Implementasi Honeypot untuk Mendeteksi Serangan Distributed
Denial of Service (DDoS)
Artikel Ilmiah
Peneliti :
Angella Puspa Dewi Prabaningtyas(672011136)
Dr. Irwan Sembiring, ST., M.Kom.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
i
Implementasi Honeypot untuk Mendeteksi Serangan Distributed
Denial of Service (DDoS)
Artikel Ilmiah
Diajukan kepada
Fakultas Teknologi Informasi
untuk memperoleh gelar Sarjana Komputer
Peneliti :
Angella Puspa Dewi Prabaningtyas(672011136)
Dr. Irwan Sembiring, ST., M.Kom.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Implementasi Honeypot untuk Mendeteksi Serangan Distributed
Denial of Service (DDoS)
1) Angella Puspa Dewi Prabaningtyas,2)Irwan Sembiring Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana Jl. Diponegoro 52-60, Salatiga 50711, Indonesia
Email: 1) [email protected], 2) [email protected]
Abstrack
Securing communication is a comprehensive challenge due to the increasing of threats and attacks to network security. By knowing the various of threats and attacks, we can collect broad data from the network, by using honeypot. Implemented honeypot uses low-interaction type that is honeyd and other supporting software such as apache2 and bind9. Based on the research, honeypot is successfully giving responds to Distributed Denial of Service (DDoS) attacks and giving false information such as operation system and open ports which are usually sought by attackers. Log outcome given by honeypot is processed into chart and diagrams which are shown through the network interface by using honeyd-viz software so that the administrator will find it easy to analyze the form of the attacks from the attackers and it also can be used to increase the security of the server.
Key words: Honeypot, Honeyd, low-interaction, Honeyd-viz, DDoS, Distributed Denial of Service.
Abstrak
Mengamankan komunikasi adalah tantangan luas karena meningkatnya ancaman dan serangan yang dilakukan pada keamanan jaringan. Pengetahuan tentang berbagai ancaman dan serangan tersebut diperoleh data yang sangat besar dari jaringan, dengan menggunakan honeypot. Honeypot yang diimplementasikan menggunakan jenis low-interaction yaitu honeyd dan software pendukung lainnya seperti apache2 dan bind9. Berdasarkan hasil penelitian, honeypot berhasil berjalan dengan memberi respon terhadap serangan Distributed Denial of Service
(DDoS) dan memberikan informasi palsu seperti sistem operasi serta port-port
terbuka yang biasanya dicari oleh attacker. Hasil log yang diberikan oleh honeypot diolah menjadi grafik dan diagram yang ditampilkan melalu web interface menggunakan softwarehoneyd-viz sehingga administrator mudah dalam menganalisis bentuk serangan attacker serta dapat digunakan untuk meningkatkan keamanan pada server.
Kata Kunci: Honeypot, Honeyd, low-interaction, Honeyd-viz, DDoS, Distributed Denial of Service.
1)Mahasiswa Program Studi Teknik Informatika, Fakultas Teknologi Informasi, Universitas Kristen Satya
Wacana
1
1. Pendahuluan
Pada era digital saat ini, tidak bisa dibayangkan dunia tanpa komunikasi. Manusia memiliki kepentingan untuk bertukar informasi untuk berbagai tujuan. Mengamankan komunikasi adalah tantangan luas karena meningkatnya ancaman dan serangan yang dilakukan pada keamanan jaringan. Serangan pada keamanan jaringan salah satunya yaitu Distributed Denial of Service (DDoS).
Distributed Denial of Service (DDoS) merupakan jenis serangan Denial of Service (DoS) yang menggunakan banyak host attacker untuk menyerang satu buah host atau server target dalam sebuah jaringan. Dalam sebuah serangan Distributed Denial of Service (DDoS) dikategorikan dalam beberapa teknik serangan. Traffic Flooding merupakan teknik serangan dengan membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari
client yang sah tidak dapat masuk ke dalam sistem jaringan. Request Flooding
merupakan teknik serangan dengan membanjiri lalu lintas jaringan dengan banyak
request terhadap sebuah layanan jaringan yang disediakan oleh sebuah host atau
server sehingga request yang datang dari client yang sah tidak dapat dilayani oleh layanan tersebut. Teknik serangan yang terakhir yaitu mengganggu komunikasi antara sebuah host atau server dengan client yang sah dengan menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan server.
