Beranda

Topics

DDoS

Apa itu serangan denial-of-service terdistribusi (DDos)?
Jelajahi solusi DDoS IBM Mendaftarlah untuk mendapatkan pembaruan topik keamanan
Ilustrasi dengan kolase piktogram awan, ponsel, sidik jari, tanda centang
Apa yang dimaksud dengan serangan DDoS?

Serangan DDoS bertujuan untuk menonaktifkan atau melumpuhkan situs web, aplikasi web, layanan cloud, atau sumber daya online lainnya dengan membanjiri situs tersebut dengan permintaan koneksi yang tidak berguna, paket palsu, atau lalu lintas berbahaya lainnya.

Serangan DDoS membanjiri situs web dengan lalu lintas berbahaya, membuat aplikasi dan layanan lain tidak tersedia bagi pengguna yang sah. Karena tidak mampu menangani volume lalu lintas yang tidak sah, target akan melambat atau mogok sama sekali, sehingga tidak dapat diakses oleh pengguna yang sah.

Serangan DDoS adalah bagian dari kategori yang lebih luas, serangan penolakan layanan (denial-of-service attack), yang mencakup semua serangan siber yang memperlambat atau menghentikan aplikasi atau layanan jaringan. Serangan DDoS unik karena mengirimkan lalu lintas serangan dari berbagai sumber sekaligus, yang menempatkan "terdistribusi" pada "distributed denial-of-service".

Penjahat siber telah menggunakan serangan DDoS untuk mengganggu operasi jaringan selama lebih dari 20 tahun, tetapi baru-baru ini frekuensi dan kekuatannya meningkat. Menurut sebuah laporan, serangan DDoS meningkat sebesar 203 persen pada paruh pertama tahun 2022, dibandingkan dengan periode yang sama di tahun 2021 (tautan berada di luar ibm.com).

IBM X-Force Threat Intelligence Index

Dapatkan insight untuk mempersiapkan dan merespons serangan siber dengan lebih cepat dan efektif dengan IBM X-Force Threat Intelligence Index.

Konten terkait Daftar untuk memperoleh laporan Biaya Pelanggaran Data
Cara kerja serangan DDoS

Tidak seperti serangan siber lainnya, serangan DDoS tidak mengeksploitasi kerentanan pada sumber daya jaringan untuk membobol sistem komputer. Sebaliknya, mereka menggunakan protokol koneksi jaringan standar seperti Hypertext Transfer Protocol (HTTP) dan Transmission Control Protocol (TCP) untuk membanjiri titik akhir, aplikasi, dan aset lainnya dengan lalu lintas yang melebihi kapasitasnya. Server web, router, dan infrastruktur jaringan lainnya hanya dapat memproses sejumlah permintaan dan mempertahankan jumlah koneksi yang terbatas pada waktu tertentu. Dengan menggunakan bandwidth sumber daya yang tersedia, serangan DDoS mencegah sumber daya ini merespons permintaan koneksi dan paket yang sah.

Secara garis besar, serangan DDoS memiliki tiga tahap.

Tahap 1: Memilih target

Pilihan target serangan DDoS berasal dari motivasi penyerang, yang bisa sangat beragam. Para peretas telah menggunakan serangan DDoS untuk memeras uang dari organisasi, menuntut tebusan untuk mengakhiri serangan. Beberapa peretas menggunakan DDoS untuk aktivisme, menargetkan organisasi dan institusi yang tidak mereka setujui. Pelaku yang tidak bertanggung jawab telah menggunakan serangan DDoS untuk mematikan bisnis yang bersaing, dan beberapa negara telah menggunakan taktik DDoS dalam perang siber. 

Beberapa target serangan DDoS yang paling umum meliputi:

  • Retailer online. DDoS attack dapat menyebabkan kerugian finansial yang signifikan bagi peritel dengan melumpuhkan toko digital mereka, sehingga pelanggan tidak dapat berbelanja selama beberapa waktu.

