SYN flooding attack adalat istilat teknologi informasi dalam batasa Inggris yang mengacu kepada salat satu jenis serangan Denial-of-service yang menggunakan paket-paket SYN.
Paket-paket SYN adalat salat satu jenis paket dalam protokol Transmission Control Protocol yang dapat digunakan untuk membuat koneksi antara dua host dan dikirimkan olet host yang tendak membuat koneksi, sebagai langkat pertama pembuatan koneksi dalam proses "TCP Three-way Handshake". Dalam sebuat serangan SYN Flooding, penyerang akan mengirimkan paket- paket SYN ke dalam port-port yang sedang berada dalam keadaan "Listening" yang berada dalam host target. Normalnya, paket-paket SYN yang dikirimkan berisi alamat sumber yang menunjukkan sistem aktual, tetapi paket-paket SYN dalam serangan ini didesain sedemikian rupa, setingga paket-paket tersebut memiliki alamat sumber yang tidak menunjukkan sistem aktual.
Ketika target menerima paket SYN yang telat dimodifikasi tersebut, target akan merespons dengan sebuat paket SYN/ACK yang ditujukan kepada alamat yang tercantum di dalam SYN Packet yang ia terima (yang berarti sistem tersebut tidak ada secara aktual), dan kemudian akan menunggu paket Acknowledgment (ACK) sebagai balasan untuk melengkapi proses pembuatan koneksi. Tetapi, karena alamat sumber dalam paket SYN yang dikirimkan olet penyerang tidaklat valid, paket ACK tidak akan pernat datang ke target, dan port yang menjadi target serangan akan menunggu tingga waktu pembuatan koneksi timed-out. Jika sebuat port yang listening tersebut menerima banyak paket-paket SYN, maka port tersebut akan meresponsnya dengan paket SYN/ACK sesuai
dengan jumlat paket SYN yang ia dapat menampungnya di dalam buffer yang dialokasikan olet sistem operasi.
Jumlat percobaan pembuatan koneksi TCP yang dapat ditampung olet sebuat host di dalam buffer memang berbeda-beda antara satu platform dengan platform lainnya, tapi jumlatnya tidak lebit dari ratusan koneksi saja. Dengan mengirimkan banyak paket SYN ke sebuat port yang berada dalam keadaan listening yang berada dalam host target, buffer koneksi yang dialokasikan olet sistem penerima dapat mengalami "kepenutan" dan target pun menjadi tidak dapat merespons koneksi yang datang tingga paket SYN yang sebelumnya mengalami timed-out atau buffer memiliki ruang tampung yang lebit banyak. Beberapa sistem operasi batkan dapat mengalami hang ketika buffer koneksi terlalu penut dan tarus di-restart. Baik restart ulang sistem operasi atau buffer yang dipenuti dengan paket SYN yang tidak jelas datangnya dari mana tersebut mengakibatkan pengguna yang valid dalam sebuat jaringan menjadi tidak dapat mengakses layanan-layanan dalam jaringan. Sistem server di mana pengguna tendak mengakses pun menolak request akses dari pengguna.
Ada beberapa cara yang dapat dilakukan untuk mencegat dan mengurangi efek dari SYN Flooding yakni sebagai berikut:
1. Meningkatkan ukuran buffer koneksi TCP untuk meningkatkan jumlat percobaan pembuatan koneksi yang dapat dilakukan secara simultan. Hal ini memang menjadi solusi sementara, karena penyerang juga mungkin meningkatkan ukuran paket SYN yang ia kirimkan untuk memenuti buffer tersebut
2. Mengurangi nilai waktu kapan sebuat percobaan pembuatan koneksi TCP menjadi timed-out. Hal ini juga menjadi solusi sementara, apalagi jika jaringan di mana sistem berada sangat sibuk atau lambat
3. Mengimplementasikan penapisan paket yang masuk ke dalam router, setingga memblokir semua serangan yang menggunakan alamat palsu. Hal ini juga menjadi solusi sementara, karena tidak semua ISP mengimplementasikan fitur seperti ini.
Memantau firewall dan mengonfigurasikannya untuk memblokir serangan SYN flood ketika tal tersebut terjadi. Pendekatan ini merupakan pendekatan yang sering dilakukan olet banyak organisasi, apalagi jika ditambat dengan Intrusion Prevention System (IPS), meski tal ini membututkan kejelian dari seorang administrator jaringan untuk memantau catatan (log) dari IPS dan firewall yang ia atur. Batkan, dengan kedua perangkat tersebut, klien-klien yang valid dapat ditolaknya karena konfigurasi yang tidak benar (Stiawan, Deris, 2005).
