7
Bab 2
Tinjauan Pustaka
2.1 Penelitian Sebelumnya
Salah satu bidang variabel dalam IP header yang dapat dikorelasikan dengan probabilitas dinamis adalah bidang 8 bit Time-to-Live (TTL). Hal ini digunakan untuk melacak jumlah hop berjalan dan untuk membatasi jumlah hop sebuah paket dapat melakukan perjalanan di Internet sehingga mencegah paket data dapat diteruskan oleh router tanpa batas waktu. Nilai TTL adalah decremented oleh satu per satu setiap hop selama proses routing. Telah diamati bahwa di Internet saat ini, jumlah maksimum hop ada 32 hops,dalam praktiknya cukup bagi paket untuk mencapai tujuan. Jadi, secara umum nilai TTL diinisialisasi dengan nilai 32 ketika IP header sedang dikonstruksi, meskipun dapat diatur antara angka 1 dan 255. Bagian TTL memberikan perkiraan yang baik tentang seberapa jauh paket telah melakukan perjalanan dan dapat dikorelasikan dengan probabilitas penandaan. Probabilitas
penandaan p dibentuk dengan Persamaan 2.1. p = 0.51- (1 / TTL) (2.1)
Marking prosedure at router R
Gambar 2.1 Prosedur Penandaan Berbasis TTL (Devasundaram, 2006)
2.2
Tinjauan tentang Protocol TCP/IP
Sebelum membahas tentang DoS attack dan PPM akan dibahas protokol TCP/IP secara ringkas.
2.2.1 Protokol Stack
Protokol stack adalah implementasi dari rangkaian protokol jaringan komputer. TCP/IP (Transmission Control Protocol/Internet Protocol) adalah standar komunikasi data yang digunakan oleh komunitas Internet dalam proses tukar-menukar data dari satu komputer ke komputer lain di dalam jaringan Internet.
Gambar 2.2 menunjukkan protokol TCP/IP dan OSI layers. TCP/IP menggunakan empat layers sementara OSI menggunakan tujuh layers. TCP/IP dan OSI adalah sistem yang berbeda satu sama lain secara signifikan, meskipun mempunyai fungsi yang sama pada lapisan jaringan dan transportasi. Penulisan ini akan membahas protokol TCP/IP secara ringkas.
Gambar 2.3 Hubungan antar Protokol TCP/IP (Panwar dkk, 2004)
Gambar 2.3 menunjukkan hubungan antar protokol di lapisan yang berbeda. Penjelasan tentang protokol TCP/IP akan dibahas di bawah ini.
ProtokolTCP/IP memiliki empat layer, yaitu : 1. Physical layer (Network Interface Layer)
2. Network Layer (Internet Layer)
Lapisan ini bertugas untuk menjamin agar suatu paket yang dikirimkan dapat menemukan tujuannya. Lapisan ini memiliki peranan penting terutama dalam mewujudkan internetworking yang meliputi wilayah luas (worldwide internet). Pada layer ini terdapat tiga macam protokol, yaitu IP (Internet Protocol), ARP (Address Resolution Protocol), ICMP (Internet Control Message Protocol). Beberapa tugas penting pada network layer adalah :
- Pengalamatan (addressing), yakni melengkapi setiap paket data dengan alamat internet atau yang dikenal dengan internet protocol address (IP address) sehingga jaringan TCP/IP independent dari jenis media, sistem operasi, dan komputer yang digunakan.
- Routing, yakni menentukan rute kemana paket data akan dikirim agar mencapai tujuan yang diinginkan. Router-router pada jaringan TCP/IP-lah yang menentukan penyampaian paket data dari pengirim ke penerima.
3. Transport Layer
Berisi protokol yang bertanggung jawab untuk mengadakan komunikasi antara dua komputer. Kedua protokol tersebut adalah :
- User Datagram Protocol (UDP), protokol
process-to-process yang menambahkan hanya alamat port, check-sum error control, dan panjang informasi data dari lapisan di atasnya.