  • Penyedia layanan cloud. Penyedia layanan cloud seperti Amazon Web Services (AWS), Microsoft Azure, dan Google Cloud Platform adalah target populer untuk serangan DDoS. Karena layanan ini menghosting data dan aplikasi untuk bisnis lain, peretas dapat menyebabkan pemadaman yang meluas dengan satu serangan. Pada tahun 2020, AWS terkena serangan DDoS besar-besaran (tautan berada di luar ibm.com). Pada puncaknya, lalu lintas berbahaya mengalir dengan kecepatan 2,3 terabit per detik.

  • Lembaga keuangan. Serangan DDoS dapat membuat layanan perbankan offline, sehingga pelanggan tidak dapat mengakses akun mereka. Pada tahun 2012, enam bank besar di Amerika Serikat terkena serangan DDoS yang terkoordinasi dalam apa yang mungkin merupakan tindakan yang bermotif politik (tautan berada di luar ibm.com).

  • Penyedia Perangkat Lunak sebagai Layanan (SaaS). Seperti halnya penyedia layanan cloud, penyedia SaaS seperti Salesforce, GitHub, dan Oracle merupakan target yang menarik karena memungkinkan peretas untuk mengganggu beberapa organisasi sekaligus. Pada tahun 2018, GitHub mengalami serangan DDoS terbesar yang pernah tercatat (tautan berada di luar ibm.com).

  • Perusahaan game. Serangan DDoS dapat mengganggu game online dengan membanjiri server mereka dengan lalu lintas. Serangan ini sering kali dilancarkan oleh pemain yang tidak puas dengan dendam pribadi, seperti halnya dengan botnet Mirai yang pada awalnya dibuat untuk menargetkan server Minecraft (tautan berada di luar ibm.com).
Tahap 2: Membuat (atau menyewa atau membeli) botnet

Serangan DDoS biasanya membutuhkan botnet, sebuah jaringan perangkat yang terhubung ke internet yang telah terinfeksi malware yang memungkinkan peretas mengendalikan perangkat dari jarak jauh. Botnet dapat mencakup laptop dan komputer desktop, ponsel, perangkat IoT, dan titik akhir konsumen atau komersial lainnya. Pemilik perangkat yang disusupi ini biasanya tidak menyadari bahwa perangkat mereka telah terinfeksi atau digunakan untuk serangan DDoS. 

Beberapa penjahat siber membangun botnet mereka dari nol, sementara yang lain membeli atau menyewa botnet yang sudah ada di bawah model yang disebut sebagai "denial-of-service sebagai layanan."

(CATATAN: Tidak semua serangan DDoS menggunakan botnet; beberapa di antaranya mengeksploitasi operasi normal perangkat yang tidak terinfeksi untuk tujuan jahat. Lihat 'Serangan Smurf' di bawah.)

Tahap 3: Meluncurkan serangan

Peretas memerintahkan perangkat di botnet untuk mengirim permintaan koneksi atau paket lain ke alamat IP server, perangkat, atau layanan target. Sebagian besar serangan DDoS mengandalkan brute force, mengirimkan sejumlah besar permintaan untuk menghabiskan seluruh bandwidth target; beberapa serangan DDoS mengirimkan sejumlah kecil permintaan yang lebih rumit yang mengharuskan target mengeluarkan banyak sumber daya untuk merespons. Dalam kedua kasus tersebut, hasilnya sama: Lalu lintas serangan membanjiri sistem target, menyebabkan penolakan layanan dan mencegah lalu lintas yang sah untuk mengakses situs web, aplikasi web, API, atau jaringan.

Para peretas sering kali mengaburkan sumber serangan mereka melalui IP spoofing, sebuah teknik yang digunakan penjahat siber untuk memalsukan alamat IP sumber palsu untuk paket-paket yang dikirim dari botnet. Dalam salah satu bentuk spoofing IP, yang disebut "refleksi", peretas membuatnya terlihat seperti lalu lintas berbahaya dikirim dari alamat IP korban sendiri. 