Serangan terhadap keamanan jaringan tersebut dapat dideteksi menggunakan Honeypot. Honeypot adalah security resource yang sengaja dibuat untuk diselidiki, diserang, atau dikompromikan (Firrar Utdirartatmo, 2005:1). Pada umumnya honeypot berupa komputer, data atau situs jaringan yang terlihat seperti bagian dari jaringan, tetapi terisolasi dan dimonitor. Implementasi
honeypot menggunakan jenis low-interaction yaitu Honeyd. Honeypot dibangun menyerupai sistem yang sesungguhnya dan dilengkapi dengan vulnerability yang sudah diketahui sehingga attacker dapat teralih perhatiannya dari sistem utama yang akan diserang dan beralih menyerang ke sistem palsu honeypot tersebut.
2. Tinjauan Pustaka
Pada penelitian Vinu V Das [1], menganalisa sistem honeypot yang ada untuk mengidentifikasi beberapa masalah, seperti Legitimate Attacker dan Link Unreachable. Masalah Legitimate Attacker yaitu attacker dibawah active server
menyerang server melalui jalur yang sama dengan client yang sah. Masalah tersebut diselesaikan dengan membuka jalur komunikasi virtual dan fisik pada setiap klien setelah adanya pengesahan untuk simpul-simpul Active Server lainnya tetap bertindak sebagai suatu honeypot virtual atau fisik. Masalah Link Unreachable yaitu client sah terisolasi karena satu-satunya link yang tercapai telah rusak dan kumpulan jaringan yang terdekat terhalang oleh server-server honeypot. Masalah tersebut telah teratasi dengan membuka satu channel
komunikasi sementara melalui honeypot, dengan membuatnya bertindak sebagai
Active Server secara virtual.
Pada penelitian Chris Moore dan Ameer Al-Nemrat[2], memuat tentang
2
memperketat system keamanan jaringan. Percobaan ini menunjukkan untuk menginstall R yaitu bahasa pemrograman statistik untuk menganalisis data yang diperoleh pada mesin yang sama sebagai modern honey network deployment, dan menghapus keterlambatan dalam mentransfer data serangan ke system analisis sehingga memungkinkan lebih tepat waktu dalam melakukan analisis mendalam dari data serangan.
Pada penelitian Frederic, Yann Berthier, Philippe, dan Danielle [3], memuat tentang forensic umum yang diaplikasikan pada honeypot berbeda dalam beberapa hal : (1) jumlah informasi : sebuah honeypot memiliki hampir terlalu banyak informasi, tetapi satu host yang dirusak tidak memiliki banyak data. (2) kualitas informasi : pada honeypot, hampir kepingan data adalah menarik jika perangkat capture bekerja dengan baik; sebaliknya, host yang rusak biasanya memiliki banyak gangguan data. (3) perangkat : pengembang honeypot berfokus pada honeypot itu sendiri, tidak ada pada perangkat untuk menganalisa data yang tertangkap.
Berdasarkan penelitian yang telah dilakukan tentang Honeypot, maka dilakukan penelitian sebuah honeypot low-interaction yaitu Honeyd, dengan menggunakan software honeyd-viz melalui web interface sebagai media untuk menganalisa serangan Distributed Denial of Service (DDoS).
3. Metode Penelitian
Pada tahap ini peneliti ingin mengetahui kinerja dari honeyd honeypot dan honeyd-viz yang dibangun. Selanjutnya, pada tahap ini dilakukan untuk menginventaris kebutuhan dari infrastruktur yang dibangun meliputi hardware
dan software. Server Honeypot memakai Laptop Asus A43S Intel Core i3 dengan RAM 4GB, dimana dalam laptop ini menjalankan berbagai software dan sistem operasi diantaranya sistem operasi Windows 7 Ultimate 32-bit sebagai sistem operasi utama. Software VirtualBox-4.1.4-74291-Win digunakan sebagai virtual server menjalankan sistem operasi ubuntu-12.04.-server-i386 yang didalamnya menjalankan software honeyd dan honeyd-viz.
