mengganggu layanan host di jaringan sehingga permintaan yang sah tidak dapat sampai ke situs.
Anda bisa menganggap ini seperti protes di luar toko. Jika orang memblokir pintu masuk ke gedung, pelanggan tidak bisa masuk dan, efeknya, toko tidak bisa berdagang secara optimal (atau bahkan sama sekali.)
Serangan DDoS (Distributed Denial of Service) menggunakan banyak komputer jarak jauh dalam jaringan untuk mencapai tujuan ini. Ini sebenarnya mirip dengan "efek Slashdot", di mana lalu lintas yang sah dan belum pernah terjadi sebelumnya (sering kali karena tautan dari situs web dengan lalu lintas tinggi) dapat menyebabkan pelambatan atau kerusakan situs. Namun, meskipun ini memiliki alasan yang sah, serangan DDoS selalu direncanakan dan berbahaya.
Misalnya, banyak mesin yang akan digunakan oleh serangan DDoS mengalami eksploit atau injeksi malware. Penyerang akan mengontrol "bot" ini menggunakan instruksi jarak jauh untuk menargetkan alamat IP tertentu, dan masing-masing dapat terlihat sah.
Salah satu faktor kunci keberhasilan serangan DoS adalah target memiliki kecepatan internet yang lebih lambat daripada penyerang. Teknologi komputasi modern mempersulit ini, itulah sebabnya serangan DDoS bekerja jauh lebih baik untuk aktor jahat.
Secara keseluruhan, sifat serangan DDoS yang terdistribusi membuatnya sulit untuk mengidentifikasi serangan dalam keadaan tertentu.
Cara mengidentifikasi serangan DDoS
Jika Anda ingin mempelajari cara menghentikan serangan DDoS, Anda harus memahami tampilannya terlebih dahulu. Ini bisa sulit karena mungkin ada alasan yang sah untuk jumlah lalu lintas Anda yang tinggi.
Pada tingkat tinggi, jika sebuah situs melambat atau mogok, ini adalah tanda untuk menerapkan rencana bencana Anda (lebih banyak lagi nanti.) Dari sana, Anda akan ingin melihat sejumlah tanda-tanda:
- Banyak lalu lintas yang semuanya menyajikan tanda tangan umum. Ini bisa berarti bahwa lalu lintas berasal dari alamat IP atau rentang alamat yang sama. Dalam kasus lain, Anda mungkin menemukan lalu lintas yang berasal dari lokasi yang serupa, situs web perujuk, atau jenis perangkat.
- Mungkin juga ada lonjakan lalu lintas ke satu titik akhir situs – biasanya halaman tertentu. Banyak kesalahan 404 bisa menjadi tanda yang jelas juga.
- Pola lalu lintas yang tidak selaras dengan apa yang Anda harapkan diterima situs Anda. Misalnya, ini mungkin puncak di luar rentang waktu biasanya atau peristiwa tidak wajar seperti lonjakan aktivitas pada jam tertentu.
- Setiap dan semua ini bisa sah daripada berbahaya. Karena itu, Anda ingin bersandar pada perangkat lunak analitik Anda untuk mencari tahu apa yang relevan dan terkait.
Anda juga harus ingat bahwa tidak semua serangan DDoS sama, dan tipe yang berbeda dapat membuat masalah ini jauh lebih rumit. Oleh karena itu, penting untuk mengetahui jenis ini jika Anda ingin mengetahui cara menghentikan serangan DDoS.
Berbagai jenis serangan DDoS yang akan Anda temui
“Konektivitas jaringan” mungkin tampak seperti ungkapan sederhana untuk menggambarkan cara komputer terhubung ke seluruh web, tetapi itu adalah kekeliruan. Model Open System Interconnection (OSI) menunjukkan seluk-beluk sebenarnya dari koneksi jaringan dan sistem komunikasi:
Serangan DDoS termasuk dalam kategori berbeda berdasarkan lapisan mana yang mereka targetkan. Meski begitu, Anda dapat mengelompokkan mereka ke dalam kelompok yang berbeda. Meskipun Anda dapat melakukan ini berdasarkan per lapisan, mengklasifikasikannya berdasarkan target serangan DDoS juga dapat diterima.
Misalnya, serangan volumetrik terlihat membanjiri jaringan dan lapisan transportasi (tiga dan empat). Serangan di sini dapat mengubah cara data bergerak melintasi web, dan keefektifan protokol transmisi.