Jenis-jenis serangan DDoS

Jenis serangan DDoS sering dinamai atau dijelaskan berdasarkan terminologi Model Referensi Open Systems Interconnection (OSI), sebuah kerangka kerja konseptual yang mendefinisikan tujuh 'lapisan' jaringan (dan kadang-kadang disebut Model 7-Lapisan OSI).

Serangan lapisan aplikasi

Seperti namanya, serangan lapisan aplikasi menargetkan lapisan aplikasi (lapisan 7) dari model OSI, lapisan tempat halaman web dibuat sebagai respons terhadap permintaan pengguna. Serangan lapisan aplikasi mengganggu aplikasi web dengan membanjiri mereka dengan permintaan berbahaya.

Salah satu serangan lapisan aplikasi yang paling umum adalah serangan banjir HTTP, di mana penyerang secara terus menerus mengirimkan sejumlah besar permintaan HTTP dari beberapa perangkat ke situs web yang sama. Situs web tidak dapat mengikuti semua permintaan HTTP, dan melambat secara signifikan atau mogok sama sekali. Serangan HTTP flood mirip dengan ratusan atau ribuan browser web yang berulang kali me-refresh halaman web yang sama. 

Serangan lapisan aplikasi relatif mudah diluncurkan tetapi bisa jadi sulit dicegah dan dimitigasi. Karena semakin banyak perusahaan yang beralih menggunakan layanan mikro dan aplikasi berbasis kontainer, risiko serangan lapisan aplikasi yang menonaktifkan layanan web dan cloud penting meningkat. 

Serangan protokol

Serangan protokol menargetkan lapisan jaringan (lapisan 3) dan lapisan transport (lapisan 4) dari model OSI. Mereka bertujuan untuk membanjiri sumber daya jaringan yang penting, seperti firewall, penyeimbang beban, dan server web, dengan permintaan koneksi berbahaya.

Serangan protokol yang umum meliputi:

Serangan SYN flood. Serangan SYN flood mengambil keuntungan dari jabat tangan TCP, proses di mana dua perangkat membuat koneksi satu sama lain.

Dalam jabat tangan TCP pada umumnya, satu perangkat mengirimkan paket SYN untuk memulai koneksi, perangkat lainnya merespons dengan paket SYN/ACK untuk mengiyakan permintaan tersebut, dan perangkat asli mengirimkan kembali paket ACK untuk menyelesaikan koneksi.

Dalam serangan SYN flood, penyerang mengirimkan sejumlah besar paket SYN ke server target dengan alamat IP sumber yang dipalsukan. Server mengirimkan responsnya ke alamat IP yang dipalsukan dan menunggu paket ACK terakhir. Karena alamat IP sumber dipalsukan, paket-paket ini tidak pernah sampai. Server terikat dalam sejumlah besar koneksi yang belum selesai, sehingga tidak tersedia untuk jabat tangan TCP yang sah.

Serangan smurf. Serangan smurf memanfaatkan Internet Control Message Protocol (ICMP), protokol komunikasi yang digunakan untuk menilai status koneksi antara dua perangkat. Dalam pertukaran ICMP yang umum, satu perangkat mengirimkan permintaan echo ICMP ke perangkat lain, dan perangkat yang terakhir merespons dengan balasan echo ICMP.

Dalam serangan smurf, penyerang mengirimkan permintaan echo ICMP dari alamat IP palsu yang cocok dengan alamat IP korban. Permintaan echo ICMP ini dikirim ke jaringan siaran IP yang meneruskan permintaan ke setiap perangkat pada jaringan tertentu. Setiap perangkat yang menerima permintaan echo ICMP, mungkin ratusan atau ribuan perangkat, merespons dengan mengirimkan balasan echo ICMP kembali ke alamat IP korban, membanjiri perangkat dengan lebih banyak informasi daripada yang dapat ditangani. Tidak seperti banyak jenis serangan DDoS lainnya, serangan smurf tidak memerlukan botnet. 

