(DISTRIBUTED DENIAL OF SERVICE)
TCP FLOOD DAN UDP FLOOD PADA HONEYD
SKRIPSI
Oleh :
GENTA PAMBUDI PUTRA WIDYASTORO
1034010011
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS TEKNOLOGI INDUSTRI
UNIVERSITAS PEMBANGUNAN NASIONAL
TCP FLOOD DAN UDP FLOOD PADA HONEYD
SKRIPSI
Diajukan Untuk Memenuhi Sebagai Persyaratan Dalam Memperoleh Gelar Sarjana Komputer
Program Studi Teknik Informatika
Oleh :
GENTA PAMBUDI PUTRA WIDYASTORO
NPM : 1034010011
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS TEKNOLOGI INDUSTRI
UNIVERSITAS PEMBANGUNAN NASIONAL
ANALISA SERANGAN DDOS
(DISTRIBUTED DENIAL OF SERVICE)
TCP FLOOD DAN UDP FLOOD PADA HONEYD
Disusun Oleh :
GENTA PAMBUDI PUTRA WIDYASTORO
NPM : 1034010011
Telah dipertahankan dihadapan dan diterima oleh Tim Penguji Skripsi Program Studi Teknik Informatika Fakultas Teknologi Industri
Universitas Pembangunan Nasional ”Veteran” Jawa Timur Pada Tanggal 20 Desember 2013
Universitas Pembangunan Nasional ”Veteran” Jawa Timur
ANALISA SERANGAN DDOS
(DISTRIBUTED DENIAL OF SERVICE)
TCP FLOOD DAN UDP FLOOD PADA HONEYD
Disusun oleh :
GENTA PAMBUDI PUTRA WIDYASTORO
NPM : 1034010011
Telah disetujui mengikuti Ujian Negara Lisan Periode V Tahun Akademik 2013
Menyetujui,
Pembimbing Utama
I Made Suar tana, S.Kom, M.Kom. NPT.
Pembimbing Pendamping
Achmad J unaidi, S.Kom. NPT. 3 7811 040 1991
Mengetahui,
Ketua Program Studi Teknik Informatika Fakultas Teknologi Industri
Universitas Pembangunan Nasional ”Veteran” Jawa Timur
KETERANGAN REVISI
Kami yang bertanda tangan di bawah ini menyatakan bahwa mahasiswa berikut :
Nama : GENTA PAMBUDI PUTRA WIDYASTORO
NPM : 1034010011
Jurusan : Teknik Informatika
Telah mengerjakan REVISI SKRIPSI Ujian Lisan Gelombang V , TA 2012/2013 dengan judul:
ANALISA SERANGAN DDOS
(DISTRIBUTED DENIAL OF SERVICE)
TCP FLOOD DAN UDP FLOOD PADA HONEYD
Surabaya, 20 Desember 2013 Dosen Penguji yang memeriksa revisi
1) Achmad Junaidi, S.Kom.
NPT. 3 7811 040 199 1
{ }
2) Chrystia Aji Putra, S.Kom.
NPT. 3 8610 100 296 1
{ }
3) Intan Yuniar Purbasari, S.Kom, M.Sc.
NPT. 3 8006 040 198 1
{ }
Mengetahui,
Pembimbing Utama
I Made Suar tana, S.Kom, M.Kom. NPT :
Pembimbing Pendamping
Achmad J unaidi, S.Kom
KATA PEGANTAR
Puji syukur penulis panjatkan kehadirat Allah SWT yang telah memberikan segala nikmat dan karunia-Nya sehingga penulis dapat menyelesaikan skripsi tepat pada waktunya. Serta atas limpahan rahmat yang tak terhingga penulisan laporan skripsi yang berjudul “Analisa Serangan DDoS (Distributed Denial of Service) TCP flood dan UDP flood Pada Honeyd” dapat terselesaikan.
Skripsi ini dibuat sebagai salah satu syarat memperoleh gelar sarjana komputer di jurusan teknik informatika UPN “Veteran” Jatim. Selesainya skripsi ini juga berkat dukungan semua pihak. Oleh karena itu, penulis inign mengucapkan terimakasih kepada :
1. Bapak dan Ibuku yang paling tersayang, terima kasih atas semua doa, dukungan, serta banyak hal lain yang tidak bisa di ucap satu per satu, tanpa dukungan dari kalian penulis tidak yakin bisa menyelesaikan skripsi ini tepat waktu. Terima kasih sebanyak-banyaknya atas semuanya. Dan penulis memohon doa agar setelah lulus dari perguruan tinggi dan menyandang gelar sarjana komputer, penulis mampu menjadi lebih bermanfaat bagi orang lain dan dapat membahagiakan keluarga terutama orangtua.
