Apa yang dimaksud dengan perlindungan denial-of-service terdistribusi (DDoS)?

Sementara IBM® X-Force® Threat Intelligence Index melaporkan bahwa serangan DDoS menyumbang 2% dari serangan yang ditanggapi X-Force. Gangguan yang disebabkan oleh serangan itu bisa mahal. Bahkan, laporan Laporan Biaya Pelanggaran Data IBM mencatat bahwa biaya bisnis yang hilang akibat serangan siber rata-rata USD 1,47 juta.

Mengaktifkan langkah-langkah perlindungan DDoS yang kuat membantu memastikan waktu aktif sistem, mencegah waktu henti dan gangguan bisnis, serta melindungi reputasi organisasi.

Pencegahan serangan DDoS dimulai dengan memahami apa yang biasanya mereka targetkan. Lalu lintas serangan DDoS cenderung berfokus pada salah satu dari tiga lapisan model jaringan Open Systems Interconnection (OSI):

• Lapisan aplikasi (lapisan 7), yang merupakan lapisan teratas, di mana aplikasi yang berinteraksi dengan pengguna berinteraksi dengan jaringan.
• Lapisan transpor (lapisan 4), yang merupakan lapisan tempat data ditransmisikan ke dan dari aplikasi individual.
• Lapisan jaringan (lapisan 3), yang menangani proses alamat data, rute, dan pengiriman data untuk perangkat yang berinteraksi di jaringan yang berbeda. 

Serangan lapisan aplikasi menargetkan lapisan aplikasi suatu jaringan. Contohnya adalah serangan banjir HTTP, di mana penyerang mengirimkan sejumlah besar permintaan HTTP dari beberapa perangkat ke situs web yang sama untuk membuatnya rusak. Banjir kueri DNS menyerang server Sistem Nama Domain (DNS), membebaninya dengan permintaan situs web palsu.

Serangan protokol menargetkan lapisan jaringan dan transpor. Contoh termasuk serangan banjir SYN, yang memanfaatkan jabat tangan TCP—sebuah proses di mana dua perangkat membuat koneksi satu sama lain—untuk membanjiri server dengan paket-paket palsu. Serangan Smurf memanfaatkan Internet Control Message Protocol (ICMP), membanjiri perangkat korban dengan ratusan atau ribuan balasan gema ICMP.

Serangan volumetrik menghabiskan semua bandwidth yang tersedia di dalam jaringan target atau antara layanan target dan seluruh internet, sehingga mencegah pengguna yang sah untuk terhubung ke sumber daya jaringan. 

Contohnya termasuk banjir UDP, yang mengirim paket User Datagram Protocol (UDP) palsu ke port host target. Sumber daya host terikat dalam upaya sia-sia untuk menemukan aplikasi untuk menerima paket palsu ini. Banjir ICMP, juga disebut “serangan banjir ping,” membombardir target dengan permintaan ICMP echo dari beberapa alamat IP palsu.

Serangan multivector mengeksploitasi beberapa vektor serangan atau node, bukan satu sumber, untuk memaksimalkan kerusakan dan menggagalkan upaya mitigasi DDoS.

Penyerang mungkin akan menggunakan beberapa vektor secara bersamaan atau beralih di antara vektor serangan tengah, ketika satu vektor digagalkan. Sebagai contoh, peretas mungkin memulai dengan serangan smurf, tetapi ketika lalu lintas dari perangkat jaringan dimatikan, mereka mungkin meluncurkan UDP flood dari botnet mereka.

Tentu saja. Menurut Biro Investigasi Federal AS (FBI): "Berpartisipasi dalam serangan denial-of-service terdistribusi (DDoS) dan layanan DDoS-for-hire adalah ilegal. FBI dan lembaga penegak hukum lainnya menyelidiki serangan DDoS sebagai kejahatan dunia maya." Penalti dapat mencakup:

• Penyitaan komputer dan perangkat elektronik lainnya
• Penangkapan dan penuntutan pidana
• Hukuman penjara yang signifikan
• Denda moneter

Solusi dan layanan keamanan DDoS sering dibangun di sekitar kemampuan deteksi dan respons otomatis untuk membantu organisasi mengidentifikasi dan menindak pola abnormal atau lonjakan yang mencurigakan dalam lalu lintas jaringan secara real time. Ketika aktivitas yang tidak biasa terdeteksi, banyak solusi perlindungan DDoS langsung memblokir lalu lintas berbahaya atau menutup kerentanan yang mungkin coba dieksploitasi oleh penyerang.

Alat dan teknik pencegahan dan mitigasi DDoS yang umum diterapkan meliputi:

Sebuah "lubang hitam"—juga dikenal sebagai "jalur kosong"—adalah bagian dari jaringan di mana lalu lintas masuk dihapus tanpa diproses atau disimpan di toko. Perutean lubang hitam adalah tindakan mengalihkan lalu lintas masuk ke lubang hitam ketika dicurigai adanya serangan DDoS.

Kelemahannya adalah bahwa perutean lubang hitam dapat membuang yang baik dengan yang buruk. Lalu lintas yang valid dan mungkin berharga juga dapat dibuang, yang membuat perutean lubang hitam menjadi instrumen yang sederhana tetapi tumpul dalam menghadapi serangan.