Serangan volumetrik

Serangan DDoS volumetrik menghabiskan semua bandwidth yang tersedia di dalam jaringan target atau antara layanan target dan seluruh internet, sehingga mencegah pengguna yang sah untuk terhubung ke sumber daya jaringan. Serangan volumetrik sering kali membanjiri jaringan dan sumber daya dengan lalu lintas yang sangat tinggi, bahkan dibandingkan dengan jenis serangan DDoS lainnya. Serangan volumetrik telah diketahui dapat membanjiri langkah-langkah perlindungan DDoS seperti pusat scrubbing, yang dirancang untuk menyaring lalu lintas berbahaya dari lalu lintas yang sah.

Jenis serangan volumetrik yang umum meliputi:

UDP flood. Serangan ini mengirimkan paket User Datagram Protocol (UDP) palsu ke port host target, mendorong host untuk mencari aplikasi untuk menerima paket ini. Karena paket UDP palsu, tidak ada aplikasi yang menerimanya, dan host harus mengirimkan pesan ICMP "Destination Unreachable" kembali ke pengirim. Sumber daya host menjadi terikat dalam menanggapi aliran paket UDP palsu yang terus menerus, membuat host tidak dapat menanggapi paket yang sah.

Banjir ICMP. Juga disebut “serangan banjir ping,” serangan ini membombardir target dengan permintaan gema ICMP dari beberapa alamat IP palsu. Server yang ditargetkan harus menanggapi semua permintaan ini dan menjadi kelebihan beban dan tidak dapat memproses permintaan gema ICMP yang valid. Banjir ICMP dibedakan dari serangan smurf di mana penyerang mengirim sejumlah besar permintaan ICMP dari botnet mereka daripada menipu perangkat jaringan untuk mengirim respons ICMP ke alamat IP korban. 

Serangan amplifikasi DNS. Di sini, penyerang mengirimkan beberapa permintaan pencarian Domain Name System (DNS) ke satu atau banyak server DNS publik. Permintaan pencarian ini menggunakan alamat IP palsu milik korban dan meminta server DNS untuk mengembalikan sejumlah besar informasi per permintaan. Server DNS kemudian membalas permintaan tersebut dengan membanjiri alamat IP korban dengan data dalam jumlah besar.  

Serangan multivektor

Seperti namanya, serangan multivektor mengeksploitasi beberapa vektor serangan, untuk memaksimalkan kerusakan dan menggagalkan upaya mitigasi DDoS. Penyerang dapat menggunakan beberapa vektor secara bersamaan atau beralih di antara vektor serangan tengah, ketika satu vektor digagalkan. Misalnya, peretas mungkin mulai dengan serangan smurf, tetapi begitu lalu lintas dari perangkat jaringan dimatikan, mereka dapat meluncurkan banjir UDP dari botnet mereka. 

Ancaman DDoS juga dapat digunakan bersama-sama dengan serangan siber lainnya. Misalnya, penyerang ransomware dapat menekan korbannya dengan mengancam akan melakukan serangan DDoS jika uang tebusan tidak dibayarkan. 

Mengapa serangan DDoS begitu meluas

Serangan DDoS telah bertahan begitu lama, dan menjadi semakin populer di kalangan penjahat dunia maya dari waktu ke waktu, karena

  • DDoS attack membutuhkan sedikit atau tidak ada keterampilan untuk melaksanakannya. Dengan menyewa botnet siap pakai dari peretas lain, penjahat dunia maya dapat dengan mudah meluncurkan DDoS attack sendiri dengan sedikit persiapan atau perencanaan.

  • Mereka sulit dideteksi. Karena botnet sebagian besar terdiri dari perangkat konsumen dan komersial, mungkin sulit bagi organisasi untuk memisahkan lalu lintas berbahaya dari pengguna yang sebenarnya. Selain itu, gejala DDoS -layanan yang lambat dan situs serta aplikasi yang tidak tersedia untuk sementara waktu-juga dapat disebabkan oleh lonjakan lalu lintas yang sah secara tiba-tiba, sehingga sulit untuk mendeteksi DDoS attack pada tahap awal.

