Serangan denial-of-service terdistribusi (DDoS) membanjiri sumber daya online — seperti situs web atau layanan cloud — dengan permintaan koneksi palsu atau lalu lintas berbahaya lainnya, biasanya dengan menggunakan botnet. Tidak dapat mengelola semua lalu lintas tersebut, target akan melambat atau mogok, sehingga tidak dapat diakses oleh pengguna yang sah.
Serangan denial-of-service terdistribusi adalah jenis serangan denial-of-service (serangan DoS), kategori yang mencakup semua serangan siber yang memperlambat atau menghentikan aplikasi atau layanan. Serangan DDoS unik karena mengirim lalu lintas serangan dari berbagai sumber sekaligus — berpotensi membuat lebih sulit untuk dikenali dan dipertahankan melawannya — yang menempatkan “terdistribusi” menjadi “denial-of-service terdistribusi.”
Menurut IBM® X-Force Threat Intelligence Index, serangan DDoS menyumbang sekitar 2% dari serangan yang ditanggapi X-Force. Namun demikian, gangguan yang ditimbulkannya bisa memakan banyak biaya. Waktu henti sistem dapat menyebabkan gangguan layanan, hilangnya pendapatan, dan kerusakan reputasi. Laporan IBM® Biaya Pelanggaran Data mencatat bahwa biaya bisnis yang hilang karena serangan siber rata-rata sebesar USD 1,47 juta.
Buletin industri
Ikuti perkembangan tren industri yang paling penting—dan menarik—di bidang AI, otomatisasi, data, dan lainnya dengan buletin Think. Lihat Pernyataan Privasi IBM.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM kami untuk informasi lebih lanjut.
Tidak seperti serangan siber lainnya, serangan DDoS tidak mengeksploitasi kerentanan pada sumber daya jaringan untuk membobol sistem komputer. Sebaliknya, mereka menggunakan protokol koneksi jaringan standar seperti Hypertext Transfer Protocol (HTTP) dan Transmission Control Protocol (TCP) untuk membanjiri titik akhir, aplikasi, dan aset lainnya dengan lalu lintas yang melebihi kapasitasnya.
Server web, router, dan infrastruktur jaringan lainnya hanya dapat memproses sejumlah permintaan yang terbatas dan mempertahankan jumlah koneksi yang terbatas pada satu waktu. Dengan menggunakan bandwidth sumber daya yang tersedia, serangan DDoS mencegah sumber daya ini merespons permintaan koneksi dan paket yang sah.
Secara umum, serangan DDoS memiliki dua tahap utama: membuat botnet dan menjalankan serangan.
DDoS attack biasanya membutuhkan botnet, sebuah jaringan perangkat yang terhubung ke internet yang telah terinfeksi malware yang memungkinkan peretas mengendalikan perangkat dari jarak jauh.
Botnet dapat mencakup komputer laptop dan desktop, ponsel, perangkat Internet of Things (IoT), dan titik akhir konsumen atau komersial lainnya. Pemilik perangkat yang disusupi biasanya tidak menyadari bahwa perangkat mereka telah terinfeksi atau digunakan untuk serangan DDoS.
Beberapa penjahat siber menyusun botnet mereka sendiri, yang secara aktif menyebarkan malware dan mengambil alih perangkat. Ada pula yang membeli atau menyewa botnet yang sudah ada sebelumnya dari penjahat siber lain di dark web dengan model yang disebut sebagai “denial-of-service as a service”.
Tidak semua serangan DDoS menggunakan botnet. Beberapa mengeksploitasi operasi normal perangkat yang tidak terinfeksi untuk tujuan berbahaya. (Untuk mengetahui informasi selengkapnya, lihat "Serangan Smurf".)
Peretas memerintahkan perangkat di botnet untuk mengirim permintaan koneksi atau paket lain ke alamat IP server, perangkat, atau layanan target.