- Transmission Control Protocol (TCP), menyediakan
4. Aplication Layer
Application Layer dalam TCP adalah kombinasi
lapisan-lapisan session, presentations dan application pada OSI. Lapisan ini mendefinisikan aplikasi-aplikasi yang dijalankan pada jaringan. Beberapa protokol yang telah dikembangkan pada lapisan ini yaitu: SMTP (Simple Mail Transfer Protocol) untuk pengiriman electronic mail, FTP (File Transfer Protocol) untuk transfer file, HTTP (Hyper Text Transfer Protocol) untuk aplikasi berbasis web atau WWW panjangnya 8 bit. IP address merupakan identifikasi setiap host pada jaringan Internet sehingga tidak boleh ada host lain (yang tergabung ke Internet) menggunakan IP address yang sama. Dilihat dari keperluan jaringan, IP address dapat dibagi menjadi dua kelompok, yaitu private IP address dan public IP address. Private IP address digunakan untuk jaringan local (LAN). Sedangkan public IP address digunakan untuk jaringan public (Internet).
Gambar 2.4 IP Datagram (Dostalek dan Kabelova, 2006)
b. ICMP (Internet Control Message Protocol)
Gambar 2.5 Paket ICMP (Dostalek dan Kabelova, 2006)
Gambar 2.5 menunjukkan struktur paket ICMP. Panjang header paket ICMP selalu 8 byte. Empat byte pertama selalu memiliki arti yang sama, dan isinya dari 4 byte yang tersisa tergantung pada jenis paket ICMP. Empat byte pertama dari header selalu berisi jenis pesan, kode pesan, dan sebuah checksum 16 bit. Format pesan tergantung pada nilai dari type field. Field code kemudian menetapkan masalah yang sedang ditandai oleh ICMP.
2.2.3 Transport Protokol
Transmission Control Protocol (TCP) dan User Datagram
Transport. Keduanya digunakan oleh berbagai aplikasi TCP/IP. Pada subbab ini akan dibahas secara ringkas kedua protokol tersebut.
a. TCP (Transmission Control Protocol)
TCP (Transmission Control Protocol) merupakan protokol yang bersifat connection oriented karena sebelum proses transmisi data terjadi, dua aplikasi TCP harus melakukan pertukaran kontrol informasi (handshaking). TCP juga bersifat reliable karena menerapkan fitur deteksi kesalahan dan retransmisi apabila ada data yang rusak, sehingga keutuhan data dapat terjamin.
Gambar 2.6TCP Header (Dostalek dan Kabelova, 2006)
Gambar 2.6 menunjukkan TCP header. Panjang TCP header adalah 20 bytes dan diikuti dengan item opsional. Item opsional terdiri dari tipe item opsional, panjang item opsional, dan nilainya.
data dikirim, untuk memastikan apakah data telah sampai di tempat tujuan. Kemudian TCP akan mengirimkan data berikutnya atau melakukan pengiriman ulang (retransmisi) apabila data sebelumnya tidak sampai atau rusak. Data yang dikirim dan diterima kemudian diatur berdasarkan nomor urut. Protokol TCP sangat cocok digunakan untuk koneksi yang membutuhkan kehandalan tinggi, seperti aplikasi telnet, SSH, FTP, HTTP.
b. UDP (User Datagram Protocol)
UDP merupakan protokol yang bersifat connectionless. Artinya, saat melakukan pengiriman data tidak dilakukan proses handshaking, tidak ada sequencing datagram, dan tidak ada jaminan bahwa paket data (datagram) yang dikirim akan tiba dengan selamat. UDP juga tidak menyediakan fitur koreksi kesalahan.
UDP hanya menyediakan fasilitas multiplexing aplikasi (via nomor port) dan deteksi kesalahan (via checksum) yang tersedia pada header dan muatan. Deteksi kesalahan pada UDP hanya bersifat opsional. Transmisi data yang realible, dilakukan ditingkat aplikasi. Tidak bisa dikerjakan ditingkat protokol UDP.
Gambar 2.7 menunjukkan UDP header yang berisi jumlah kedua sumber dan port tujuan sama dengan TCP. Nomor port dari protokol UDP tidak ada hubungannya dengan nomor port TCP. UDP menggunakan himpunan independent nomor port. Panjang field UDP menunjukkan panjang datagram UDP (panjang header + panjang data). Panjang minimum adalah 8 bytes, sebuah datagram UDP hanya berisi header dan tidak ada data.
Layanan yang menggunakan UDP yaitu transmisi audio/video, seperti : VoIP, audio/video streaming. UDP tidak cocok untuk pengiriman paket data berukuran besar karena peluang jumlah paket yang hilang/rusak sangat besar.
