5

BAB II

TINJAUAN PUSTAKA

2.1 Tinjauan Pustaka

Sebelum melakukan penelitian, penulis melakukan studi literatur untuk melihat keterkaitan antara penelitian sebelumnya dan penelitian pada tugas akhir ini. Pada penelitian Intrusion detection using honeypots yang dilakukan oleh Neeraj Bhagat dan Bhavna Arora Ph.D, peneliti menggunakan dua tools honeypot, yaitu honeyd pada linux dan kfsensor pada windows untuk berinteraksi dengan penyerang dan data yang masuk dikumpulkan untuk dianalisis. Honeyd disimulasikan hampir 30 hari diberbagai port seperti TCP, UDP, ICMP, IGMP, FTP dan SSH. Sedangkan kfsensor disimulasikan selama 1 bulan untuk mengecek penyerang dan worm yang masuk. Hasilnya, honeyd dapat mendeteksi dengan baik pada jaringan aman dan tidak aman sedangkan kfsensor hanya dapat mendeteksi pada jaringan kfsensor dibangun dan untuk kedua sensor, TCP merupakan protokol dengan jumlah paket dan jumlah koneksi terbanyak yang ditangkap [6].

Penelitian yang dilakukan Poonam A Pandire dan Prof. Vishwajit B Gaikwad dengan judul Attack Detection in Cloud Virtual Environment and Prevention Using

Honeypot, menggabungkan dua metode, yaitu honeypot dan model NICE untuk

melakukan deteksi dan mencegah serangan DDoS pada Cloud. Di mana, honeypot akan digunakan untuk menjebak penyerang dan melacak IP dari penyerang. Sedangkan, agen NICE bertugas untuk memantau jaringan dan melaporkannya pada penganalisis serangan. Lalu, algoritma Alert Correlation Graph dan Honeypot

Redirection and Countermeasure Selection akan menganalisis hasil serangan yang

masuk [7].

Penelitian lainnya dengan judul The Performance Analysis of Honeypot

Based Intrusion Detection System for Wireless Network yang dilakukan oleh Neha

Agrawal dan Shashikala Tapaswi mengusulkan metode Honeypot IDS untuk mengatasi ancaman keamanan pada jaringan tanpa kabel. Penelitian ini menggunakan kfsensor sebagai honeypotnya dan telah terpasang pada salah satu

host. Pada bagian pengujian, berbagai serangan yang diusulkan akan melewati tiga

6

false alarm [8].

Pada penelitian ditugas akhir ini, peneliti akan menerapkan integrasi Modern Honey Network di SDN dan metode entropy untuk melakukan deteksi serangan DDoS dan mitigasi serangan dengan mengirimkan flow rule pada semua switch yang terhubung pada jaringan SDN.

2.2 Software Defined Network

Software Defined Network merupakan paradigma baru dalam jaringan untuk mengatasi kelemahan pada jaringan tradisional. SDN memodelkan jaringan dengan memisahkan control plane dan data plane, sehingga control plane dapat dikelolah secara terpusat dan dari sisi administrator ini sangat menguntungkan karena dapat membantu dalam menyesuaikan lalu lintas jaringan secara dinamis [1] [2]. Menurut Soyed Mohammad Mousavi dan Marc St-Hilaire, SDN menyediakan cara baru dalam mengelolah jaringan. Di mana, switch tidak digunakan untuk melakukan pemprosesan data atau paket yang masuk melainkan mencari kecocokan pada

forwarding table. Jika tidak ditemukan kecocokan, maka paket akan dikirim ke

kontroler untuk dilakukan proses berupa penerusan atau penjatuhan paket [12]. Dalam jaringan SDN terdapat 3 arsitektur layer yang masing-masing memiliki tugasnya sendiri seperti pada Gambar 2.1