Sebagian besar serangan DDoS mengandalkan brute force, yang mengirimkan sejumlah besar permintaan untuk menghabiskan semua bandwidth target. Beberapa serangan DDoS mengirimkan sejumlah kecil permintaan yang lebih rumit yang mengharuskan target mengeluarkan sumber daya untuk merespons. Dalam kedua kasus tersebut, hasilnya sama: lalu lintas serangan membanjiri sistem target, yang menyebabkan denial-of-service dan mencegah lalu lintas yang sesungguhnya untuk mengaksesnya.
Para peretas sering kali mengaburkan sumber serangan mereka melalui IP spoofing, sebuah teknik yang digunakan penjahat siber untuk memalsukan alamat IP sumber palsu untuk paket-paket yang dikirim dari botnet. Dalam sebuah bentuk spoofing IP yang disebut "refleksi", peretas membuatnya terlihat seolah lalu lintas yang buruk dikirim dari alamat IP sendiri korban.
Serangan DDoS tidak selalu merupakan serangan utama. Terkadang peretas menggunakannya untuk mengalihkan perhatian korban dari kejahatan dunia maya lainnya. Misalnya, penyerang dapat mengekstraksi data atau menerapkan ransomware ke jaringan sementara tim keamanan siber sibuk menangkis serangan DDoS.
Peretas menggunakan serangan DDoS untuk semua jenis alasan: pemerasan, menutup organisasi dan institusi yang tidak mereka setujui, mencekik bisnis pesaing dan bahkan perang siber.
Beberapa target serangan DDoS yang paling umum meliputi:
Serangan DDoS dapat menyebabkan kerugian finansial yang signifikan bagi retailer dengan menjatuhkan toko digital mereka, sehingga tidak mungkin bagi pelanggan untuk berbelanja sampai serangan diselesaikan.
Ketika aktor ancaman meluncurkan serangan DDoS pada ISP, mereka dapat membuat semua pelanggan penyedia offline.
Penyedia layanan cloud adalah target populer untuk serangan DDoS. Karena layanan ini menghosting data dan aplikasi untuk bisnis lain, peretas dapat menyebabkan pemadaman yang meluas dengan satu serangan.
Serangan DDoS dapat membuat layanan perbankan offline, sehingga pelanggan tidak dapat mengakses akun mereka.
Seperti halnya penyedia layanan cloud, penyedia SaaS adalah target yang menarik karena peretas dapat mengganggu banyak organisasi dalam satu gerakan.
Serangan DDoS dapat mengganggu game online dengan membanjiri server mereka dengan lalu lintas. Serangan ini sering kali diluncurkan oleh pemain yang tidak puas dengan dendam pribadi, seperti halnya kasus dengan botnet Mirai yang awalnya dibangun untuk menargetkan server Minecraft.
Serangan DDoS sering digunakan terhadap pemerintah, terutama selama masa perang.
Serangan DDoS diklasifikasikan berdasarkan taktik yang mereka gunakan dan arsitektur jaringan yang mereka targetkan. Jenis serangan DDoS yang umum meliputi:
Seperti namanya, serangan lapisan aplikasi menargetkan lapisan aplikasi suatu jaringan. Dalam kerangka kerja model Interkoneksi Sistem Terbuka (model OSI), lapisan ini adalah tempat pengguna berinteraksi dengan halaman web dan aplikasi. Serangan lapisan aplikasi mengganggu aplikasi web dengan membanjiri mereka dengan permintaan berbahaya.
Salah satu serangan lapisan aplikasi yang paling umum adalah serangan HTTP flood, di mana penyerang secara terus menerus mengirimkan sejumlah besar permintaan HTTP dari beberapa perangkat ke situs web yang sama. Situs web tidak dapat mengikuti semua permintaan dan melambat atau benar-benar mogok. Serangan HTTP flood mirip dengan ratusan atau ribuan browser web yang berulang kali memuat ulang halaman web yang sama.
Serangan protokol menargetkan lapisan jaringan (lapisan 3) dan lapisan transport (lapisan 4) dari model OSI. Mereka bertujuan untuk membanjiri sumber daya jaringan yang penting seperti firewall, penyeimbang beban, dan server web dengan permintaan koneksi berbahaya.