2.3
Serangan DoS (
Denial of Service
)
2.3.1 Definisi DoS (Denial of Service) dan DDoS (Distributed Denial of Service)
Denial of Service (DoS) merupakan upaya untuk mencegah pengguna yang sah mengakses layanan yang tersedia (Stallings, 2011). DoS menurunkan kinerja sebuah web site dengan terus-menerus mengulang request ke server. Serangan ini mengakibatkan server korban menjadi sibuk melayani request yang terkirim dan berakhir dengan menghentikan aktivitas atau berhenti dengan sendirinya karena tidak mampu melayani request.
beberapa komputer yang terhubung dalam jaringan sebagai zombie atau secondary victim untuk melakukan serangan terhadap target. Serangan DDoS menggunakan banyak komputer untuk mengkoordinasi serangan DoS ke satu atau lebih target. Penggunaan teknologi client/server attacker dapat mengefektifkan serangan DoS dengan memanfaatkan sumberdayadari bagian komputer yang tanpa disadari bertindak sebagai platform serangan.
Gambar 2.8 Skema Serangan DDoS (Stallings, 2011)
Gambar 2.8 merupakan ilustrasi dari serangan yang mengkonsumsi transmisi data sumber daya, berikut langkah-langkah penyerangan (Stallings, 2011):
2. Node di situs yang dijadikan sebagai perantara menerima permintaan palsu berganda dan merespon dengan mengirim paket balasan echo ke situs target.
3. Router target dibanjiri oleh paket-paket dari situs yang dijadikan perantara, tanpa meninggalkan kapasitas transmisi data untuk lalu lintas data yang sah.
2.3.2 Jenis Serangan DDoS
DDoS mempunyai dua tipe serangan yaitu model Agent-Heandler dan model IRC-based.
Gambar 2.9 Jaringan Serangan DDoS (Specht dan Lee, 2003)
Gambar 2.9 menunjukkan jaringan serangan DDoS yang terbagi menjadi dua bagian Agent-Handler dan IRC-Based, masing-masing bagian mempunyai jenis serangan yang berbeda-beda. berikut akan dibahas lebih rinci mengenai kedua model serangan tersebut.
1. Model Agent-Handler
dengan sistem serangan DDoS lainnya. Handlers adalah paket-paket software yang terletak diseluruh jaringan Internet yang digunakan oleh client penyerang untuk berkomunikasi dengan agents. Serangan DDoS model Agent-Handler ditunjukkan pada Gambar 2.10.
Gambar 2.10 Serangan DDoS Model Agent-Handler
(Specht dan Lee, 2003)
Dalam suatu jaringan serangan DDoS, sistem yang telah dimasukkan software agent disebut sebagai korban sekunder. Korban primer adalah sistem yang menjadi target serangan DDoS. Setiap program agent hanya menggunakan beberapa sumberdaya (memori dan bandwith) ketika berpartisipasi dalam sebuah serangan. Akan tetapi, software agent dirancang dengan baik menggunakan
sumberdaya dalam jumlah kecil agar para pengguna program sekunder mengalami sedikit perubahan dalam performa sistem mereka.
2. Model IRC-based
akan mengijinkan para pengguna yang tidak berada dalam kanal untuk mengidentifikasi keberadaan kanal tersebut sedangkan kanal-kanal rahasia lebih sulit untuk dicari kecuali penggunanya adalah pengguna dari kanal tersebut.
Gambar 2.11 Serangan DDoS Model IRC-Based (Specht dan Lee, 2003)
sebuah daftar dari agent-agent karena penyerang cukup masuk ke server IRC dan melihat daftar dari semua agent yang ada.
Software agent yang terinstal dalam jaringan IRC biasanya berkomunikasi dengan kanal IRC dan memberitahukan penyerang ketika agent berjalan.
2.3.3 Taksonomi Serangan DDoS
Ada berbagai macam teknik serangan DDoS. Ada dua kelas
utama dari serangan DDoS, yaitu bandwith depletion dan resource
depletion attacks.