Pada web server memakai Laptop Acer Aspire 4736Z Intel Pentium dengan RAM 1GB, dimana dalam laptop tersebut menjalankan berbagai software dan sistem operasi diantaranya Windows 7 Ultimate 32-bit sebagai sistem operasi utama. Software VirtualBox-4.1.4-74291-Win digunakan sebagai virtual server
dengan sistem operasi ubuntu-12.04.-server-i386 yang didalamnya menjalankan
software Apache2, Bind9, dan ISC-DHCP-Server sebagai software yang menyediakan layanan IP Address secara Dynamic (otomatis) atau IP DHCP kepada honeypot dan attacker yang berada dalam satu jaringan.
3
1. Tahapan Penelitian
Gambar 1Flowchart alur pendeteksian Honeypot
Berdasarkan Gambar 1 bahwa untuk memulai menjalankan
honeypot dilakukan install paket honeypot yaitu honeyd. Selanjutnya, mengkonfigurasi honeyd seperti pada Gambar 2. Setelah konfigurasi
honeyd dilakukan maka membuat file kosong yang nantinya berfungsi sebagai tempat honeypot dalam mencatat seluruh serangan yang dilakukan oleh attacker. Kemudian, service honeypot dijalankan seperti pada Gambar 3, saat honeypot menerima koneksi dari attacker
maka semua log aktifitas attacker akan dicatat oleh honeypot secara
4
Gambar 2 Konfigurasi Honeyd
Gambar 2 merupakan file konfigurasi untuk membuat virtual honeypot. Create default berfungsi untuk mengatur honeyd agar
traffic yang digunakan hanya yang telah didefinisikan pada file
konfigurasi. Create windows berfungsi memberikan nama pada
konfigurasi, nama tersebut bisa diisi sesuai keinginan, nama tersebut
juga berfungsi sebagai variable yang dapat dipanggil. Set widows
personality Microsoft Windows XP Professional “P1 berfungsi
personality digunakan untuk mengadaptasi system operasi tertentu
untuk mengelabuhi scanner fingerprint semacam Nmap dan ketika
device lain terkoneksi dengan honeyd ini maka akan dikenali sebagai
windows XP Professional SP1. Set windows default tcp action reset
berfungsi menyatakan secara default semua port TCP akan ditutup tetapi tetap memberikan alert. Selain reset ada kemungkinan lain
untuk port TCP yaitu open dan block. Untuk open berarti semua port
pada TCP akan dibuka dan dapat memberikan reply dan alert,
sedangkan untuk block semua paket akan di drop dan tidak ada reply
ataupun alert. Terakhir yaitu Add berfungsi mendefinisikan perlakuan
5
Gambar 3 Proses Running Honeypot
Berdasarkan Gambar 3 merupakan tampilan saat honeypot dijalankan dengan perintah :
Kode Program 1 Start Honeyd
Penjelasan fungsi pada kode program 1 yaitu –d digunakan untuk menampilkan alert secara realtime, jika tidak menggunakan maka honeyd akan berjalan secara background. –f digunakan untuk mengambil file konfigurasi honeyd.conf, jika tidak menggunakan –f maka honeyd akan berjalan dengan konfigurasi default. –l digunakan untuk membuat file log. File log sendiri digunakan untuk mencatat interaksi apa saja yang masuk pada honeyd. Dengan adanya file log ini makan serangan-serangan yang dilakukan oleh attacker dapat didokumentasikan.