  • Hal ini sulit untuk ditanggulangi. Setelah serangan DDoS diidentifikasi, sifat serangan siber yang terdistribusi berarti organisasi tidak bisa begitu saja memblokir serangan tersebut dengan mematikan satu sumber lalu lintas. Kontrol keamanan jaringan standar yang dimaksudkan untuk menggagalkan serangan DDoS, seperti pembatasan kecepatan, juga dapat memperlambat operasi bagi pengguna yang sah.

  • Ada lebih banyak perangkat botnet yang potensial daripada sebelumnya. Munculnya Internet of Things (IoT) telah memberikan peretas sumber perangkat yang kaya untuk dijadikan bot. Peralatan, perkakas, dan gadget yang berkemampuan Internet, termasuk teknologi operasional (OT) seperti perangkat perawatan kesehatan dan sistem manufaktur, sering kali dijual dan dioperasikan dengan standar universal dan kontrol keamanan yang lemah atau bahkan tidak ada sama sekali, sehingga rentan terhadap infeksi malware. Mungkin sulit bagi pemilik perangkat ini untuk menyadari bahwa mereka telah disusupi, karena perangkat IoT dan OT sering kali digunakan secara pasif atau jarang.

Serangan DDoS menjadi semakin canggih karena peretas mengadopsi alat kecerdasan buatan (AI) dan pembelajaran mesin (ML) untuk membantu mengarahkan serangan mereka. Hal ini telah menyebabkan peningkatan serangan DDoS adaptif, yang menggunakan AI dan ML untuk menemukan aspek sistem yang paling rentan dan secara otomatis menggeser vektor dan strategi serangan sebagai respons terhadap upaya mitigasi DDoS tim keamanan siber. 

Meningkatnya biaya, ukuran, dan dampak serangan DDoS

Tujuan serangan DDoS adalah untuk mengganggu operasi sistem, yang dapat menimbulkan biaya tinggi bagi organisasi. Menurut laporan Biaya Pelanggaran Data 2022 IBM, gangguan layanan, waktu henti sistem, dan gangguan bisnis lainnya yang disebabkan oleh serangan siber merugikan organisasi rata-rata USD 1,42 juta. Pada tahun 2021, serangan DDoS merugikan penyedia VoIP hampir 12 juta dolar AS (tautan berada di luar ibm.com).

Serangan DDoS terbesar yang pernah tercatat, yang menghasilkan 3,47 terabit lalu lintas berbahaya per detik, menargetkan pelanggan Microsoft Azure pada bulan November 2021 (tautan berada di luar ibm.com). Penyerang menggunakan botnet 10.000 perangkat dari seluruh dunia untuk membombardir korban dengan 340 juta paket per detik.

Serangan DDoS juga telah digunakan terhadap pemerintah, termasuk serangan tahun 2021 terhadap Belgia (tautan berada di luar ibm.com). Peretas menargetkan penyedia layanan internet (ISP) yang dikelola pemerintah untuk memutus koneksi internet lebih dari 200 lembaga pemerintah, universitas, dan lembaga penelitian.

Semakin banyak peretas menggunakan DDoS bukan sebagai serangan utama, tetapi untuk mengalihkan perhatian korban dari kejahatan siber yang lebih serius-misalnya, mengeksfiltrasi data atau menyebarkan ransomware ke jaringan saat tim keamanan siber sibuk menangkis serangan DDoS. 

Perlindungan, deteksi, dan mitigasi DDoS

Upaya mitigasi dan perlindungan DDoS biasanya bertumpu pada pengalihan arus lalu lintas berbahaya secepat mungkin, seperti dengan merutekan lalu lintas jaringan ke pusat-pusat scrubbing atau menggunakan penyeimbang beban untuk mendistribusikan ulang lalu lintas serangan. Untuk itu, perusahaan yang ingin memperkuat pertahanan mereka dari serangan DDoS dapat mengadopsi teknologi yang dapat mengidentifikasi dan mencegat lalu lintas berbahaya, termasuk:

  • Firewall aplikasi web. Sebagian besar organisasi saat ini menggunakan perimeter dan firewall aplikasi web (WAF) untuk melindungi jaringan dan aplikasi mereka dari aktivitas jahat. Sementara firewall standar melindungi di tingkat port, WAF memastikan permintaan aman sebelum meneruskannya ke server web. WAF mengetahui jenis permintaan mana yang sah dan mana yang tidak, sehingga memungkinkannya untuk menghentikan lalu lintas yang berbahaya dan mencegah serangan lapisan aplikasi.