Gambar 2.12 Taksonomi Serangan DDos (Specht dan Lee, 2003)
2.3.3.1 Serangan untuk menguras bandwith (bandwith depletion attacks)
Serangan DDoS untuk menguras bandwidth adalah serangan yang dirancang untuk membanjiri jaringan korban dengan traffic yang tidak diinginkan untuk mencegah lalu lintas yang sah mencapai sistem korban (primer). Bandwith Depletion dibagi menjadi dua kelas. Sebagai berikut :
a. Flood attacks
Sebuah flood attack melibatkan secondary victim dengan mengirimkan banyak data pada traffic menuju sistem korban, untuk memenuhi bandwidth pada sistem korban. Besarnya jumlah paket yang dikirim oleh secondary victim ke sistem korban membuat sistem korban menjadi lambat, membuat sistem crash atau memenuhi bandwith. Hal ini mencegah pengguna-pengguna yang sah untuk mengakses sumberdaya-sumberdaya korban.
korban akan mengirimkan sebuah paket ICMP untuk sistem pengiriman menunjukkan pesan "destination port unreachable". DDoS tool penyerang juga akan men-spoof alamat IP address sumber dari paket serangan. Hal ini membantu menyembunyikan identitas korban sekunder dan menjamin bahwa paket-paket dari sistem korban tidak dikirim kembali ke secondary victim, tapi ke komputer lain dengan alamat palsu. 2) ICMP Flood attacks. Paket ICMP (Internet Control Message
Protocol) yang dirancang untuk fitur manajemen jaringan
seperti lokasi peralatan jaringan dan menentukan jumlah hop atau round-trip-time untuk mendapatkan lokasi sumber ke tujuan.
b. Serangan amplifikasi
Suatu serangan amplifikasi DDoS bertujuan untuk menggunakan fitur alamat IP broadcast yang terdapat pada kebanyakan router untuk menguatkan dan memantulkan serangan.
Gambar 2.13 menunjukkan serangan amplifikasi. Fitur ini mengijinkan suatu sistem pengirim untuk menentukan sebuah alamat IP broadcast sebagai alamat tujuan dari suatu alamat spesifik. Hal tersebut menginstruksikan router-router yang melayani paket-paket di dalam jaringan untuk menduplikasi paket-paket dan mengirimkan semuanya ke alamat-alamat IP yang ada dalam jangkauan alamat broadcast. Dua jenis serangan amplifikasi, yaitu serangan smurf dan serangan fraggle (Specht dan Lee, 2003):
1) Dalam serangan DDoS Smurf, penyerang mengirimkan paket ke network amplifier (sistem pendukung pengalamatan broadcast). Dengan alamat pengirim palsu untuk alamat IP korban. Paket menyerang biasanya ICMP ECHO REQUESTs, paket (mirip dengan "ping") permintaan penerima untuk menghasilkan suatu paket ICMP ECHO REPLY. Penguat mengirimkan paket ICMP ECHO REQUEST ke semua sistem dalam rentang alamat broadcast, dan masing-masing system akan mengembalikan ICMP ECHO REPLY ke alamat IP korban. 2) Sebuah serangan DDoS fraggle mirip dengan serangan smurf
2.3.3.2 Serangan untuk menghabiskan sumberdaya (Resource Depletion Attacks)
Suatu serangan yang menghabiskan sumber daya adalah serangan yang ditujukan pada sebuah server atau proses di sistem korban sehingga sistem tersebut tidak dapat memproses permintaan-permintaan layanan yang sah.
a. Protocol Exploit Attacks
Serangan protocol exploit dibagi menjadi dua bagian yaitu serangan TCP SYN dan serangan PUSH+ACK.
1) Serangan TCP SYN. Transfer Control Protocol (TCP) melakukan proses handshake penuh diantara pengirim dan penerima, sebelum paket-paket data dikirim. TCP Synchronization ditunjukkan pada Gambar 2.14 (a).
(a) TCP Synchronization (b) TCP Syn Attack
Gambar 2.14 Serangan yang memanfaatkan kelemahan protocol TCP
(Specht dan Lee, 2003)
dimulai di antara kedua system, jika sistem penerima dikirimi sebuah paket SYNx tetapi tidak menerima sebuah ACKY+1 untuk SYNy yang dikirim balik ke pengirim,penerima akan mengirim ulang sebuah ACK+ SYN yang baru setelah beberapa saat. Sumber daya prosessor dan memori pada sistem penerima dipesan untuk permintaan TCP SYN tersebut hingga batas waktu (timeout) terjadi.
