Komuniti Jabatan Sumber Manusia :: DOS (DDOS)

Distributed Denial of Service (DDOS)

Serangan DDoS bukanlah akibat dari virus tetapi ia merupakan satu cara bagi “Hackers” untuk mengelak atau menghalang pengguna yang sah dari mengakses ke computer. DDoS selalunya menyerang dengan menggunakan alatan iaitu dengan menghantar paket yang diminta dengan banyak kepada sasaran seperti Pelayan (kebiasaanya Web, FTP atau Pelayan Mail), yang pada kebiasaannya menyebabkan “Flooded” kepada sumber pelayan dengan satu tujuan iaitu membuat sistem tidak dapat digunakan. Sebarang sistem yang disambungkan dengan Internet dan dilengkapi dengan perkhidmatan rangkaian TCP adalah sasaran utama.

Sebagai contoh, seorang “Hackers” yang mencipta program yang membuat panggilan ke satu kedai menjual makanan segera. Apabila kedai makanan segera itu menjawab panggilan telefon tersebut, panggilan yang dihasilkan adalah panggilan palsu semata-mata. Jika panggilan itu dibuat berkali-kali ia akan menyebabkan panggilan dari pelanggan yang sebenar terhalang oleh kerana talian yang terlalu sibuk. Dan inilah yang dinamakan “Perkhidmatan yang Ditolak” iaitu analogi kepada serangan DoS.

Kebanyakan alatan serangan DoS berupaya untuk melakukan serangan DoS. Sebagai contoh, bayangkan bagaimana “Hacker” secara berahsia menanam program tersebut kedalam kesemua komputer yang berada di Internet. Ini berupaya menghasilkan satu kesan yang amat besar kerana ada kemungkinan lebih banyak lagi komputer ditanam program tersebut memanggil ke kedai makanan segera tersebut. Ia menjadi semakin sukar untuk dikesan dimana letaknya lokasi si “Hacker” tersebut kerana program tersebut tidak dijalankan dari komputer si “Hacker” tersebut. Si ”Hacker” hanya mengawal program yang ditanam terhadap komputer tersebut. Dan ini pula dinamakan sebagai analogi kepada serangan “Distributed DoS”.

Contoh alatan Dos adalah seperti TFN, TFN2K dan Trinoo yang dikategorikan sebagai alatan untuk serangan “Distributed DoS”. Alatan ini boleh ditanam pada jumlah sistem komputer yang banyak dan boleh dikawal secara berpusat oleh “Hacker” untuk membuat serangan terhadap komputer tertentu. Alatan untuk kawalan berpusat ini kenali sebagai “Zombie Agents” atau “Drones”.

Cara bagaimanakah atau apakah sumber yang menyebabkan “flodded” ini adalah berbeza dari satu serangan DoS terhadap satu serangan Dos yang lain. Contohnya “Smurf Dos Attack” yang menggunakan ICMP (Internet Control Message Protocol) yang palsu untuk mengulang-ngulang sesuatu pesanan. Yang lain terdapat juga seperti keluarga TFN (Tribe Flood Network) yang menggunakan cara “SYN Flooding” yang berupaya menghasilkan sambungan separuh terbuka (Half-open connections).

Bagaimana serangan DDoS berfungsi

Pada sambungan yang biasa, pengguna hanya perlu menghantar pesanan kepada pelayan untuk mendapatkan pengesahan. Setelah disahkan, pelayan akan menghantar pengesahan kepada pengguna semula. Setelah itu barulah pengguna diberi laluan ke pelayan.

Tetapi bagi serangan DoS, penyerang akan menghantar beberapa pesanan pengesahan kepada pelayan dengan alasan untuk memenuhi ruang pelayan tersebut. Kesemua pesanan akan mempunyai alamat yang palsu apabila cuba dikembalikan, jadi pelayan akan cuba mencari pengguna-pengguna ini terlebih dahulu apabila ia cuba mengembalikan pengesahan pesanan tadi. Seterusnya pelayan akan berhenti seketika sehingga memakan masa beberapa minit sebelum menutup sambungan tersebut. Setelah selesai menutup sambungan tersebut, penyerang akan menghantar lagi beberapa pesanan palsu sekali lagi dan proses akan bermula sekali lagi. Sekaligus akan mengikat perkhidmatan tersebut tanpa putus-putus.

Bagaimana mengawal serangan DDoS

Adalah sukar untuk mengesan jejak dari mana punca paket tersebut semasa serangan tersebut, terutama sekali DDoS. Dan tidak mustahil untuk kita mengelak kesemua serangan DoS, tetapi terdapat beberapa langkah yang boleh diambil oleh Pentadbir pelayan bagi mengurangkan kesan serangan tersebut. Sebagai contohnya dengan menidakkan tindakbalas ICMP dari melindungi serangan terutamanya jenis “Smurf” atau meletakan router dalam keadaan “filtering” dan memastikan IP yang masuk dari luar mempunyai IP luaran untuk mengelakan dari serangan berjenis TFN.