6
Gambar 4Flowchart Pencegahan Serangan DDoS
Gambar 4 menerangkan bahwa setelah menjalankan honeypot
serta menampilkan hasil log aktifitas attacker, kemudian mengolah hasil log aktifitas attacker dalam bentuk diagram dan grafik menggunakan software honeyd-viz. Pertama yang dilakukan untuk mengolah log honeypot yaitu mengambil software dan konfigurasi
honeyd-viz menggunakan perintah :
Kode Program 2 Konfigurasi Honeyd-viz
Melalui tampilan web interface administrator dapat menganalisa bentuk serangan attacker sehingga diperoleh kebijakan keamanan untuk web server dengan melakukan blocking
IP Address yang berbahaya (attacker) pada web server.
Kode Program 3Block IP Address Attacker
1. wget http://bruteforce.gr/wp-content/uploads/honeyd-viz-VERSION-tar 2. mv honeyd-viz-VERSION-tar /var/www
3. cd /var/www
4. tar xvf honeyd-viz-VERSION-tar –no-same-permissions 5. cd honeyd-viz
6. chmod 777 generated-graphs 7. cp config.php.dist config.php
8. nano config.php ( rubah script DB_HOST, DB_USER, DB_PASS, DB_NAME sesuai dengan konfigurasi database pada mysql)
7
Saat IP Address attacker sudah di block, tetapi attacker
masih berusaha mengirimkan paket dalam jumlah besar untuk merusak web server. Serangan yang diberikan oleh attacker
tersebut tidak akan berpengaruh pada web server, seperti Gambar 5 dengan melakukan ping IP Address web server melalui command prompt. Saat nilai time semakin kecil maka semakin cepat pula proses layanan yang diberikan oleh server.
Gambar 5 Status IP Address Attacker
Gambar 6 Tampilan Web
Saat client yang sah mengakses layanan web pada Gambar 6,
server dapat memberikan layanannya tersebut dikarenakan IP
8
4. Hasil dan Pembahasan
Pada tahap ini peneliti melakukan uji coba serangan yang dilakukan dengan dua skenario. Skenario pertama penyerangan dilakukan ke web server dengan menggunakan aplikasi Low Orbit Ion Cannon (LOIC). Pola serangan dapat dilihat pada Gambar 7.
Gambar 7 Skenario Serangan Pertama
Gambar 8 Web Server Down
9
Gambar 9 Skenario Serangan Kedua
Skenario serangan kedua dilakukan ke honeypot server menggunakan Low Orbit Ion Cannon (LOIC). Hal ini dilakukan untuk membuktikan bahwa honeypot
dapat memberikan output pada saat attacker menyerang sehingga dapat diperoleh data dari attacker tersebut. Honeypot akan mencatat aktifitas attacker, kemudian akan ditampilkan dalam bentuk diagram dan grafik agar administrator mudah dalam menganalisa serangan untuk membandingkan traffic normal dan traffic
serangan.
Pada traffic normal, diasumsikan bahwa client yang sah melakukan akses ke web emulasi honeyd. Traffic serangan, diasumsikan bahwa attacker menyerang honeypot yang mengemulasi web server.
Serangan Distributed Denial of Service (DDoS) yang dilakukan oleh
attacker dapat dikatakan berjalan dengan benar, mengacu pada parameter seperti,
Request yang dilakukan lebih dari 30 koneksi dalam satu IP Address, sehingga
server tidak mampu melayani client. Paket Data yang diterima server lebih dari 65536 byte. IP Address yang digunakan lebih dari satu IP Address. Selang Waktu IP Address satu dengan IP Address lainnya yang digunakan untuk menyerang kurang lebih 0,5 milliseconds.
Gambar 10 Log Honeypot Server
10
Hal ini ditunjukan pada waktu terjadinya penyerangan relatif sama pada 13:19:47.
Protocol yang digunakan yaitu TCP dan UDP. IP Address 192.168.100.152 dan 192.168.100.100 merupakan alamat IP yang digunakan attacker untuk melakukan penyerangan. IP Address yang diserang oleh attacker adalah IP Address Honeyd
192.168.100.172 dan 192.168.175 (IP DHCP). Besar paket yang diterima oleh honeyd 60 byte dan 52 byte (besar paket akan terus bertambah berkali lipat tergantung pada file log honeyd).
