Memahami serangan DDoS: panduan untuk administrator WordPress
Diterbitkan: 2019-10-10Distributed Denial of Service (DDoS) adalah jenis serangan Denial of Service (DoS) di mana serangan itu berasal dari beberapa host dan bukan satu, membuatnya sangat sulit untuk diblokir. Seperti halnya serangan DoS, tujuannya adalah untuk membuat target tidak tersedia dengan membebaninya dengan cara tertentu.
Umumnya, serangan DDoS melibatkan sejumlah komputer, atau bot. Selama serangan, setiap komputer dengan jahat mengirim permintaan untuk membebani target. Target umum adalah server web dan situs web, termasuk situs WordPress. Akibatnya, pengguna tidak dapat mengakses situs web atau layanan. Ini terjadi karena server terpaksa menggunakan sumber dayanya untuk menangani permintaan ini secara eksklusif.
Penting bagi admin WordPress untuk memahami dan bersiap menghadapi serangan DDoS. Mereka dapat terjadi kapan saja. Pada artikel ini kami akan menjelajahi DDoS secara mendalam dan memberi Anda beberapa tips untuk membantu menjaga situs WordPress Anda tetap terlindungi.
DDoS adalah serangan yang ditujukan untuk gangguan dan bukan peretasan
Penting untuk dipahami bahwa serangan DDoS bukanlah peretasan WordPress yang berbahaya dalam pengertian tradisional. Peretasan menyiratkan pengguna yang tidak sah mendapatkan akses ke server atau situs web yang seharusnya tidak mereka miliki.
Contoh peretasan tradisional adalah ketika penyerang mengeksploitasi kerentanan dalam kode, atau ketika mereka menggunakan packet sniffer untuk mencuri kata sandi WordPress. Setelah peretas memiliki kredensial, mereka dapat mencuri data atau mengontrol situs web.
DDoS melayani tujuan yang berbeda dan tidak memerlukan akses istimewa. DDoS hanya bertujuan untuk mengganggu operasi normal dari target. Dengan peretasan tradisional, penyerang mungkin ingin tidak diperhatikan untuk sementara waktu. Dengan DDoS, jika penyerang berhasil, Anda akan segera mengetahuinya.
Berbagai jenis serangan Denial of Service Terdistribusi
DDoS bukan hanya satu jenis serangan. Ada beberapa varian berbeda dan semuanya bekerja sedikit berbeda di bawah tenda. Di bawah kategori DDoS, ada beberapa subkategori serangan yang dapat diklasifikasikan. Tercantum di bawah ini adalah yang paling umum.
Serangan DDoS volumetrik
Serangan DDoS volumetrik secara teknis mudah: penyerang membanjiri target dengan permintaan untuk membebani kapasitas bandwidth. Serangan ini tidak menargetkan WordPress secara langsung. Sebaliknya mereka menargetkan sistem operasi dan server web yang mendasarinya. Meskipun demikian, serangan ini sangat relevan dengan situs WordPress. Jika penyerang berhasil, situs WordPress Anda tidak akan menyajikan halaman kepada pengunjung yang sah selama durasi serangan.
Serangan DDoS khusus yang termasuk dalam kategori ini meliputi:
- amplifikasi NTP
- banjir UDP
Serangan DDoS lapisan aplikasi
Lapisan aplikasi Serangan DDoS fokus pada lapisan 7, lapisan aplikasi. Ini berarti mereka fokus pada server web Apache atau NGINX Anda, dan situs web WordPress Anda. Serangan Layer 7 mendapatkan lebih banyak keuntungan dalam hal kerusakan yang dilakukan relatif terhadap bandwidth yang dihabiskan.
Untuk memahami mengapa demikian, mari kita telusuri contoh serangan DDoS pada REST API WordPress. Serangan dimulai dengan permintaan HTTP, seperti HTTP GET atau HTTP POST dari salah satu mesin host. Permintaan HTTP ini menggunakan jumlah sumber daya yang relatif kecil pada host. Namun, pada server target mungkin memicu beberapa operasi. Misalnya, server harus memeriksa kredensial, membaca dari database, dan mengembalikan halaman web.
Dalam hal ini, kami memiliki perbedaan besar antara bandwidth yang digunakan penyerang dan sumber daya yang dikonsumsi server. Perbedaan ini biasanya dimanfaatkan selama serangan. Serangan DDoS khusus yang termasuk dalam kategori ini meliputi:
- Banjir HTTP
- Serangan Pos Lambat
Serangan DDoS berbasis protokol
Serangan DDoS berbasis protokol mengikuti model sumber daya yang sama seperti serangan DDoS lainnya. Namun, umumnya mereka fokus pada lapisan jaringan dan transport, sebagai lawan dari layanan atau aplikasi.