Dua jenis serangan protokol yang paling umum termasuk serangan SYN flood dan serangan smurf.
Serangan SYN flood memanfaatkan proses handshake/jabat tangan TCP, di mana dua perangkat menjalin koneksi satu sama lain. Handshake TCP yang khas memiliki tiga langkah:
Dalam serangan SYN flood, penyerang mengirimkan sejumlah besar paket SYN ke server target dengan alamat IP sumber yang dipalsukan. Server merespons alamat IP palsu dan menunggu paket ACK terakhir. Karena alamat IP sumber dipalsukan, paket-paket ini tidak pernah tiba. Server terikat dalam sejumlah besar koneksi yang belum selesai, sehingga tidak tersedia untuk TCP handshake yang sah.
Serangan smurf memanfaatkan Internet Control Message Protocol (ICMP), protokol komunikasi yang digunakan untuk menilai status koneksi antara dua perangkat.
Dalam pertukaran ICMP yang umum, satu perangkat mengirimkan permintaan echo ICMP ke perangkat lain, dan perangkat yang terakhir merespons dengan balasan echo ICMP.
Dalam serangan smurf, penyerang mengirimkan permintaan echo ICMP dari alamat IP palsu yang cocok dengan alamat IP korban. Permintaan echo ICMP ini dikirim ke jaringan siaran IP yang meneruskan permintaan ke setiap perangkat di jaringan.
Setiap perangkat yang menerima permintaan echo ICMP—kemungkinan ratusan atau ribuan perangkat—merespons dengan mengirimkan balasan gema ICMP ke alamat IP korban. Volume respons yang besar melebihi kapasitas yang dapat ditangani perangkat korban. Bedanya dengan jenis serangan DDoS lainnya, serangan smurf tidak selalu memerlukan botnet.
Serangan DDoS volumetrik menghabiskan semua bandwidth yang tersedia di dalam jaringan target atau antara layanan target dan bagian internet lainnya, sehingga mencegah pengguna yang sah untuk terhubung ke sumber daya jaringan.
Serangan volumetrik sering kali membanjiri jaringan dan sumber daya dengan lalu lintas yang tinggi, bahkan dibandingkan dengan jenis serangan DDoS lainnya. Serangan volumetrik telah dikenal dapat membanjiri langkah-langkah perlindungan DDoS seperti scrubbing center, yang dirancang untuk menyaring lalu lintas berbahaya dari lalu lintas yang sah.
Jenis serangan volumetrik yang umum termasuk UDP flood, ICMP flood, dan serangan amplifikasi DNS.
UDP flood mengirimkan paket User Datagram Protocol (UDP) palsu ke port host target, yang mendorong host untuk mencari aplikasi untuk menerima paket-paket ini. Karena paket UDP palsu, tidak ada aplikasi yang menerimanya, dan host harus mengirimkan pesan ICMP "destination unreachable" kembali ke pengirim.
Sumber daya host menjadi terikat dalam menanggapi aliran paket UDP palsu yang terus menerus, membuat host tidak dapat menanggapi paket yang sah.
ICMP flood, juga disebut "serangan ping flood", membombardir target dengan permintaan echo ICMP dari beberapa alamat IP yang dipalsukan. Server yang ditargetkan harus menanggapi semua permintaan ini dan menjadi kelebihan beban dan tidak dapat memproses permintaan echo ICMP yang valid.
Banjir ICMP dibedakan dari serangan smurf karena penyerang mengirim permintaan ICMP dalam jumlah besar dari botnet mereka. Dalam serangan smurf, peretas mengelabui perangkat jaringan untuk mengirim respons ICMP ke alamat IP korban.
Dalam serangan amplifikasi DNS, penyerang mengirimkan beberapa permintaan Domain Name System (DNS) ke satu atau banyak server DNS publik. Permintaan pencarian ini menggunakan alamat IP palsu milik korban dan meminta server DNS untuk mengembalikan sejumlah besar informasi per permintaan. Server DNS membalas permintaan tersebut dengan membanjiri alamat IP korban dengan data yang besar.