7

Berdasarkan gambar di atas, application layer merupakan layer yang berisi kumpulan aplikasi berorientasi bisnis dan dihubungkan dengan northbound API untuk melakukan komunikasi ke kontroler [13]. Salah satu aplikasi yang ada pada layer ini adalah rest API. Control layer merupakan otak dari SDN dan bertanggung jawab untuk mengeksekusi program logika forwarding dan protokol. Sedangkan,

data layer bertanggung jawab atas penerusan tindakan forwarding. Untuk membuat

tindakan forwarding dan aturan baru, data plane dan control plane harus melakukan komunikasi terlebih dahulu menggunkan southbound API karena data plane tidak mengetahui algoritma routing [4].

2.3 OpenFlow

OpenFlow merupakan standar protokol pertama yang digunakan untuk melakukan komunikasi antara layer kontrol dan data [2]. Protokol ini memiliki tiga komponen utama, yaitu OpenFlow switch, OpenFlow channel dan OpenFlow

controller.

8

Gambar 2.2 menunjukan komponen pada OpenFlow dan mekanisme komunikasinya. Berikut penjelasannya dari masing-masing komponen [14].

1. OpenFlow Switch merupakan komponen yang digunakan untuk melakukan

komunikasi secara aman melalui tunnel untuk dapat dikelolah langsung oleh

OpenFlow Controller. Di dalam OpenFlow Switch terdapat flow match yang

terdiri dari flow entri berupa header, counters dan actions.

2. OpenFlow Tunnel merupakan komponen yang menghubungkan OpenFlow

Switch dan OpenFlow Controller

3. OpenFlow Controller merupakan komponen yang bertugas dan bertanggung

jawab untuk semua konfigurasi

2.4 RYU Controller

Ryu merupakan salah satu kontroler open source yang sudah mendefinisikan API untuk memudahkan pengembangan dan manajemen perangkat pada jaringan SDN. Kontroler ini mendukung berbagai protokol, salah satunya OpenFlow untuk melakukan komunikasi antara switch dan kontroler. Selain itu, ryu merupakan salah satu kontroler yang mudah diinstall dan dipakai karena menggunakan python sebagai bahasa pemprogramannya [15].

2.5 Modern Honey Network

Modern Honey Network (MHN) merupakan software open source yang mendukung manajemen dan pemasangan beberapa sensor dengan mudah [11]. Beberapa sensor yang dapat ada di dalam MHN, yaitu Dioanea, Suricata, Kippo, Crown dan lainnya dengan MongoDB sebagai salah satu database yang didukung. Dari sensor yang telah dipasang, paket yang berhasil masuk di MHN akan dikumpulkan dan dianalisis

2.6 Suricata

Suricata merupakan salah satu sensor honeypot dari perusahan ThreatStream yang dapat dibangun secara mudah di MHN. Hanya dengan menggunakan script yang tersedia pada menu deploy, sensor berhasil dipasang. Suricata juga mendukung penginstallan pada sistem operasi Ubuntu 14.04, 16.04 dan 18.04.

9

Sensor ini dapat digunakan untuk menjebak, monitoring dan mengumpulkan informasi dari paket-paket yang masuk [10]

2.7 Mikrotik

Mikrotik merupakan salah satu perangkat keras yang diproduksi oleh perusahaan Mikrotik dari Latavia. Perusahan ini bukan hanya memproduksi perangkat keras tetapi juga perangkat lunak. Perangkat berupa router, switch dan sistem wireless digunakan untuk membangun sebuah jaringan baik itu skala besar maupun kecil [16]. Untuk itu, pada penelitian ini jaringan SDN dibangun dengan memanfaatkan mikrotik sebagai switch.

2.8 Scapy

Scapy merupakan program python yang bisa diinstall dibeberapa sistem operasi, salah satunya Linux. Di linux, scapy berjalan secara native pada Python2 dan Python3. Tool ini berfungsi untuk melakukan pengiriman, pembedahan dan manipulasi paket agar dapat dikirim ke jaringan. Dengan memanfaatkan scapy, penyelidikan dan penyerangan ke jaringan dapat dilakukan. Keuntungan di sisi penyerang, scapy dapat menggantikan tools seperti hping, Nmap dan lainnya [17].