Dalam suatu serangan TCP SYN DDoS, penyerang memerintahkan zombie-zombie untuk mengirimkan permintaan-permintaan TCP SYN palsu ke suatu server korban untuk melumpuhkan sumber daya prosessor server. hal ini mencegah server untuk merespon kepada permintaan-permintaan yang sah. Serangan TCP SYN mengeksploitasi proses handshake three-way diantara system pengirim dan sistem penerima dengan mengirimkan paket-paket TCP SYN dalam jumlah besar ke sistem korban dengan alamat IP
data di dalam buffer TCP (terlepas dari apakah buffer penuh atau tidak) dan mengirimkan suatu acknowledgement ketika selesai. Apabila proses ini diulang dengan beberapa agent,
sistem penerima tidak dapat memproses paket-paket yang masuk dalam jumlah besar dan sistem korban akan crash.
b. Malformed Packet Attacks
Suatu serangan Malformed adalah serangan dimana penyerang memerintahkan zombie-zombie untuk mengirim paket-paket IP yang salah ditujukan ke sistem korban untuk membuat sistem korban crash. Ada dua jenis serangan paket Malformed. Dalam suatu serangan IP address, paket berisi alamat IP asal dan alamat IP tujuan yang sama. Hal ini dapat membingungkan sistem operasi dari sistem korban dan mengakibatkan sistem korban crash. Dalam serangan IP packet options, suatu paket malformed dapat mengacak field-field pilihan di dalam sebuah paket IP dan men-set semua bit Quality of Service (QoS) ke satu agar sistem korban harus menggunakan tambahan waktu pemprosesan untuk menganalisa trafik. Apabila serangan ini diperbanyak dengan menggunakan jumlah agent yang cukup, serangan ini dapat mematikan kemampuan pemprosesan dari sistem korban.
2.3.4 Taksonomi untuk Mengatasi Serangan DDoS
dikembangkan oleh penyerang untuk mem-baypass setiap ada penanggulangan baru.
Gambar 2.15 Taksonomi Penanggulangan Serangan DDoS
(Specht dan Lee, 2003)
Gambar 2.15 menunjukkan taksonomi penanggulangan serangan DDoS. Pada gambar diatas penanggulangan serangan DDoS dibagi menjadi enam bagian dan dapat diklasifiksikan menjadi dua bagian yaitu sebelum serangan terjadi dan saat serangan terjadi.
a. Sebelum serangan DDoS terjadi
b. Selama serangan DDoS terjadi
Saat serangan DDoS terjadi penanggulangan dilakukan dengan cara menghentikan serangan atau membelokkan serangan. Teknik yang digunakan terdiri dari tiga sub kelompok yaitu menghentikan serangan, membelokkan serangan, dan forensik. Penelitian ini menggunakan teknik yang termasuk sub kelompok forensik yaitu IP traceback.
IP traceback menyimpan pola lalu lintas data selama serangan DDoS terjadi dengan memberi tanda pada paket (packet marking). Paket yang sudah ditandai tadi kemudian dianalisis untuk menemukan sumber serangan.
2.4
Packet
Marking
Teknik penandaan paket bergantung pada router sepanjang jalur serangan untuk menandai paket dengan informasi mengidentifikasi diri. Router menghasilkan paket tambahan berdasarkan ICMP atau langsung memasukkan informasi tersebut dalam paket header.
2.4.1 ICMP Packet Marking
Ketika router atau host tujuan menginformasikan sesuatu kerusakan pada IP datagram, protokol yang digunakan adalah ICMP. Karakteristik dari ICMP antara lain :
- ICMP tidak dapat melaporkan kerusakan dengan menggunakan pesan ICMP, tetapi untuk menghindari pengulangan.
- Untuk data yang terfragmentasi, pesan ICMP hanya mengirimkan pesan kerusakan pada fragmentasi pertama.
- Pesan ICMP tidak merespon dengan mengirimkan data secara broadcast atau multicast.
- ICMP tidak akan merespon kepada IP datagram yang tidak memiliki header IP pengirim.
- Pesan ICMP dapat membuat proses kerusakan pada datagram.
Gambar 2.16 ICMP Traceback (Devasundaram, 2006)
Gambar 2.16 menunjukkan ilustrasi penandaan paket yang melewati router dengan IP traceback. Korban menerima tambahan informasi secara tetap dari paket yang datang. Pesan ini berisi sebagian kecil informasi yang menunjukkan dari mana paket datang, kapan paket dikirim, dan membuktikan keaslian paket. Untuk mengurangi overhead dalam penambahan pengiriman paket tersebut maka router akan memberikan satu pesan ICMP traceback untuk setiap 20.000 paket yang melewati router.