Satu jenis – serangan amplifikasi Sistem Nama Domain (DNS) – menggunakan “botnet” untuk memalsukan alamat IP target dan membuat permintaan ke server DNS terbuka. Ini menyebabkan server merespons IP target dan membanjiri sumber daya.
Serangan lapisan protokol
Serangan lapisan protokol atau infrastruktur juga menargetkan lapisan tiga dan empat, dan mewakili cara khas untuk melakukan serangan DDoS. Di sinilah sumber daya server dan peralatan jaringan tidak dapat menangani data yang masuk.
Contoh di sini adalah serangan refleksi User Datagram Protocol (UDP). Ini memanfaatkan sifat UDP yang tidak berkewarganegaraan. Anda dapat membuat paket permintaan UDP yang valid menggunakan hampir semua bahasa pemrograman. Untuk melakukan serangan yang berhasil, Anda hanya perlu mencantumkan alamat IP target sebagai alamat sumber UDP.
Server yang menjadi tujuan data ini akan memperkuat data untuk membuat paket respons yang lebih besar, lalu memantulkannya kembali ke alamat IP target. Dengan demikian, aktor jahat tidak perlu membuat koneksi server kapan pun, yang murah untuk diproduksi.
Saat Anda terhubung ke server web, Anda akan melakukan "jabat tangan tiga arah" antara klien dan server yang melibatkan paket sinkronisasi ( SYN ) dan pengakuan ( ACK ). Saat server mengirimkan paket SYN-ACK gabungan, klien mengirimkan paket SYN dan ACK tunggal.
Dengan serangan banjir SYN , klien – dalam hal ini pengguna jahat – mengirimkan beberapa paket SYN , tetapi tidak mengirimkan paket ACK terakhir. Ini menyisakan banyak koneksi Transmission Control Protocol (TCP) yang setengah terbuka, yang berarti server kehabisan kapasitas untuk menerima yang baru. Ini adalah cara lain untuk menjauhkan koneksi yang tersedia dari pengguna yang sah.
Serangan lapisan aplikasi
Anda tidak hanya akan melihat serangan DDoS pada lapisan ketiga dan keempat. Lapisan aplikasi – nomor tujuh – ada di tingkat teratas. Ini berarti menangani interaksi manusia-komputer dan memungkinkan aplikasi mengakses layanan jaringan.
Dengan demikian, ada banyak serangan DDoS yang memanipulasi lapisan ini, seringkali menggunakan permintaan HTTP. Untuk klien, permintaan HTTP itu murah, tetapi untuk server itu mahal untuk ditanggapi dari sudut pandang teknis. Serangan dapat terlihat seperti lalu lintas yang sah, terutama karena mereka menggunakan metode yang sama untuk mengakses situs.
Misalnya, banjir HTTP sangat mirip dengan menekan tombol segarkan di browser Anda dalam siklus yang berkelanjutan. Setelah jenis interaksi DoS ini menjadi DDoS , itu menjadi lebih kompleks.
Gaya banjir HTTP juga bisa rumit, yang akan menggunakan banyak alamat IP berbeda dan tanda tangan acak untuk menargetkan sejumlah besar URL web untuk memperluas cakupan serangan. Bahkan implementasi sederhana yang menargetkan satu URL akan menyebabkan banyak kerusakan.
Bagi seorang peretas, serangan Slowloris menghabiskan lebih sedikit bandwidth tetapi dapat menyebabkan lebih banyak kekacauan. Di sini, setiap permintaan membutuhkan waktu tak terbatas untuk memproses server dan memonopoli semua koneksi yang tersedia. Karena serangan ini efektif terhadap server dengan koneksi bersamaan yang relatif sedikit, Anda akan sering melihat ini memengaruhi situs web yang lebih kecil.
Cara Mempersiapkan serangan DDoS
Persiapan adalah bagaimana menghentikan serangan DDoS, karena semakin cepat Anda bisa kembali normal, semakin baik. Sebenarnya, Anda mungkin tidak dapat menghapus ancaman secara keseluruhan, namun Anda dapat mengurangi potensi masalah seminimal mungkin.
Sebelum itu, Anda akan ingin "menghitung" berapa banyak yang ingin Anda belanjakan, karena arus kas dapat menentukan rencana Anda untuk menghentikan serangan DDoS. Anda harus mulai dari berapa banyak serangan akan merugikan bisnis Anda, kemudian bekerja kembali untuk menentukan anggaran yang tersedia untuk Anda. Ini bukan perhitungan yang ingin Anda lakukan di tengah serangan.
