Apa itu serangan DDoS (distributed denial of service)?
Serangan DDoS membanjiri situs web dengan lalu lintas berbahaya, membuat aplikasi dan layanan lain tidak tersedia bagi pengguna yang sah.
Berlangganan Buletin IBM Jelajahi IBM Security QRadar
Dua orang pekerja duduk di meja bersama, keduanya melihat monitor komputer
Apa yang dimaksud dengan serangan DDoS?

Serangan DDoS bertujuan untuk menonaktifkan atau melumpuhkan situs web, aplikasi web, layanan cloud, atau sumber daya online lainnya dengan membanjiri situs tersebut dengan permintaan koneksi yang tidak berguna, paket palsu, atau lalu lintas berbahaya lainnya. Karena tidak mampu menangani volume lalu lintas yang tidak sah, target akan melambat atau mogok sama sekali, sehingga tidak dapat diakses oleh pengguna yang sah.

Serangan DDoS adalah bagian dari kategori yang lebih luas, serangan penolakan layanan (denial-of-service attack), yang mencakup semua serangan siber yang memperlambat atau menghentikan aplikasi atau layanan jaringan. Serangan DDoS unik karena mengirimkan lalu lintas serangan dari berbagai sumber sekaligus, yang menempatkan "terdistribusi" pada "distributed denial-of-service".

Penjahat siber telah menggunakan serangan DDoS untuk mengganggu operasi jaringan selama lebih dari 20 tahun, tetapi baru-baru ini frekuensi dan kekuatannya meningkat. Menurut sebuah laporan, serangan DDoS meningkat sebesar 203 persen pada paruh pertama tahun 2022, dibandingkan dengan periode yang sama di tahun 2021 (tautan berada di luar ibm.com).

Cara kerja serangan DDoS

Tidak seperti serangan siber lainnya, serangan DDoS tidak mengeksploitasi kerentanan pada sumber daya jaringan untuk membobol sistem komputer. Sebaliknya, mereka menggunakan protokol koneksi jaringan standar seperti Hypertext Transfer Protocol (HTTP) dan Transmission Control Protocol (TCP) untuk membanjiri titik akhir, aplikasi, dan aset lainnya dengan lalu lintas yang melebihi kapasitasnya. Server web, router, dan infrastruktur jaringan lainnya hanya dapat memproses sejumlah permintaan dan mempertahankan jumlah koneksi yang terbatas pada waktu tertentu. Dengan menggunakan bandwidth sumber daya yang tersedia, serangan DDoS mencegah sumber daya ini merespons permintaan koneksi dan paket yang sah.

Secara garis besar, serangan DDoS memiliki tiga tahap.

Tahap 1: Memilih target

Pilihan target serangan DDoS berasal dari motivasi penyerang, yang bisa sangat beragam. Para peretas telah menggunakan serangan DDoS untuk memeras uang dari organisasi, menuntut tebusan untuk mengakhiri serangan. Beberapa peretas menggunakan DDoS untuk aktivisme, menargetkan organisasi dan institusi yang tidak mereka setujui. Pelaku yang tidak bertanggung jawab telah menggunakan serangan DDoS untuk mematikan bisnis yang bersaing, dan beberapa negara telah menggunakan taktik DDoS dalam perang siber. 

Beberapa target serangan DDoS yang paling umum meliputi:

  • Pengecer online. Serangan DDoS dapat menyebabkan kerugian finansial yang signifikan bagi peritel dengan melumpuhkan toko digital mereka, sehingga pelanggan tidak dapat berbelanja selama beberapa waktu.

  • Penyedia layanan cloud. Penyedia layanan cloud seperti Amazon Web Services (AWS), Microsoft Azure, dan Google Cloud Platform adalah target populer untuk serangan DDoS. Karena layanan ini menghosting data dan aplikasi untuk bisnis lain, peretas dapat menyebabkan pemadaman yang meluas dengan satu serangan. Pada tahun 2020, AWS terkena serangan DDoS besar-besaran (tautan berada di luar ibm.com). Pada puncaknya, lalu lintas berbahaya mengalir dengan kecepatan 2,3 terabit per detik.