2.4.2 IP Header Packet Marking
router sepanjang jalan. Korban menggunakan informasi yang tersimpan di dalam IP header untuk merekonstruksi jalur serangan. Dalam metode ini, rekonstruksi jalur serangan bergantung pada banyaknya paket yang telah ditandai dan dikumpulkan oleh korban. Probabilistic Packet Marking memperoleh perhatian yang luas karena mengeluarkan biaya yang rendah dalam hal pemprosesan router dan waktu rekonstruksi.
Mengacu pada Gambar 2.4 yang menunjukkan IP datagram yang belum menyimpan informasi penandaan paket. Bagaimana dan dimana IP datagram akan menyimpan informasi penandaan paket terletak pada identification field dalam IP header.
Gambar 2.17 Alur Kerja Probabilistic Packet Marking
(Devasundaram, 2006)
Gambar 2.17 menunjukkan proses penandaan paket. Identification field dalam paket IP header dirancang untuk menyimpan identitas paket yang terbagi. Ini membedakan potongan paket IP dan memungkinkan dapat digabungkan kembali dengan benar pada sisi penerima.
Menurut penelitian bahwa kurang dari 0,25% paket di Internet terbagi menjadi beberapa bagian, sehingga mengandalkan pada identification field. Penelitian tersebut merupakan suatu penegasan yang berfungsi sebagai pembenaran bahwa identifikasi field lebih tepat digunakan untuk menyimpan informasi penandaan paket (Davasundaram, 2006).
Savage pertama kali menjelaskan dan mengimplementasikan
dengan teknik kompresi dan bidang tambahan dapat mencegah penipuan informasi routing. Savage mengusulkan untuk menggunakan IP header 16-bit dalam identification field untuk menyimpan informasi router (Devasundaram, 2006).
Gambar 2.18 Overloaded IP Header dari Savage (Devasundaram, 2006)
Gambar 2.18 menunjukkan overloaded IP header. Identification field terbagi menjadi offset, distance dan edge
fragment yang digunkan untuk menyimpan informasi penandaan
paket.
Pembagian identification field lebih detail dapat dilihat pada Gambar 2.19. Identification field 16 bit dibagi menjadi tiga bagian dengan pembagian Offset 3 bit menyatakan 8 macam fragmen yang mungkin ada, 5 bit menyatakan distance, dan 8 bit menyatakan fragmen edge (Savage, 2000).
Gambar 2.19 Pembagian Identification Field untuk Penandaan Paket
Down Song dan Adrian Perrig memodifikasi edge-identification berbasis PPMdari untuk lebih mengurangi kebutuhan penyimpanan, dengan menyimpan hash dari setiap IP address bukan dari alamat itu router itu sendiri. Pendekatan ini beranggapan korban memiliki peta jaringan lengkap dari semua router upstream. Setelah
edge-fragment reassembly, metode ini membandingkan hash IP
address yang dihasilkan untuk hash IP address router yang berasal dari peta jaringan. Metode dimodifikasi untuk menjadi lebih efektif terhadap serangan DDoS dari pada metode sebelumnya. (untuk memfasilitasi rekonstruksi jalur serangan). Overloaded IP header dari Song dan Perrig ditunjukkan pada Gambar 2.20.
Gambar 2.20 Overloaded IP Header dari Song dan Perrig
(Devasundaram, 2006)
Gambar 2.21 Paket Marking dalam IP Header (Song dan Perrig, 2001)
dibagi menjadi distance 5 bit, dan edge 11 bit dengan menggunakan hash.
2.4.3 Algoritma
Pada penulisan ini algoritma yang digunakan adalah algoritma Efficient Probabilistic Packet Marking yang merupakan modifikasi dari algoritma Probabilistic Packet Marking.