Dari sana, Anda perlu mencatat tiga bidang utama yang harus Anda fokuskan pada persiapan Anda.
- Buat rencana bencana dan pemulihan, karena ini akan memberi tahu semua orang di tim Anda apa yang harus dilakukan dengan detail yang jelas.
- Dari sana, Anda dapat membelanjakan sebagian dari alokasi anggaran Anda untuk layanan perlindungan DDoS khusus. Ini akan menempatkan para ahli untuk memantau situs, "mengusir" beberapa lalu lintas berbahaya yang Anda terima, dan banyak lagi.
- Belajar mengenali kapan serangan DDoS akan dimulai. Analitik situs Anda akan sangat penting di sini, karena Anda dapat memantau tanda-tanda serangan DDoS dan bereaksi sebelum terjadi bencana besar.
Pada tingkat teknis, masih banyak lagi yang dapat Anda lakukan untuk membantu menghentikan serangan DDoS sebelum dimulai. Kami akan membahas ini selanjutnya.
Cara Mengurangi serangan DDoS
Karena salah satu masalah terbesar dalam cara menghentikan serangan DDoS adalah perjuangan untuk membedakan lalu lintas yang baik dari yang buruk, Anda tidak dapat mengandalkan satu solusi hanya untuk menguranginya. Ini terutama benar jika Anda melihat serangan DDoS “multi-vektor” – yaitu, yang menyerang banyak lapisan OSI.
Karena itu, Anda juga ingin melapisi persediaan Anda untuk membantu pertahanan Anda. Ada beberapa cara sederhana untuk melakukan ini:
- Perutean lubang hitam . Di sinilah Anda memfilter lalu lintas ke rute nol dan melepaskannya dari jaringan. Tanpa pemfilteran khusus, Anda akan membuang semua lalu lintas, yang tidak ideal.
- Pembatasan tarif . Meskipun ini saja tidak cukup untuk menghentikan serangan DDoS, Anda dapat membatasi jumlah tindakan yang diselesaikan oleh setiap pengguna.
- Difusi jaringan . Jika Anda mengambil lalu lintas yang masuk ke situs Anda dan menyebarkannya ke jaringan terdistribusi, Anda akan menyebarkan dampak serangan DDoS secara teori.
Dengan demikian, meningkatkan bandwidth, koneksi jaringan, dan sumber daya lainnya adalah beberapa cara terbaik untuk melawan serangan DDoS. Beberapa solusi yang akan kita bicarakan nanti datang sebagai layanan cloud, yang mendistribusikan lalu lintas sebagai pertahanan.
Anda juga dapat menggunakan solusi di tempat, seperti CAPTCHA, untuk melindungi titik akhir penting di situs Anda. Di sinilah halaman login Anda memerlukan tingkat keamanan yang tinggi, karena Anda dapat menempatkan elemen berat sumber daya situs Anda di belakang layar login atau aspek perlindungan lainnya.
Terlebih lagi, Anda dapat menerapkan beberapa pertimbangan teknis manual. Misalnya, Anda dapat menyetel ambang SYN atau UDP yang lebih rendah, dan waktu habis koneksi setengah terbuka di server.
Strategi empat langkah untuk menghentikan serangan DDoS
Selama sisa artikel ini, kami akan menunjukkan cara menghentikan serangan DDoS dalam empat langkah. Kabar baiknya adalah saran yang akan kami berikan tidak bersifat preskriptif dan ketat. Dengan demikian, Anda dapat menyesuaikan ide dengan kebutuhan Anda sendiri.
Inilah yang akan kami bahas:
- Bagaimana rencana respons dan strategi krisis dapat menyelamatkan Anda.
- Pendekatan apa yang harus Anda gunakan untuk mempertahankan server web.
- Keuntungan dan kerugian perlindungan DDoS lokal.
- Apa yang dapat dilakukan mitigasi DDoS berbasis cloud untuk Anda.
Mari kita mulai dengan topik yang telah kami sebutkan – menyusun strategi.
1. Merumuskan strategi dan rencana respon
Merupakan ide yang luar biasa untuk memantapkan semua yang akan Anda lakukan dalam rencana tanggap dan bencana resmi. Ini harus menjadi salah satu dokumen terinci yang Anda miliki di bisnis Anda, dan mencakup semua langkah yang akan Anda ambil untuk menghentikan serangan dan memulihkan sumber daya Anda.
Berikut adalah beberapa item catatan untuk disertakan:
- Langkah-langkah yang harus diikuti setiap anggota tim, secara berurutan, saat Anda menanggapi serangan DDoS.