Gambar 11Connection by Protocol
Gambar 11 menjelaskan bahwa koneksi yang paling sering dilakukan dengan honeypot melalui protokol UDP sebanyak 28252 koneksi (68%), protokol TCP sebanyak 12914 koneksi (31%).
Gambar 12Connection by Destination IP
Gambar 12 menjelaskan bahwa paling banyak koneksi yang masuk ke alamat ip address honeypot 192.168.100.152 yaitu 12983 koneksi (31%). IP
11
pada saat honeypot berhenti dan memulainya lagi ip address akan berganti dengan ip address lainnya yang tidak terpakai.
Gambar 13Number of Connection per Uniqe IP
Gambar 13 menjelaskan jumlah koneksi ip address attacker yang telah terkoneksi dengan honeypot. IP address attacker 192.168.100.152 merupakan ip
address yang paling banyak melakukan koneksi dengan honeypot yaitu sebesar 52% dan IP Address 192.168.100.100 sebesar 25%.
Gambar 14Number of TCP Connection per Uniqe IP
Gambar 14 menjelaskan bahwa sepuluh ip address attacker yang paling banyak melakukan koneksi dengan honeypot melalui protokol TCP. IP Address attacker 192.168.23.5 merupakan IP Address DHCP yang didapatkan dari
provider internet saat mencoba serangan dan IP Address attacker
12
Gambar 15Number of UDP Connection per Uniqe IP
Gambar 15 menjelaskan sepuluh ip address attacker yang paling banyak melakukan koneksi dengan honeypot melalui protokol UDP. IP address attacker
192.168.100.152 melakukan koneksi ke protokol UDP sebanyak 18482 koneksi (65%).
Gambar 16Number of Connection by Destination Port
Persentase port number tujuan trafik honeyd seperti pada Gambar 16. Terlihat bahwa port 80/TCP paling banyak dituju yaitu sebesar 77%. Sedangkan port yang lainnya jauh lebih kecil.
Tabel 1 Hasil Deteksi Honeypot Server
13
2 192.168.100.100 943 25 1285 8144
3 192.168.100.102 412 1 - 346
Jumlah 21157 78 2605 26280
Rata-rata 7052,33 1302,5 8990,67
Tabel 1 merupakan olahan dari grafik dan diagram honeyd-viz yang peneliti ubah menjadi tabel. Data tersebut diambil pada tanggal 25 februari 2016. Pada waktu kurang lebih setengah jam diperoleh 21157 request dan paling besar melalui protokol UDP 26280 request. Attacker menyerang protokol UDP dengan memanfaatkan sifat UDP yang connectionless yaitu tidak memerlukan perjanjian untuk mengadakan komunikasi dua arah antara sender dan receiver. Vulnerability
ini dimanfaatkan attacker untuk membanjiri sebuah jaringan dengan mengirimkan data yang tidak berguna secara simultan, sehingga lebih cepat membuat lalu lintas jaringan padat dan server akan hang atau crash.
Tabel 2 Data Serangan DDoS Synflooding
14
byte yang melebihi panjang maksimum data menurut protokol TCP/IP yaitu 65536 byte.
Serangan DDoS dilakukan untuk melumpuhkan server dengan cepat karena menggunakan banyak komputer yang didedikasikan sebagai komputer penyerang. Pada tabel 2 attacker menggunakan tiga komputer secara bersama-sama untuk menyerang sebuah server dengan mengirimkan 44048 request dan 2528934 byte, sehingga lalu lintas didalam jaringan menjadi padat dan server
tidak dapat melayani permintaan dari client yang sah. Jika attacker menyerang
server dengan menggunakan DoS, server belum tentu akan lumpuh dengan waktu yang singkat karena hanya menggunakan satu komputer penyerang. Misalnya,
attacker menggunakan ip address 10.18.154.88 untuk menyerang server dengan mengirimkan 7368 request dan 502549 byte. Perbandingan yang diperoleh dari serangan DDoS dan DoS yaitu lima berbanding satu, yang artinya serangan DoS membutuhkan waktu lebih lama dan request yang lebih banyak dalam melakukan penyerangan sampai server mengalami overload.