  • Lembaga keuangan. Serangan DDoS dapat membuat layanan perbankan offline, sehingga pelanggan tidak dapat mengakses akun mereka. Pada tahun 2012, enam bank besar di Amerika Serikat terkena serangan DDoS yang terkoordinasi dalam apa yang mungkin merupakan tindakan yang bermotif politik (tautan berada di luar ibm.com).

  • Penyedia Perangkat Lunak sebagai Layanan (SaaS). Seperti halnya penyedia layanan cloud, penyedia SaaS seperti Salesforce, GitHub, dan Oracle merupakan target yang menarik karena memungkinkan peretas untuk mengganggu beberapa organisasi sekaligus. Pada tahun 2018, GitHub mengalami serangan DDoS terbesar yang pernah memecahkan rekor (tautan berada di luar ibm.com).

  • Perusahaan game. Serangan DDoS dapat mengganggu game online dengan membanjiri server mereka dengan lalu lintas. Serangan ini sering kali dilancarkan oleh pemain yang tidak puas dengan dendam pribadi, seperti halnya dengan botnet Mirai yang pada awalnya dibuat untuk menargetkan server Minecraft (tautan berada di luar ibm.com).
Tahap 2: Membuat (atau menyewa atau membeli) botnet

Serangan DDoS biasanya membutuhkan botnet, sebuah jaringan perangkat yang terhubung ke internet yang telah terinfeksi malware yang memungkinkan peretas mengendalikan perangkat dari jarak jauh. Botnet dapat mencakup laptop dan komputer desktop, ponsel, perangkat IoT, dan titik akhir konsumen atau komersial lainnya. Pemilik perangkat yang disusupi ini biasanya tidak menyadari bahwa perangkat mereka telah terinfeksi atau digunakan untuk serangan DDoS. 

Beberapa penjahat siber membangun botnet mereka dari nol, sementara yang lain membeli atau menyewa botnet yang sudah ada di bawah model yang disebut sebagai "penolakan layanan sebagai layanan."

(CATATAN: Tidak semua serangan DDoS menggunakan botnet; beberapa di antaranya mengeksploitasi operasi normal perangkat yang tidak terinfeksi untuk tujuan jahat. Lihat 'Serangan Smurf' di bawah.)

Tahap 3: Meluncurkan serangan

Peretas memerintahkan perangkat di botnet untuk mengirim permintaan koneksi atau paket lain ke alamat IP server, perangkat, atau layanan target. Sebagian besar serangan DDoS mengandalkan brute force, mengirimkan sejumlah besar permintaan untuk menghabiskan seluruh bandwidth target; beberapa serangan DDoS mengirimkan sejumlah kecil permintaan yang lebih rumit yang mengharuskan target mengeluarkan banyak sumber daya untuk merespons. Dalam kedua kasus tersebut, hasilnya sama: Lalu lintas serangan membanjiri sistem target, menyebabkan penolakan layanan dan mencegah lalu lintas yang sah untuk mengakses situs web, aplikasi web, API, atau jaringan.

Para peretas sering kali mengaburkan sumber serangan mereka melalui IP spoofing, sebuah teknik yang digunakan penjahat siber untuk memalsukan alamat IP sumber palsu untuk paket-paket yang dikirim dari botnet. Dalam salah satu bentuk spoofing IP, yang disebut "refleksi", peretas membuatnya terlihat seperti lalu lintas berbahaya dikirim dari alamat IP korban sendiri. 

Jenis-jenis serangan DDoS

Jenis serangan DDoS sering dinamai atau dijelaskan berdasarkan terminologi Model Referensi Open Systems Interconnection (OSI), sebuah kerangka kerja konseptual yang mendefinisikan tujuh 'lapisan' jaringan (dan kadang-kadang disebut Model 7-Lapisan OSI).

Serangan lapisan aplikasi

Seperti namanya, serangan lapisan aplikasi menargetkan lapisan aplikasi (lapisan 7) dari model OSI, lapisan tempat halaman web dibuat sebagai respons terhadap permintaan pengguna. Serangan lapisan aplikasi mengganggu aplikasi web dengan membanjiri mereka dengan permintaan berbahaya.