2.9 TCPReplay

TCPReplay merupakan salah satu tools open source untuk mengedit dan memutar kembali lalu lintas jaringan yang telah ditangkap sebelumnya menggunakan wireshark atau tools pembuat file pcap. TCPReplay mudah diinstall dan sudah tersedia sampai versi 4.0. Versi 4.0 adalah versi baru yang mendukung peningkatan kinerja perangkat jaringan seperti router, switch dan IP Flow/NetFlow [18].

2.10 Distributed Denial of Service (DDoS)

DDoS merupakan salah satu ancaman keamanan yang pola serangannya terdistribusi. DDoS menyerang dengan cara mengirim paket dalam jumlah besar ke satu atau lebih target dengan tujuan menghabiskan resource dan bandwidth sehingga mengganggu lalu lintas normal, menurunkan kualitas layanan dan bahkan

10

menyebabkan sistem down. Serangan DDoS terbagi menjadi 2, yaitu serangan dengan intensitas tinggi dan intensitas rendah [19] [20] [21].

Pada jaringan Software Defined Network (SDN), serangan DDoS mengirimkan paket dalam jumlah besar ke host tujuan (korban) dengan cara membanjiri paket dengan beberapa pesan seperti TCP SYN, UDP SYN atau ICMP menggunakan alamat IP asal yang berbeda (palsu) atau IP spoofing dengan target serangan kontroler dengan cara menghabiskan resource pada kontroler. Paket yang dikirimkan dalam jumlah besar dengan alamat IP berbeda akan diterima oleh switch untuk mencari kecocokan pada flow entri dalam flow table dan jika tidak ditemukkan kecocokan, maka paket akan diteruskan ke kontroler dalam bentuk pesan PACKET_IN untuk diproses informasi paket. Karena dikirimkan dalam jumlah besar dan alamat IP berbeda, maka kontroler akan mengalami traffic yang besar dan mengakibatkan kontroler down serta host tidak terjangkau di jaringan SDN [25].

2.10.1 ICMP Flood

ICMP Flood merupakan salah satu teknik serangan DDoS dengan cara eksploitasi pesan ICMP untuk membanjiri resource target dengan mengirimkan paket ICMP echo request (ping) dalam jumlah besar sehingga target terbebani dan infrakstruktur jaringan melambat. Teknik serangan ini menggunakan alamat IP source acak (palsu) sehingga resource target akan digunakan secara terus menerus untuk memproses paket [22].

11 2.11 Wireshark

Wirehark adalah aplikasi gratis yang dapat diinstall dan diunduh dengan mudah diberbagai sistem operasi. Aplikasi memiliki banyak sekali fungsi untuk keperluan dibidang jaringan. Salah satu fungsinya adalah memonitoring paket yang masuk sehingga paket tersebut dapat dianalisis. Dalam penelitian ini, wireshark digunakan untuk menangkap semua paket dengan tipe protokol ICMP.

2.12 Entropy

Metode yang digunakan dalam penelitian adalah metode entropy. Entropy adalah salah satu metode yang dapat digunakan untuk mengukur tingkat keacakan dari paket yang masuk [13]. Dalam penelitian ini, entropy dihitung untuk mendeteksi apakah paket yang masuk termasuk serangan atau bukan. Untuk melakukan perhitungan entropy, terlebih dahulu harus mencari probabilitas dari paket yang masuk. Setelah nilai probabilitas didapatkan, barulah nilai entropy dihitung. Nilai tersebut akan dibandingkan dengan threshold yang telah ditentukan. Jika nilai entopy melebihi threshold maka termasuk paket serangan dan jika nilai