- Harus ada instruksi bagi orang-orang di luar tim yang harus mengkomunikasikan masalah kepada pelanggan, klien, pemasok, vendor, dan pihak lain yang berkepentingan.
- Anda ingin menyertakan detail kontak penting untuk layanan perlindungan DDoS Penyedia Layanan Internet (ISP), dan lainnya di garis depan.
Setelah ini diterapkan, seluruh perusahaan akan memahami apa yang perlu dilakukan untuk melindungi server situs Anda.
2. Cari tahu cara mempertahankan server web Anda
Ada dua masalah utama dengan serangan DDoS:
- Sulit untuk mengatakan kapan serangan terjadi.
- Jika Anda harus bereaksi terhadap serangan yang sedang berlangsung, itu sudah terlambat.
Untuk mengatasi kedua masalah ini, Anda sebaiknya menggunakan layanan perlindungan DDoS. Cloudflare adalah salah satu yang terbaik, dan mencakup arsitektur server khusus dalam skala global untuk mencegat, menyebarkan, dan memfilter lalu lintas web yang sesuai.
Dengan mengingat hal ini, Anda tidak ingin menerapkan ambang lalu lintas statis atau mengisi daftar blokir IP Anda, karena ini tidak akan cukup, dan sering kali merupakan tindakan reaktif. Karena skalabilitas adalah salah satu cara terbaik untuk menghentikan serangan DDoS, metode “homespun” memiliki batasan bandwidth yang membuat layanan khusus bekerja lebih baik.
3. Menerapkan perlindungan di tempat
Perlindungan DDoS lokal menggunakan perangkat keras di jaringan untuk memfilter lalu lintas untuk server yang dilindungi. Ini bisa menjadi cara yang layak dan canggih untuk mengurangi dan menghentikan serangan DDoS.
Radware dan F5 menghasilkan perangkat keras unit mitigasi DDoS, dan beberapa juga menghasilkan perangkat keras WAF (Web Application Firewall) juga.
Namun, perlindungan di tempat hanya dapat melakukan banyak hal, dan tidak akan dapat menghentikan serangan skala besar – terutama DDoS. Karena itu, Anda ingin melengkapi dengan penyiapan DDoS berbasis cloud untuk respons terbaik tentang cara menghentikan serangan DDoS.
4. Pertimbangkan solusi DDoS berbasis cloud
Pada kenyataannya, lebih banyak situs mengandalkan perlindungan cloud karena dapat diskalakan, selalu aktif, dan lebih murah daripada perangkat keras. Biaya perawatan juga rendah.
Anda akan menemukan beberapa layanan DDoS yang hanya berfungsi di tingkat ISP, tetapi layanan yang bekerja di dalam cloud memiliki cakupan perlindungan yang lebih besar. Seringkali, layanan ini memiliki jaringan komputer yang sangat besar untuk mendistribusikan lalu lintas.
Misalnya, AWS Shield Amazon memanfaatkan jaringannya untuk melakukan deteksi otomatis dan mitigasi serangan DDoS. Terlebih lagi, Anda dapat menyesuaikan cara alat melindungi server Anda bersama WAF pihak pertama.
Transit Ajaib Cloudflare dapat bekerja dengan baik sebagai tambahan untuk solusi lokal Anda yang sudah ada. Anda juga akan mendapatkan alat yang lengkap untuk membantu Anda mengelola jaringan virtual, seperti penyeimbang muatan, pemfilteran paket lanjutan, dan banyak lagi.
Kesimpulan 🔥
Serangan DDoS akan membuat situs Anda kalah dalam menghadapi upaya jahat untuk merusaknya. Meskipun kelihatannya kalah, tidak ada cara nyata untuk menghentikan serangan sama sekali, apalagi serangan DDoS. Dengan demikian, jawaban untuk menghentikan serangan DDoS sangatlah kompleks.
Mengurangi serangan adalah strategi yang bagus, dan ada banyak penerapan yang dapat Anda lakukan di tingkat server. Penting untuk mengetahui apa strategi Anda nantinya, dan bagaimana Anda ingin mempertahankan server web Anda. Perlindungan di tempat adalah ide yang fantastis, dan WAF hampir penting. Solusi cloud seperti AWS Shield juga berfungsi, serta standar cloud di tempat seperti CAPTCHA.
Apakah Anda memiliki pertanyaan tentang cara menghentikan serangan DDoS? Tanyakan di bagian komentar di bawah!