Salah satu serangan lapisan aplikasi yang paling umum adalah serangan banjir HTTP, di mana penyerang secara terus menerus mengirimkan sejumlah besar permintaan HTTP dari beberapa perangkat ke situs web yang sama. Situs web tidak dapat mengikuti semua permintaan HTTP, dan melambat secara signifikan atau mogok sama sekali. Serangan HTTP flood mirip dengan ratusan atau ribuan browser web yang berulang kali me-refresh halaman web yang sama. 

Serangan lapisan aplikasi relatif mudah diluncurkan tetapi bisa jadi sulit dicegah dan dimitigasi. Karena semakin banyak perusahaan yang beralih menggunakan layanan mikro dan aplikasi berbasis kontainer, risiko serangan lapisan aplikasi yang menonaktifkan layanan web dan cloud penting meningkat. 

Serangan protokol

Serangan protokol menargetkan lapisan jaringan (lapisan 3) dan lapisan transport (lapisan 4) dari model OSI. Mereka bertujuan untuk membanjiri sumber daya jaringan yang penting, seperti firewall, penyeimbang beban, dan server web, dengan permintaan koneksi berbahaya.

Serangan protokol yang umum meliputi:

Serangan SYN flood. Serangan SYN flood mengambil keuntungan dari jabat tangan TCP, proses di mana dua perangkat membuat koneksi satu sama lain.

Dalam jabat tangan TCP pada umumnya, satu perangkat mengirimkan paket SYN untuk memulai koneksi, perangkat lainnya merespons dengan paket SYN/ACK untuk mengiyakan permintaan tersebut, dan perangkat asli mengirimkan kembali paket ACK untuk menyelesaikan koneksi.

Dalam serangan SYN flood, penyerang mengirimkan sejumlah besar paket SYN ke server target dengan alamat IP sumber yang dipalsukan. Server mengirimkan responsnya ke alamat IP yang dipalsukan dan menunggu paket ACK terakhir. Karena alamat IP sumber dipalsukan, paket-paket ini tidak pernah sampai. Server terikat dalam sejumlah besar koneksi yang belum selesai, sehingga tidak tersedia untuk jabat tangan TCP yang sah.

Serangan smurf. Serangan smurf memanfaatkan Internet Control Message Protocol (ICMP), protokol komunikasi yang digunakan untuk menilai status koneksi antara dua perangkat. Dalam pertukaran ICMP yang umum, satu perangkat mengirimkan permintaan echo ICMP ke perangkat lain, dan perangkat yang terakhir merespons dengan balasan echo ICMP.

Dalam serangan smurf, penyerang mengirimkan permintaan echo ICMP dari alamat IP palsu yang cocok dengan alamat IP korban. Permintaan echo ICMP ini dikirim ke jaringan siaran IP yang meneruskan permintaan ke setiap perangkat pada jaringan tertentu. Setiap perangkat yang menerima permintaan echo ICMP, mungkin ratusan atau ribuan perangkat, merespons dengan mengirimkan balasan echo ICMP kembali ke alamat IP korban, membanjiri perangkat dengan lebih banyak informasi daripada yang dapat ditangani. Tidak seperti banyak jenis serangan DDoS lainnya, serangan smurf tidak memerlukan botnet. 

Serangan volumetrik

Serangan DDoS volumetrik menghabiskan semua bandwidth yang tersedia di dalam jaringan target atau antara layanan target dan seluruh internet, sehingga mencegah pengguna yang sah untuk terhubung ke sumber daya jaringan. Serangan volumetrik sering kali membanjiri jaringan dan sumber daya dengan lalu lintas yang sangat tinggi, bahkan dibandingkan dengan jenis serangan DDoS lainnya. Serangan volumetrik telah diketahui dapat membanjiri langkah-langkah perlindungan DDoS seperti pusat scrubbing, yang dirancang untuk menyaring lalu lintas berbahaya dari lalu lintas yang sah.