Serangan ini mencoba untuk menolak layanan dengan menargetkan peralatan seperti firewall atau tumpukan TCP\IP yang berjalan di server Anda. Mereka mengeksploitasi kerentanan dalam cara tumpukan jaringan server menangani paket jaringan, atau cara kerja komunikasi TCP. Contoh serangan DDoS berbasis protokol meliputi:
- banjir sinkron
- ping kematian
Serangan DDoS Multi-Vektor
Seperti yang Anda duga, penyerang tidak membatasi diri hanya pada satu jenis serangan. Hal ini menjadi semakin umum untuk serangan DDoS untuk mengambil pendekatan multi-vektor. Serangan DDoS multi-vektor persis seperti yang Anda harapkan: serangan DDoS yang menggunakan banyak teknik untuk melumpuhkan target secara offline.
Memahami refleksi dan amplifikasi di DDoS
Dua istilah yang sering muncul dengan serangan DDoS adalah refleksi dan amplifikasi. Kedua teknik ini digunakan penyerang untuk membuat serangan DDoS lebih efektif.
Refleksi adalah teknik di mana penyerang mengirim permintaan dengan alamat IP palsu ke server pihak ketiga. Alamat IP palsu adalah alamat target. Selama jenis serangan ini, penyerang biasanya menggunakan berbagai protokol UDP. Berikut adalah cara kerjanya:
- Penyerang mengirimkan permintaan UDP dengan alamat IP palsu, katakanlah IP situs WordPress Anda ke sejumlah besar server yang disebut reflektor.
- Reflektor menerima permintaan dan membalas IP situs WordPress Anda secara bersamaan.
- Respons reflektor membanjiri situs WordPress Anda, berpotensi membebani dan membuatnya tidak tersedia.
Amplifikasi bekerja mirip dengan refleksi. Meskipun membutuhkan lebih sedikit bandwidth dan sumber daya, karena permintaan yang dikirim ke reflektor jauh lebih kecil daripada respons yang dikirim reflektor ke target. Ini bekerja mirip dengan apa yang kita lihat dengan lapisan aplikasi serangan Distributed Denial of Service.
Peran botnet dalam serangan DDoS
Pernah bertanya-tanya dari mana penyerang mendapatkan sumber daya untuk mengoordinasikan serangan?
Jawabannya adalah botnet. Botnet adalah jaringan atau perangkat yang telah disusupi oleh malware. Ini bisa berupa PC, server, jaringan, atau perangkat pintar. Malware ini memungkinkan penyerang untuk mengontrol setiap host yang disusupi dari jarak jauh.
Saat digunakan untuk DDoS, botnet melakukan serangan Denial of Service yang terkoordinasi terhadap host target, atau grup host tertentu. Singkatnya: botnet memungkinkan penyerang untuk memanfaatkan sumber daya pada komputer yang terinfeksi untuk melakukan serangan. Misalnya, ini adalah kasus ketika lebih dari 20.000 situs WordPress digunakan untuk melakukan serangan DDoS terhadap situs WordPress lainnya pada tahun 2018 (baca selengkapnya)..
Motivasi di balik serangan Distributed Denial of Service
“Mengapa orang melakukan serangan DDoS?” adalah pertanyaan yang bagus untuk ditanyakan pada saat ini. Kami telah meninjau mengapa peretas jahat menargetkan situs WordPress Anda di masa lalu, tetapi hanya satu dari poin tersebut yang benar-benar berlaku untuk DDoS: hactivism. Jika seseorang tidak setuju dengan sudut pandang Anda, mereka mungkin ingin membungkam suara Anda. DDoS menyediakan sarana untuk melakukannya.
Melihat hactivisme masa lalu, perang dunia maya tingkat negara bagian atau serangan industri dengan motivasi komersial adalah kemungkinan pendorong DDoS juga. Dan cukup umum juga penyerang nakal, remaja bersenang-senang dan menggunakan DDoS untuk membuat beberapa kekacauan.
Tentu saja, salah satu motivator terbesar adalah uang. Penyerang dapat meminta uang tebusan untuk berhenti menyerang situs WordPress Anda. Bisa jadi mereka diuntungkan secara komersial jika situs Anda sedang down. Mengambil langkah lebih jauh, ada DDoS untuk layanan sewa!
Contoh nyata dari Distributed Denial of Service
Seberapa parah serangan Distributed Denial of Service? Mari kita lihat beberapa serangan DDoS terkenal beberapa tahun terakhir.
GitHub (dua kali!): GitHub mengalami Serangan Denial of Service besar-besaran pada tahun 1015. Tampaknya serangan itu ditujukan pada dua proyek anti-sensor di platform. Serangan tersebut memengaruhi kinerja dan ketersediaan GitHub selama beberapa hari.