2.4.3.1PPM (Probabilistic Packet Marking)
Algoritma PPM (Probabilistic Packet Marking) digunakan untuk memecahkan masalah IP traceback. PPM digunakan untuk menemukan peta Internet atau sebuah grafik serangan selama serangan Distributed Denial of Service (DDoS). Algoritma PPM terdiri dari dua prosedur yaitu prosedur penandaan paket dan prosedur rekonstruksi grafik. Dalam prosedur penandaan paket, paket-paket secara acak menyandikan setiap sisi pada grafik serangan dan memperoleh prosedur rekonstruksi grafik, grafik dibangun dari informasi yang dikodekan.
a. Prosedur Packet Marking
secara lengkap informasi jalur yang dilalui paket yang ditandai. Satu masalah besar tentang pendekatan ini adalah bahwa panjang jalur yang dilalui (misalnya, jumlah hop) dari sebuah paket tidak tetap. Sehingga mustahil untuk pra-mengalokasikan diawal untuk jumlah yang cukup dalam ruang paket header. Kesulitan lain teknik pencatatan jalur informasi yang lengkap dari setiap paket ke korban adalah bahwa jika penyerang berpotensi dapat memanipulasi informasi jalur dan mengisinya dalam proses identifikasi router yang palsu di dalam paket header dapat menyesatkan korban.
Router mengkodekan informasi dalam tiga field yang
menandai serangan paket yaitu awal, akhir, dan jarak. Field awal dan akhir menyimpan alamat IP untuk dua router pada titik akhir tepi yang ditandai. Field jarak mencatat jumlah hop diantara kedua sisi yang ditandai dan lokasi korban (Savage, 2000).
Marking prosedure at router R
for each packet w
let x be a random number from [0..1]
if x < Pm then
write R into w.start and 0 into w.distance
else
if w.distance = 0 then
write R into w.end increment w.distance
Gambar 2.22 Algoritma Packet Marking(Bhavani dan Reddy, 2010)
telah ditetapkan kemungkinan untuk menandai pm, router memilih untuk memulai pengkodean sebuah sisi. Router menetapkan field awal dari paket yang masuk ke alamat router dan mengatur ulang field jarak ke nol. Jika x lebih besar dari pm, router memilih untuk mengakhiri pengkodean sebuah sisi dengan menetapkan alamat router di bidang akhir.
Menurut Algoritma Probabilistic Packet Marking, setiap paket dapat menandai atau menghapus tanda edge field dengan beberapa kemungkinan. Misalkan Pm(d) menyatakan bahwa sebuah sisi ditandai, dan itu adalah (d) hop jauh dari lokasi korban. Rumus PPM ditunjukkan pada Persamaan 2.2 (Bhavani dan Reddy, 2010).
Pm(d) = p(1-p)d
d≥0
(2.2)
b. Prosedur rekonstruksi grafik
Setelah paket ditandai (marked) oleh router, korban dapat merekonstruksi jalur serangan untuk mengetahui asal penyerang. Algoritma untuk merekonstruksi jalur diperlihatkan pada Gambar 2.23.
let G be a tree with root being victim V ;
let edges in G be tuples(start,end,distance);
for (each received marked packet w)
{ extract path (Ri…Rj) by enumerating acyclic paths in G ;
Setelah korban menerima paket, pertama perlu filtering paket yang tanpa tanda (karena korban tidak memuat informasi apapun dalam membuat grafik serangan). Pihak korban menjalankan algoritma konstruksi grafik untuk seluruh paket yang telah ditandai yang dikumpulkan kembali dan membangun grafik yang menggambarkan serangan.
2.4.3.2EPPM (Efficient Probabilistic Packet Marking)
PPM mempunyai banyak fitur yang diinginkan. Sebagai contoh, router yang jauh dari korban memiliki peluang yang sangat rendah untuk menyampaikan informasi penandaan paket kepada korban. Sebab, informasi dari router sebelumnya (upstream routers) ditimpa oleh router sesudahnya (downstream routers) yang mengakibatkan hilangnya informasi penandaan paket yang ditulis oleh router yang terletak jauh dari korban.
Untuk mengatasi masalah di atas, maka algoritma PPM perlu dimodifikasi untuk meningkatkan efektifitasnya. Hasil modifikasi ini disebut Efficient Probabilistic Packet Marking (EPPM).
for (each packet w received by the router)
{
generate a random number x between [0..1];
If (x < Pm and flag=0) then
/* router starts marking. flag 0 implies that the packet is not encoded previously */
/* flag 1 implies that the packet has encoded an edge and no other successive router start encoding */
If (flag = 1) then
Increment w.distance by 1
/*w.distance represents the distance of the encoded edge from the victim V */
} }