Jenis serangan volumetrik yang umum meliputi:

UDP flood. Serangan ini mengirimkan paket User Datagram Protocol (UDP) palsu ke port host target, mendorong host untuk mencari aplikasi untuk menerima paket ini. Karena paket UDP palsu, tidak ada aplikasi yang menerimanya, dan host harus mengirimkan pesan ICMP "Destination Unreachable" kembali ke pengirim. Sumber daya host menjadi terikat dalam menanggapi aliran paket UDP palsu yang terus menerus, membuat host tidak dapat menanggapi paket yang sah.

Banjir ICMP. Juga disebut “serangan banjir ping,” serangan ini membombardir target dengan permintaan gema ICMP dari beberapa alamat IP palsu. Server yang ditargetkan harus menanggapi semua permintaan ini dan menjadi kelebihan beban dan tidak dapat memproses permintaan gema ICMP yang valid. Banjir ICMP dibedakan dari serangan smurf di mana penyerang mengirim sejumlah besar permintaan ICMP dari botnet mereka daripada menipu perangkat jaringan untuk mengirim respons ICMP ke alamat IP korban. 

Serangan amplifikasi DNS. Di sini, penyerang mengirimkan beberapa permintaan pencarian Domain Name System (DNS) ke satu atau banyak server DNS publik. Permintaan pencarian ini menggunakan alamat IP palsu milik korban dan meminta server DNS untuk mengembalikan sejumlah besar informasi per permintaan. Server DNS kemudian membalas permintaan tersebut dengan membanjiri alamat IP korban dengan data dalam jumlah besar.  

Serangan multivektor

Seperti namanya, serangan multivektor mengeksploitasi beberapa vektor serangan, untuk memaksimalkan kerusakan dan menggagalkan upaya mitigasi DDoS. Penyerang dapat menggunakan beberapa vektor secara bersamaan atau beralih di antara vektor serangan tengah, ketika satu vektor digagalkan. Misalnya, peretas mungkin mulai dengan serangan smurf, tetapi begitu lalu lintas dari perangkat jaringan dimatikan, mereka dapat meluncurkan banjir UDP dari botnet mereka. 

Ancaman DDoS juga dapat digunakan bersama-sama dengan serangan siber lainnya. Misalnya, penyerang ransomware dapat menekan korbannya dengan mengancam akan melakukan serangan DDoS jika uang tebusan tidak dibayarkan. 

Mengapa serangan DDoS begitu meluas

Serangan DDoS telah bertahan begitu lama, dan menjadi semakin populer di kalangan penjahat dunia maya dari waktu ke waktu, karena

  • Mereka membutuhkan sedikit atau tidak ada keterampilan untuk melaksanakannya. Dengan menyewa botnet siap pakai dari peretas lain, penjahat dunia maya dapat dengan mudah meluncurkan serangan DDoS sendiri dengan sedikit persiapan atau perencanaan.

  • Mereka sulit dideteksi. Karena botnet sebagian besar terdiri dari perangkat konsumen dan komersial, mungkin sulit bagi organisasi untuk memisahkan lalu lintas berbahaya dari pengguna yang sebenarnya. Selain itu, gejala serangan DDoS-layanan yang lambat dan situs serta aplikasi yang tidak tersedia untuk sementara waktu-juga dapat disebabkan oleh lonjakan lalu lintas yang sah secara tiba-tiba, sehingga sulit untuk mendeteksi serangan DDoS pada tahap awal.

  • Hal ini sulit untuk dimitigasi. Setelah serangan DDoS diidentifikasi, sifat serangan siber yang terdistribusi berarti organisasi tidak bisa begitu saja memblokir serangan tersebut dengan mematikan satu sumber lalu lintas. Kontrol keamanan jaringan standar yang dimaksudkan untuk menggagalkan serangan DDoS, seperti pembatasan kecepatan, juga dapat memperlambat operasi bagi pengguna yang sah.

  • Ada lebih banyak perangkat botnet yang potensial daripada sebelumnya. Munculnya Internet of Things (IoT) telah memberikan peretas sumber perangkat yang kaya untuk dijadikan bot. Peralatan, perkakas, dan gadget yang berkemampuan Internet, termasuk teknologi operasional (OT) seperti perangkat perawatan kesehatan dan sistem manufaktur, sering kali dijual dan dioperasikan dengan standar universal dan kontrol keamanan yang lemah atau bahkan tidak ada sama sekali, sehingga rentan terhadap infeksi malware. Mungkin sulit bagi pemilik perangkat ini untuk menyadari bahwa mereka telah disusupi, karena perangkat IoT dan OT sering kali digunakan secara pasif atau jarang.