Alat identifikasi dan manajemen bot membantu memerangi ancaman DDoS dengan mengidentifikasi lalu lintas berbahaya dari bot.

Beberapa bot—seperti bot yang digunakan Google untuk mengindeks halaman dalam hasil pencarian—tidak berbahaya. Namun, beberapa digunakan untuk tujuan jahat. Misalnya, banyak serangan DDoS dilakukan dengan menggunakan botnet. Botnet adalah jaringan bot yang dibuat oleh penjahat siber dengan mengambil alih laptop dan desktop komputer, ponsel mobile, perangkat Internet of Things (IoT) dan titik akhir konsumen atau komersial lainnya.

Perangkat lunak manajemen bot sering digunakan untuk memblokir lalu lintas bot internet yang tidak diinginkan atau berbahaya sambil mengizinkan bot yang berguna untuk mengakses sumber daya web. Banyak dari alat-alat ini menggunakan kecerdasan buatan (AI) dan machine learning (ML) untuk membedakan bot dari pengunjung manusia. Perangkat lunak manajemen bot dapat memblokir bot yang berpotensi berbahaya dengan tes CAPTCHA atau tantangan lain dan secara otomatis membatasi atau menolak bot yang mungkin membanjiri sistem. 

CDN adalah jaringan server terdistribusi yang dapat membantu pengguna mengakses layanan online dengan lebih cepat dan andal. Dengan adanya CDN, permintaan pengguna tidak kembali ke server asal layanan. Sebaliknya, permintaan dialihkan ke server CDN yang lebih dekat secara geografis yang mengirimkan konten.

CDN dapat membantu mendukung upaya mitigasi DDoS dengan meningkatkan kapasitas lalu lintas layanan secara keseluruhan. Ketika serangan DDoS menyebabkan server CDN offline, lalu lintas pengguna dapat diarahkan ke sumber daya server lain yang tersedia di jaringan.

Deteksi dan respons titik akhir (EDR), deteksi dan respons jaringan (NDR), analitik perilaku pengguna dan entitas (UEBA) dan alat serupa dapat memantau infrastruktur jaringan dan pola lalu lintas untuk indikator kompromi. Mereka sering bekerja dengan membangun model dasar perilaku jaringan normal dan mengidentifikasi penyimpangan dari model tersebut yang mungkin menandakan lalu lintas berbahaya.

Ketika sistem ini melihat kemungkinan tanda DDoS—seperti pola lalu lintas yang tidak normal—mereka dapat memicu respons insiden real-time, seperti menghentikan koneksi jaringan yang mencurigakan.

Sidik jari perangkat menggunakan informasi yang dikumpulkan tentang perangkat lunak dan perangkat keras untuk menentukan identitas perangkat komputasi tertentu. Beberapa alat perlindungan DDoS, seperti sistem manajemen bot, menggunakan database sidik jari untuk mengidentifikasi bot yang dikenal atau menyaring perangkat yang terkait dengan niat jahat yang terbukti atau dicurigai.

Penyeimbangan beban adalah proses mendistribusikan lalu lintas jaringan di beberapa server untuk mengoptimalkan ketersediaan aplikasi. Penyeimbangan beban dapat membantu bertahan dari serangan DDoS dengan secara otomatis merutekan lalu lintas dari server yang kewalahan.

Organisasi dapat menginstal penyeimbang beban berbasis perangkat keras atau perangkat lunak untuk memproses lalu lintas. Mereka juga dapat menggunakan jaringan anycast, yang memungkinkan satu alamat IP ditetapkan ke beberapa server atau node di beberapa lokasi sehingga lalu lintas dapat dibagikan di seluruh server tersebut. Biasanya, permintaan dikirim ke server yang optimal. Ketika lalu lintas meningkat, beban tersebar, yang berarti bahwa server kurang cenderung kewalahan.

Peralatan ini dapat berupa perangkat fisik atau mesin virtual yang dipasang di jaringan perusahaan. Mereka memantau lalu lintas masuk, mendeteksi pola mencurigakan, dan memblokir atau membatasi lalu lintas yang berpotensi berbahaya.

Karena perangkat ini dipasang secara lokal, mereka tidak perlu mengirimkan data ke layanan berbasis cloud untuk pemeriksaan atau pembersihan. Peralatan perlindungan DDoS on premises dapat berguna bagi organisasi yang membutuhkan tingkat latensi rendah, seperti platform konferensi dan permainan. 

Filtrasi protokol menganalisis lalu lintas jaringan berdasarkan perilaku normal dari protokol komunikasi umum, seperti TCP, DNS, dan HTTPS. Jika lalu lintas yang menggunakan protokol tertentu menyimpang dari norma protokol tersebut, alat penyaringan protokol dapat menandai atau memblokirnya.

Misalnya, serangan amplifikasi DNS menggunakan alamat IP palsu dan permintaan DNS berbahaya untuk membanjiri perangkat korban dengan jumlah data yang besar. Filtrasi protokol dapat membantu menemukan dan membuang permintaan DNS yang tidak biasa ini sebelum dapat menyebabkan kerusakan. 