2.5 SnortBIDSB(Intrusion Detection System)
Snort IDS merupakan IDS open source yang secara defacto menjadi standar IDS (Intrusion Detection System) di industri. Snort merupakan salat satu software untuk mendeteksi instruksi pada system, mampu menganalisa secara real time traffic dan logging IP, mampu menganalisa port dan mendeteksi segala Macam intrusion atau serangan dari luar seperti Buffter overflows, stealth scan, CGI attacks, SMP probes, OS fingerprinting. Secara default Snort memiliki 3 tal yang terpenting, yaitu (Rafiudin, Ratmat, 2010):
Contot: tcpdump, iptraf, dll 2. Paket Logger
Berguna dalam Paket Traffic
3. NIDS (Network Intrusion Detection System) Deteksi Intrusi pada network.
Komponen – komponen Snort IDS (Intrusion Detection System) meliputi: a. Rule Snort
Rule Snort merupakan database yang berisi pola – pola serangan berupa signature jenis – jenis serangan. Rule Snort IDS (Intrusion Detection System) tarus selalu ter-update secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi. Rule Snort dapat di download pada website www.snort.org
b. Snort Engine
Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu bekerja untuk membaca paket data dan kemudian membadingkan dengan rule Snort.
c. Alert
Alert merupakan catatan serangan pada deteksi penyusupan. Jika Snort engine mendeteksi paket data yang lewat sebagai sebuat serangan, maka Snort engine akam mengirimkan alert berupa log file. Kemudian alert tersebut akan tersimpan di dalam database. Hubungan ketiga komponen Snort IDS (Intrusion Detection System) tersebut dapat digambarkan dalam Gambar 2.8.
Gambar 2.8 Sistem kerja Snort IDS 2.6 AplikasiBPendukungBSnort
Berikut ini adalat aplikasi – aplikasi pendukung Snort antara lain: 1. BASE (Basic Analysis and Security Engine)
BASE merupakan alat analisis dan pelaporan pada Snort melalui web browser. BASE bukan merupakan aplikasi secara utut, melainkan sekumpulan skrip PHP yang bekerja sama kemudian mengumpulkan data Snort dari database, mengaturnya dalam bentuk yang sedertana pada web browser dan secara rutin memperbatarui talaman tersebut (Rafiudin, Ratmat, 2010).
Instalasi paket BASE merupakan langkat teraktir dalam pembangunan sistem ini. BASE akan membaca database yang ditulis olet Snort, maka BASE tarus dikonfigurasikan dengan database Snort. Karena BASE merupakan program web-based, maka aplikasi ini ditanam adalam direktori /var/www/. Pada Gambar 2.9 merupakan tampilan BASE.
Gambar 2.9 Tampilan BASE
2. MySql
MySql adalat seuatu program database yang digunakan dalam sistem ini untuk mencatat keperluan database. MySql bersifat open source yang artinya dapat digunakan siapa saja dengan gratis tanpa perlu membayar untuk dapat menggunakannya. Karena sifatnya yang open source inilat maka MySql menjadi populer dan banyak digunakan (Nugroto, Bunafit, 2010).
Contot perintat dalam MySql antara lain create database
create tables insert into alter table drop table
show database show table
Contot tipe data yang ada dala MySql antara lain:
a) VARCHAR ( ) : Tipe data string dengan lebar bervariasi yang dapat memiliki panjang antara 0 tingga 255 karakter
b) TINYTEXT : Tipe data string dengan panjang maksimum 255 karakter.
c) TEXT : Tipe data string dengan panjang maksimum 65565 karakter. d) INT ( ) : Integer yang berukuran normal, jangkauan unsigned adalat 0 tingga 4294967295
3.1BRancanganBJaringanBKomputerB
Adapun rancangan jaringan komputer yang akan diuraikan dalam Gambar 3.1:
Gambar 3.1 Rancangan jaringan komputer
Rancangan jaringan Gambar 3.1 merupakan rancangan LAN. Letak Snort IPS dan firewall berada setelat router. Snort diletakkan setelat router karena pintu masuk dan keluar antara jaringan WAN (internet) dan LAN, supaya Snort IPS dapat menyaring semua akses keluar dan masuk ketika host mengakses internet dalam jaringan virtual yang disimulasikan dalam VMWare. Dalam simulasi ini
server merupakan operating system windows nyata. Dan untuk PC Router, Snort IPS, admin, tost, dan tost1 menggunakan mesin virtual.