5. Simpulan dan Saran
Berdasarkan hasil penelitian, pengujian, dan analisis terhadap sistem honeypot, maka dapat diambil kesimpulan bahwa Honeypot dapat mengemulasi
web server dan mampu mendeteksi serangan DDoS dengan memberikan log aktifitas attacker secara real time. Grafik dan diagram honeyd-viz membantu administrator dalam memprediksi dan menganalisa serangan, dalam penelitian ini yaitu serangan DDoS.
Saran yang dapat diberikan untuk penelitian dan pengembangan Honeypot dengan Honeyd yaitu penambahan aturan-aturan pada honeyd agar menjadi honeynet, tidak hanya pada jaringan lokal saja dan agar honeypot tidak hanya mendeteksi saja tetapi juga dapat melakukan block pada aktifitas yang abnormal.
6. Daftar Pustaka
[1]. Vinu V Das, 2009, Honeypot Scheme for Distributed Denial-of-Service, India: IEEE Computer Society.
[2]. Chris Moore, Ameer Al-Nemrat, 2015, Analysis of Honeypot Programs and the Attack Data Collected, England: Springer International Publishing Switzerland. [3]. Frederic R, Yann B, Philippe B, Danielle K, 2004, Honeypot Forensics Part I:
Analysing the Network, IEEE Security and Privacy, 2(4): 72-78.
[4]. Utdirartatmo F, 2005, Menjebak Hacker dengan Honeypot. Yogyakarta: ANDI. [5]. Tek Defense, 2013, Drive Traffic To Your Honeypot,
Https://www.tekdefense.com/news/2013/2/10/tektip-ep21-drive-traffic-to-your-honeypot.html, diakses pada tanggal 14 februari 2016.
15
Https://eprints.upnjatim.ac.id/5958/1/file1.pdf, diakses pada tanggal 14 februari 2016.
[7]. Ardianto, S. N, Suwanto R & Joko T, 2013, Analisis dan Implementasi Honeypot menggunakan Honeyd sebagai Alat Bantu Pengumpulan Informasi Aktivitas Serangan Pada Jaringan, http://journal.akprind.ac.id/index.php/jarkom/article/download/116/93, diakses pada tanggal 10 januari 2016.
[8]. K. Munivara Prasad, A. Rama Mohan, & M. Ganesh Karthik, 2011,
Flooding Attacks to Internet Threat Monitors (ITM): Modeling and Counter Measur Using Botnet and Honeypot, International Journal of Computer Science and Information Technology (IJCSIT), 3(6): 159-170. [9]. Sandeep Chaware, 2011, Banking Security using Honeypot, International
Journal Security and Its Application, 5(1): 31-38.
[10]. Yogendra Kumar Jain, 2011, Honeypot Based Secure Network System,
International Journal of Computer Science and Engineering (IJCSE), 3(2): 612-619.
[11]. Shaik Bhanu, Girish Khilari, & Varun Kumar, 2014, Analysis of SSH Attacks Darknet using Honeypot, International Journal of Engineering Development and Research (IJEDR), 3(1): 348-350.
[12]. Suruchi Narote, Sandeep Khanna, 2014, Advance Honeypot System for Analysing Network Security, Departement of Computer Engineering, 2(4): 65-70.
[13]. Li Hong-Xia, Wang Pu, Zhang Jian, Yang Xiao-Qiong, 2010, Exploration on the Connotation of Management Honeypot, China: IEEE Computer Society.
[14]. Ir. Sumarno, M.M, Sabto Bisosro, 2010, Solusi Network Security dari Ancaman SQLInjection and Denial of Service, 5(1): 19-29.
[15]. Kaur T, Malhota V, Singh D, 2014, Comparison of Network Security Tools-Firewall, Intrusion Detection System and Honeypot, In International Journal of Enhanced Research in Science Technology and Engineering. [16]. Harjono, 2013, Honeyd for Detecting Network Attacks in Muhammadiyah