  • Content delivery networks (CDN). CDN adalah jaringan server terdistribusi yang dapat membantu pengguna mengakses layanan online dengan lebih cepat dan andal. Dengan adanya CDN, permintaan pengguna tidak akan kembali ke server asal layanan. Sebaliknya, mereka dialihkan ke server CDN yang lebih dekat secara geografis yang mengirimkan konten. CDN dapat membantu melindungi dari DDoS attack dengan meningkatkan kapasitas lalu lintas layanan secara keseluruhan. Jika server CDN dilumpuhkan oleh DDoS attack, lalu lintas pengguna dapat dialihkan ke sumber daya server lain yang tersedia di jaringan.
     

  • SIEM (security information and event management). Sistem SIEM menawarkan berbagai fungsi untuk mendeteksi DDoS attack dan serangan siber lainnya di awal siklus hidupnya, termasuk manajemen log dan wawasan jaringan. Solusi SIEM menyediakan manajemen data keamanan terpusat yang dihasilkan oleh alat keamanan lokal dan berbasis cloud. SIEM dapat memantau perangkat dan aplikasi yang terhubung untuk insiden keamanan dan perilaku abnormal, seperti ping berlebihan atau permintaan koneksi tidak sah. SIEM kemudian menandai anomali ini agar tim keamanan siber dapat mengambil tindakan yang tepat.

  • Teknologi deteksi dan respons. Solusideteksi dan respons titik akhir (EDR), deteksi dan respons jaringan (NDR), dan deteksi dan respons yang diperluas (XDR) semuanya menggunakan analitik canggih dan AI untuk memantau infrastruktur jaringan guna mengetahui indikator adanya penyusupan-seperti pola lalu lintas yang tidak normal yang dapat menandakan serangan DDoS-dan kemampuan otomasi untuk merespons serangan yang sedang berlangsung secara real time (mis., memutus koneksi jaringan yang mencurigakan). 
Solusi terkait
Layanan Tanggap Insiden IBM X-Force

Meningkatkan program tanggap insiden organisasi Anda, meminimalkan dampak pelanggaran, dan merasakan tanggapan cepat terhadap insiden keamanan siber. 

Jelajahi layanan respons insiden X-Force
IBM Security Guardium Insights

Memusatkan dan menyederhanakan keamanan data di seluruh lingkungan hybrid cloud Anda.

Jelajahi Guardium Insights
IBM Cloud Internet Services

Dapatkan perlindungan DDoS, penyeimbangan beban global, dan serangkaian kemampuan keamanan, keandalan, dan kinerja

Jelajahi IBM Cloud Internet Services
Sumber daya Apa yang dimaksud dengan serangan siber?

Serangan siber mencoba mencuri informasi sensitif atau menonaktifkan sistem kritis melalui akses tidak sah ke jaringan atau perangkat komputer.

Apa itu ransomware?

Ransomware adalah malware yang menyandera perangkat dan data korban hingga tebusan dibayarkan.

Apa yang dimaksud dengan respons insiden?

Rencana respons insiden formal memungkinkan tim keamanan siber untuk membatasi atau mencegah kerusakan akibat serangan siber atau pelanggaran keamanan.

Ambil langkah selanjutnya

IBM NS1 Connect menyediakan koneksi yang cepat dan aman bagi pengguna di mana saja di seluruh dunia dengan DNS premium dan pengarahan lalu lintas yang canggih dan dapat disesuaikan. NS1 Connect memiliki fitur arsitektur API-first, yang memungkinkan tim TI untuk memonitor jaringan secara lebih efisien, menerapkan perubahan, dan melakukan pemeliharaan rutin.

Jelajahi NS1 Connect Pesan demo langsung