Seperti namanya, serangan multivektor mengeksploitasi beberapa vektor serangan, bukan satu sumber, untuk memaksimalkan kerusakan dan menggagalkan upaya mitigasi DDoS.
Penyerang mungkin akan menggunakan beberapa vektor secara bersamaan atau beralih di antara vektor serangan tengah, ketika satu vektor digagalkan. Sebagai contoh, peretas mungkin memulai dengan serangan smurf, tetapi ketika lalu lintas dari perangkat jaringan dimatikan, mereka mungkin meluncurkan UDP flood dari botnet mereka.
Ancaman DDoS juga dapat digunakan bersamaan dengan ancaman siber lainnya. Misalnya, penyerang ransomware dapat menekan korbannya dengan mengancam akan melakukan serangan DDoS jika uang tebusan tidak dibayarkan.
Serangan DDoS tetap menjadi taktik penjahat siber yang umum karena berbagai alasan.
Penjahat siber tidak perlu lagi mengetahui cara membuat kode untuk meluncurkan serangan DDoS. Pasar digital berkembang pesat di dark web, tempat aktor ancaman dapat membeli dan menjual botnet, malware, dan alat lain untuk melakukan DDoS.
Dengan menyewa botnet siap pakai dari peretas lain, penjahat siber dapat dengan mudah meluncurkan serangan DDoS sendiri dengan sedikit persiapan atau perencanaan.
Karena botnet sebagian besar terdiri dari perangkat konsumen dan komersial, mungkin sulit bagi organisasi untuk memisahkan lalu lintas berbahaya dari pengguna yang sebenarnya.
Selain itu, gejala serangan DDoS—layanan lambat dan situs serta aplikasi yang sementara tidak tersedia—dapat disebabkan oleh lonjakan tiba-tiba dalam hal lalu lintas yang sah, membuatnya sulit untuk mendeteksi serangan DDoS lebih awal.
Ketika serangan DDoS telah diidentifikasi, sifat serangan siber yang terdistribusi berarti bahwa organisasi tidak bisa begitu saja memblokirnya dengan mematikan satu sumber lalu lintas. Kontrol keamanan jaringan standar yang dimaksudkan untuk menggagalkan serangan DDoS, seperti pembatasan kecepatan, juga dapat memperlambat operasi bagi pengguna yang sah.
Munculnya Internet of Things telah memberi peretas sumber perangkat yang kaya untuk berubah menjadi bot.
Peralatan yang berkemampuan Internet— termasuk teknologi operasional (OT) seperti perangkat perawatan kesehatan dan sistem manufaktur, sering kali dijual dan dioperasikan dengan standar universal dan kontrol keamanan yang lemah atau tidak ada sama sekali, sehingga rentan terhadap infeksi malware.
Mungkin sulit bagi pemilik perangkat ini untuk menyadari bahwa mereka telah disusupi, karena perangkat IoT sering kali digunakan secara pasif atau jarang.
Serangan DDoS menjadi semakin canggih karena peretas mengadopsi alat kecerdasan buatan (AI) dan machine learning (ML) untuk membantu mengarahkan serangan mereka. Serangan DDoS adaptif menggunakan AI dan ML untuk menemukan aspek sistem yang paling rentan dan secara otomatis menggeser vektor dan strategi serangan sebagai respons terhadap upaya mitigasi DDoS tim keamanan siber.
Semakin cepat serangan DDoS dapat diidentifikasi, semakin cepat pertahanan dan remediasi dapat dimulai. Tanda-tanda bahwa serangan sedang berlangsung meliputi:
Banyak dari perilaku ini mungkin disebabkan oleh faktor lain. Namun, memeriksa serangan DDoS terlebih dahulu dapat menghemat waktu dan mengurangi kerusakan jika serangan DDoS sedang berlangsung.