Kemudian pada tahun 2018, GitHub kembali menjadi target serangan DDoS. Kali ini penyerang menggunakan serangan berbasis memcaching. Mereka memanfaatkan metode amplifikasi dan refleksi. Terlepas dari ukuran serangannya, penyerang hanya menjatuhkan GitHub selama sekitar 10 menit.
Bangsa Estonia: April 2007 menandai serangan dunia maya pertama yang diketahui terhadap seluruh negara. Tak lama setelah pemerintah Estonia memutuskan untuk memindahkan patung Prajurit Perunggu dari pusat Tallinn ke pemakaman militer, kerusuhan dan penjarahan terjadi. Pada saat yang sama penyerang meluncurkan sejumlah serangan Distributed Denial of Service yang berlangsung berminggu-minggu. Mereka berdampak pada perbankan online, media, dan layanan pemerintah di negara ini.
Dyn DNS: Pada 21 Oktober 2016 Dyn mengalami serangan DDoS skala besar. Karena serangan tersebut, layanan DNS Dyn tidak dapat menyelesaikan pertanyaan pengguna. Akibatnya, ribuan situs web dengan lalu lintas tinggi, termasuk Airbnb, Amazon.com, CNN, Twitter, HBO, dan VISA tidak tersedia. Serangan itu dikoordinasikan melalui sejumlah besar perangkat IoT, termasuk kamera web dan monitor bayi.
Tips WordPress untuk melindungi dari serangan DDoS
Sebagai administrator WordPress individu, Anda tidak memiliki sumber daya dan infrastruktur untuk menangkis serangan DDoS. Meskipun banyak host web WordPress menawarkan semacam mitigasi serangan DDoS. Jadi tanyakan tentang hal itu saat memilih penyedia hosting untuk situs WordPress Anda. Anda juga dapat menggunakan WordPress / web application firewall (WAF) & Content Delivery Network (CDN) . Kami telah menggabungkan WAF & CDN ke dalam satu entri karena ada penyedia, seperti Sucuri, yang menyediakan keduanya dalam satu solusi.
Saat Anda menggunakan WAF atau CDN, lalu lintas pertama kali dirutekan dan difilter oleh layanan sebelum mencapai situs web Anda. Pengaturan ini dapat menghadang banyak serangan di celah sambil membatasi kerusakan orang lain. Beberapa CDN menawarkan manfaat yang memungkinkan deteksi dan respons terhadap serangan DDoS. Karena mereka dapat memperoleh manfaat dari skala ekonomi di cloud, CDN dan WAF online dapat melepaskan serangan. Mereka mengarahkan mereka ke jaringan yang memiliki banyak bandwidth dan alat yang tepat untuk menanganinya.
Mencegah peretas & serangan DDoS
Namun, seperti yang terlihat pada Botnet BruteForce WordPress, ada beberapa praktik terbaik keamanan yang dapat Anda terapkan di situs WordPress Anda sehingga tidak menarik perhatian penyerang dan kemungkinan serangan DDoS:
- Selalu perbarui situs WordPress Anda: menjaga inti WordPress, plugin, tema, dan semua perangkat lunak lain yang Anda gunakan tetap mutakhir mengurangi risiko kerentanan yang diketahui digunakan terhadap Anda. Menjaga situs Anda diperbarui juga mengurangi kemungkinan menjadi bagian dari botnet.
- Gunakan pemindai untuk memeriksa kerentanan: beberapa serangan DoS mengeksploitasi masalah seperti Slowloris. Ini dan dan kelemahan keamanan lainnya dapat dideteksi oleh pemindai kerentanan. Jadi ketika Anda memindai situs web dan server web Anda, Anda sering mengidentifikasi kerentanan yang mungkin dieksploitasi oleh serangan DDoS. Ada berbagai pemindai yang dapat Anda gunakan. Kami menggunakan Pemindai Keamanan WPScan non-intrusif untuk administrator WordPress.
- Tinjau log untuk meningkatkan keamanan & mengidentifikasi masalah: log audit WordPress dan log lainnya dapat membantu mengidentifikasi perilaku berbahaya sejak dini. Melalui log, Anda dapat mengidentifikasi masalah yang mungkin disebabkan oleh serangan DDoS, seperti kode kesalahan HTTP tertentu. Log juga memungkinkan Anda menelusuri dan menganalisis sumber serangan. Ada beberapa file log yang dapat digunakan administrator WordPress untuk mengelola dan mengamankan situs web mereka dengan lebih baik.
- Perkuat otentikasi pengguna: ini mungkin praktik terbaik terakhir, tetapi ini sama pentingnya dengan yang lainnya. Terapkan kebijakan kata sandi WordPress yang kuat untuk memastikan pengguna situs web Anda menggunakan kata sandi yang kuat. Selain itu, instal plugin autentikasi dua faktor dan terapkan kebijakan untuk mewajibkan autentikasi dua faktor.