Serangan DDoS menjadi semakin canggih karena peretas mengadopsi alat kecerdasan buatan (AI) dan pembelajaran mesin (ML) untuk membantu mengarahkan serangan mereka. Hal ini telah menyebabkan peningkatan serangan DDoS adaptif, yang menggunakan AI dan ML untuk menemukan aspek sistem yang paling rentan dan secara otomatis menggeser vektor dan strategi serangan sebagai respons terhadap upaya mitigasi DDoS tim keamanan siber. 

Meningkatnya biaya, ukuran, dan dampak serangan DDoS

Tujuan serangan DDoS adalah untuk mengganggu operasi sistem, yang dapat menimbulkan biaya tinggi bagi organisasi. Menurut laporan Cost of a Data Breach 2022 dari IBM, gangguan layanan, waktu henti sistem, dan gangguan bisnis lainnya yang disebabkan oleh serangan siber rata-rata merugikan organisasi sebesar USD 1,42 juta. Pada tahun 2021, serangan DDoS merugikan penyedia VoIP hampir 12 juta dolar AS (tautan berada di luar ibm.com).

Serangan DDoS terbesar yang pernah tercatat, yang menghasilkan 3,47 terabit lalu lintas berbahaya per detik, menargetkan pelanggan Microsoft Azure pada November 2021 (tautan berada di luar ibm.com). Penyerang menggunakan botnet yang terdiri dari 10.000 perangkat dari seluruh dunia untuk membombardir korban dengan 340 juta paket per detik.

Serangan DDoS juga telah digunakan untuk menyerang pemerintah, termasuk serangan tahun 2021 di Belgia (tautan berada di luar ibm.com). Para peretas menargetkan penyedia layanan internet (ISP) milik pemerintah untuk memutuskan koneksi internet lebih dari 200 lembaga pemerintah, universitas, dan lembaga penelitian.

Semakin banyak peretas menggunakan DDoS bukan sebagai serangan utama, tetapi untuk mengalihkan perhatian korban dari kejahatan siber yang lebih serius-misalnya, mengeksfiltrasi data atau menyebarkan ransomware ke jaringan saat tim keamanan siber sibuk menangkis serangan DDoS. 

Perlindungan, deteksi, dan mitigasi DDoS

Upaya mitigasi dan perlindungan DDoS biasanya bertumpu pada pengalihan arus lalu lintas berbahaya secepat mungkin, seperti dengan merutekan lalu lintas jaringan ke pusat-pusat scrubbing atau menggunakan penyeimbang beban untuk mendistribusikan ulang lalu lintas serangan. Untuk itu, perusahaan yang ingin memperkuat pertahanan mereka dari serangan DDoS dapat mengadopsi teknologi yang dapat mengidentifikasi dan mencegat lalu lintas berbahaya, termasuk:

  • Firewall aplikasi web. Sebagian besar organisasi saat ini menggunakan perimeter dan firewall aplikasi web (WAF) untuk melindungi jaringan dan aplikasi mereka dari aktivitas jahat. Sementara firewall standar melindungi di tingkat port, WAF memastikan permintaan aman sebelum meneruskannya ke server web. WAF mengetahui jenis permintaan mana yang sah dan mana yang tidak, sehingga memungkinkannya untuk menghentikan lalu lintas yang berbahaya dan mencegah serangan lapisan aplikasi.

  • Jaringan pengiriman konten (CDN). CDN adalah jaringan server terdistribusi yang dapat membantu pengguna mengakses layanan online dengan lebih cepat dan andal. Dengan adanya CDN, permintaan pengguna tidak akan kembali ke server asal layanan. Sebaliknya, mereka dialihkan ke server CDN yang lebih dekat secara geografis yang mengirimkan konten. CDN dapat membantu melindungi dari serangan DDoS dengan meningkatkan kapasitas lalu lintas layanan secara keseluruhan. Jika server CDN dilumpuhkan oleh serangan DDoS, lalu lintas pengguna dapat dialihkan ke sumber daya server lain yang tersedia di jaringan.
     