Pembatasan laju berarti menetapkan batasan pada jumlah permintaan masuk yang dapat diterima oleh server dalam jangka waktu tertentu. Layanan mungkin juga lambat untuk pengguna yang sah, tetapi server tidak kewalahan. 

Scrubbing center adalah jaringan atau layanan keamanan khusus yang dapat menyaring lalu lintas berbahaya dari lalu lintas yang sah dengan menggunakan teknik seperti autentikasi lalu lintas dan deteksi anomali. Scrubbing center memblokir lalu lintas berbahaya selagi memungkinkan lalu lintas yang sah mencapai tujuannya.

Sementara firewall standar melindungi jaringan di tingkat port, WAF membantu memastikan bahwa permintaan aman sebelum meneruskannya ke server web. WAF dapat menentukan jenis permintaan mana yang sah dan mana yang tidak, sehingga memungkinkannya untuk menghentikan lalu lintas berbahaya dan mencegah serangan lapisan aplikasi.

Alat AI dan ML dapat mengaktifkan mitigasi DDoS adaptif, yang membantu organisasi memerangi serangan DDoS sambil meminimalkan gangguan bagi pengguna yang sah. Dengan menganalisis dan belajar dari lalu lintas, alat AI dan ML dapat melakukan penyempurnaan sistem deteksi mereka untuk mengurangi kesalahan positif yang secara keliru akan memblokir lalu lintas yang valid dan membahayakan peluang bisnis.

Mungkin tidak. Serangan DDoS sering diluncurkan dari botnet yang dibangun menggunakan ratusan atau ribuan perangkat yang diretas dan dikendalikan oleh pelaku jahat, yang sebenarnya milik pengguna yang tidak bersalah. Hacker yang mengendalikan botnet biasanya memalsukan alamat IP perangkat, sehingga melacak semua perangkat tersebut dapat memakan waktu dan kemungkinan besar tidak akan mengarah ke pelaku sebenarnya.

Meski demikian, dalam keadaan tertentu, dan dengan sumber daya yang cukup, beberapa serangan DDoS dapat dilacak. Dengan menggunakan analisis forensik canggih bekerja sama dengan penyedia layanan internet (ISP) dan tim penegak hukum, organisasi mungkin dapat mengidentifikasi penyerang mereka. Hasil ini lebih mungkin terjadi pada penyerang yang berulang, yang mungkin meninggalkan petunjuk dalam pola serangan mereka. 

Sebagian besar waktu, tidak. Jika serangan bersifat kecil atau tidak canggih, firewall jaringan tradisional mungkin dapat memberikan perlindungan tertentu, tetapi serangan berskala besar atau canggih akan berhasil menembusnya.

Masalahnya adalah sebagian besar firewall tidak dapat mengenali dan menghentikan lalu lintas berbahaya yang disamarkan sebagai lalu lintas normal. Misalnya, serangan HTTP GET mengirim beberapa permintaan untuk file dari server yang ditargetkan, yang cenderung tampak normal untuk alat keamanan jaringan standar. 

Namun, firewall aplikasi beroperasi pada lapisan jaringan yang berbeda dari firewall tradisional dan memiliki contoh penggunaan untuk mengurangi serangan DDoS, seperti yang disebutkan sebelumnya. 

Serangan DDoS dapat membuat aplikasi organisasi, situs web, server, dan sumber daya lainnya offline, mengganggu layanan bagi pengguna dan menghabiskan banyak uang dalam hal kehilangan bisnis dan reputasi yang rusak.

Serangan DDoS juga dapat mencegah organisasi memenuhi perjanjian tingkat layanan (SLA) mereka, yang dapat menjauhkan pelanggan. Jika sistem organisasi tidak tersedia sesuai permintaan, pengguna mungkin memutuskan untuk membawa bisnis mereka ke tempat lain.

Ancaman siber ini makin menargetkan infrastruktur penting, seperti layanan keuangan dan utilitas publik. Sebuah studi baru-baru ini melaporkan bahwa serangan DDoS terhadap infrastruktur penting telah meningkat sebesar 55% dalam empat tahun terakhir.

Selain itu, serangan DDoS sering digunakan sebagai kedok untuk serangan siber yang lebih merusak. Misalnya, peretas terkadang meluncurkan serangan DDoS untuk mengalihkan perhatian korban sehingga mereka dapat menerapkan ransomware ke jaringan sementara tim keamanan siber sibuk dengan serangan DDoS.

Solusi mitigasi DDoS dan layanan perlindungan DDoS dapat membantu organisasi menghentikan banyak serangan ini sepenuhnya, mencegah gangguan pada sektor dan layanan kritis. Jika mereka tidak dapat menghentikan serangan, mereka dapat mengurangi waktu henti secara signifikan untuk membantu memastikan keberlangsungan bisnis.

Solusi perlindungan DDoS modern dapat membantu mempertahankan aset on premises dan berbasis cloud, memungkinkan organisasi melindungi sumber daya di mana pun mereka berada.