Solusi perlindungan DDoS membantu mendeteksi anomali lalu lintas dan menentukan apakah hal tersebut aman atau berbahaya. Pada akhirnya, banjir permintaan yang tiba-tiba membludak bisa jadi merupakan hasil dari kampanye pemasaran yang sukses, dan memblokir permintaan tersebut bisa menjadi bencana bisnis.
Upaya mitigasi DDoS biasanya mencoba mengalihkan aliran lalu lintas berbahaya sesegera mungkin.
Upaya pencegahan dan mitigasi DDoS yang umum diterapkan meliputi:
Sementara firewall standar melindungi jaringan di tingkat port, WAF membantu memastikan bahwa permintaan aman sebelum meneruskannya ke server web. WAF dapat menentukan jenis permintaan mana yang sah dan mana yang tidak, sehingga memungkinkannya untuk menghentikan lalu lintas berbahaya dan mencegah serangan lapisan aplikasi.
CDN adalah jaringan server terdistribusi yang dapat membantu pengguna mengakses layanan online dengan lebih cepat dan andal. Dengan adanya CDN, permintaan pengguna tidak akan kembali ke server asal layanan. Sebaliknya, permintaan dialihkan ke server CDN yang lebih dekat secara geografis yang mengirimkan konten.
CDN dapat membantu melindungi dari serangan DDoS dengan meningkatkan kapasitas lalu lintas layanan secara keseluruhan. Jika server CDN terjebak oleh serangan DDoS, maka lalu lintas pengguna dapat diarahkan ke sumber daya server lain yang tersedia di jaringan.
Deteksi dan respons titik akhir (EDR), deteksi dan respons jaringan (NDR), dan alat lainnya dapat memantau infrastruktur jaringan untuk indikator kompromi. Ketika sistem ini melihat kemungkinan tanda DDoS—seperti pola lalu lintas yang tidak normal—mereka dapat memicu respons insiden real-time, seperti menghentikan koneksi jaringan yang mencurigakan.
“Lubang hitam” adalah bagian dari jaringan di mana lalu lintas masuk dihapus tanpa diproses atau disimpan di toko. Perutean lubang hitam berarti mengalihkan lalu lintas masuk ke lubang hitam saat diduga terjadi serangan DDoS.
Kelemahannya adalah bahwa perutean lubang hitam dapat membuang yang baik dengan yang buruk. Lalu lintas yang valid dan mungkin berharga juga dapat dibuang, yang membuat perutean lubang hitam menjadi instrumen yang sederhana tetapi tumpul dalam menghadapi serangan.
Pembatasan laju berarti menempatkan batasan pada jumlah permintaan masuk yang diizinkan untuk diterima server selama periode waktu tertentu. Layanan mungkin juga lambat untuk pengguna yang sah, tetapi server tidak kewalahan.
Penyeimbangan beban adalah proses mendistribusikan lalu lintas jaringan di beberapa server untuk mengoptimalkan ketersediaan aplikasi. Penyeimbangan beban dapat membantu bertahan dari serangan DDoS dengan secara otomatis merutekan lalu lintas dari server yang kewalahan.
Organisasi dapat menginstal penyeimbang beban berbasis perangkat keras atau perangkat lunak untuk memproses lalu lintas. Mereka juga dapat menggunakan jaringan anycast, yang memungkinkan satu alamat IP ditetapkan ke beberapa server atau node di beberapa lokasi sehingga lalu lintas dapat dibagikan di seluruh server tersebut. Biasanya, permintaan dikirim ke server yang optimal. Ketika lalu lintas meningkat, beban tersebar, yang berarti bahwa server kurang cenderung kewalahan.
Scrubbing center adalah jaringan atau layanan khusus yang dapat menyaring lalu lintas berbahaya dari lalu lintas yang sah dengan menggunakan teknik seperti autentikasi lalu lintas dan deteksi anomali. Scrubbing center memblokir lalu lintas berbahaya selagi memungkinkan lalu lintas yang sah mencapai tujuannya.