  • SIEM (informasi keamanan dan manajemen acara). Sistem SIEM menawarkan berbagai fungsi untuk mendeteksi serangan DDoS dan serangan siber lainnya di awal siklus hidupnya, termasuk manajemen log dan wawasan jaringan. Solusi SIEM menyediakan manajemen data keamanan terpusat yang dihasilkan oleh alat keamanan lokal dan berbasis cloud. SIEM dapat memantau perangkat dan aplikasi yang terhubung untuk insiden keamanan dan perilaku abnormal, seperti ping berlebihan atau permintaan koneksi tidak sah. SIEM kemudian menandai anomali ini agar tim keamanan siber dapat mengambil tindakan yang tepat.

  • Teknologi deteksi dan respons. Solusideteksi dan respons titik akhir (EDR), deteksi dan respons jaringan (NDR), dan deteksi dan respons yang diperluas (XDR) semuanya menggunakan analitik canggih dan AI untuk memantau infrastruktur jaringan guna mengetahui indikator adanya penyusupan-seperti pola lalu lintas yang tidak normal yang dapat menandakan serangan DDoS-dan kemampuan otomasi untuk merespons serangan yang sedang berlangsung secara real time (mis., memutus koneksi jaringan yang mencurigakan). 
Solusi terkait
IBM Security® QRadar® NDR

Tangkap ancaman tersembunyi yang mengintai di jaringan Anda, sebelum terlambat. IBM Security® QRadar® Network Detection and Response (NDR) membantu tim keamanan Anda dengan menganalisis aktivitas jaringan secara real time. Sistem ini menggabungkan kedalaman dan keluasan visibilitas dengan data dan analisis berkualitas tinggi untuk mendorong wawasan dan respons yang dapat ditindaklanjuti.

Jelajahi QRadar NDR
Tim Respons Insiden X-Force®

Dapatkan perlindungan keamanan yang dibutuhkan organisasi Anda untuk meningkatkan kesiapan menghadapi pelanggaran dengan langganan retainer respons insiden dari IBM Security. Saat Anda bekerja sama dengan tim elit konsultan IR kami, Anda memiliki mitra tepercaya yang siap siaga untuk membantu mengurangi waktu yang diperlukan untuk merespons insiden, meminimalkan dampaknya, dan membantu Anda pulih lebih cepat sebelum insiden keamanan siber dicurigai.

Jelajahi layanan respons insiden
Layanan intelijen ancaman

Gabungkan keahlian dengan intelijen ancaman untuk memperkaya analisis ancaman dan mengotomatiskan platform ancaman siber Anda.             

Jelajahi layanan intelijen ancaman
Sumber daya Apa yang dimaksud dengan serangan siber?

Serangan siber mencoba mencuri informasi sensitif atau menonaktifkan sistem kritis melalui akses tidak sah ke jaringan atau perangkat komputer.

Apa itu ransomware?

Ransomware adalah malware yang menyandera perangkat dan data korban hingga tebusan dibayarkan.

Apa yang dimaksud dengan respons insiden?

Rencana respons insiden formal memungkinkan tim keamanan siber untuk membatasi atau mencegah kerusakan akibat serangan siber atau pelanggaran keamanan.

Ambil langkah selanjutnya

Ancaman keamanan siber menjadi lebih canggih dan lebih gigih, dan menuntut lebih banyak upaya dari analis keamanan untuk menyaring peringatan dan insiden yang tak terhitung jumlahnya. IBM Security QRadar SIEM memudahkan untuk memulihkan ancaman dengan lebih cepat sekaligus mempertahankan keuntungan Anda. QRadar SIEM memprioritaskan peringatan dengan akurasi tinggi untuk membantu Anda menangkap ancaman yang terlewatkan oleh orang lain.

Pelajari lebih lanjut tentang QRadar SIEM Minta demo QRadar SIEM