3. Bapak Prof. Dr. Ir. Teguh Soedarto, MP., selaku Rektor Universitas Pembangunan Nasional “Veteran” Jawa Timur.
4. Bapak Ir. Muttasim Billah, MS., selaku Wakil Dekan Fakultas Teknologi Industri UPN “Veteran ” Jawa Timur.
5. Ibu Dr. Ir. Ni Ketut Sari, MT., selaku Ketua Jurusan Teknik Informatika UPN “Veteran” Jawa Timur.
6. Bapak I Made Suartana, S.Kom, M.Kom., Selaku dosen pembimbing satu. Terima kasih karena telah banyak memberikan arahan, bimbingan, serta meluangkan waktu dalam membimbing penulis untuk mengerjakan skripsi ini.
7. Bapak Achmad Junaedy, S.Kom., Selaku dosen pembimbing dua, Terima kasih karena telah banyak memberikan arahan, bimbingan, serta meluangkan waktu dalam membimbing penulis untuk mengerjakan skripsi ini.
8. Sayangku Bella Chintya Dewi, terima kasih banyak telah memberiku banyak motivasi dan dukungan dari awal pengajuan skripsi hingga skripsi ini selesai, serta menjadi penghibur hati saat sedang kacau mengerjakan skripsi ini.
Penulis menyadari skripsi ini masih jauh dari kata sempurna, sehingga saran dan kritik yang membangun sangat berguna bagi penulis. Semoga laporan skripsi ini bermanfaat bagi pembaca dan semua orang yang membutuhkan referensi.
Akhirnya, penulis berharap agar penyusuan laporan ini mampu memberikan sumbangsih bagi perkembangan dan kemajuan teknik informatika Universitas Pembangunan Nasional “Veteran” Jawa Timur.
Surabaya, Desember 2013
3.1 Rancangan Penelitian ... 30
3.3 Rancangan Analisa Pembuktian Serangan ... 39
3.3.1 Rancangan Analisa Serangan DDoS TCP Flood ... 41
4.1.7 Konfigurasi dan Menjalankan ARPD ... 56
4.1.8 Konfigurasi Honeyd ... 56
4.2 Analisa Pembuktian Serangan ... 72
4.2.1 Analisa Serangan DDoS TCP Flood ... 73
4.2.2 Analisa Serangan DDoS UDP Flood... 82
BAB V KESIMPULAN DAN SARAN ... 92
5.1 Kesimpulan ... 92
5.2 Saran ... 93 DAFTAR PUSTAKA
Gambar 2.1 Jaringan Dengan Sejumlah Unused IP ... 24
Gambar 2.2 Honeyd bisa memonitor unused IP ... 24
Gambar 2.3 Contoh Virtual Honeypot dengan bermacam sistem operasi ... 25
Gambar 2.4 Skema Serangan Distributed Denial of Service ... 27
Gambar 2.5 Proses Three-wary Handshake ... 28
Gambar 2.6 Proses TCP-SYN Flood ... 28
Gambar 3.1 Diagram Alur Rancangan Penelitian ... 30
Gambar 3.2 Diagram Alur Rancangan Topologi ... 33
Gambar 3.3 Rancangan Topologi Jaringan ... 34
Gambar 3.4 Diagram Alur Implementasi Honeypot ... 35
Gambar 3.5 Skenario Penyerangan 1 (Satu) ... 37
Gambar 3.6 Skenario Penyerangan 2 (dua) ... 38
Gambar 3.7 Traffic Normal Dan Serangan ... 40
Gambar 4.1 Hasil Implementasi Installasi Sistem Operasi ... 44
Gambar 4.2 Hasil Implementasi Setting IP Pada Setiap Komputer ... 45
Gambar 4.3 Test Ping Dari Delavorta Server ke Semua Komputer ... 46
Gambar 4.12 Proses Membuat File Install pada Direktori Libdnet-1.11 ... 51
Gambar 4.13 Memulai Proses Installasi Libdnet-1.11... 51
Gambar 4.14 Proses Extract File Libevent-1.3a.tar.gz ... 52
Gambar 4.15 Proses Cek File Pada Direktori Libevent-1.3a ... 52
Gambar 4.16 Proses Membuat File Install Pada Direktori Libevent-1.3a ... 53
Gambar 4.17 Memulai Proses Installasi Libevent-1.3a ... 53
Gambar 4.18 Proses Extract File Arpd-0.2 ... 54
Gambar 4.19 Proses Cek File Pada Direktori Arpd... 54
Gambar 4.20 Proses Membuat File Install Di Direktori Arpd ... 55
Gambar 4.21 Memulai Proses Installasi Arpd ... 55
Gambar 4.22 Konfigurasi Dan Menjalankan Arpd ... 56
Gambar 4.23 Letak Lokasi Direktori Honeyd ... 57
Gambar 4.24 Konfigurasi Honeyd.conf ... 57
Gambar 4.25 Masuk Pada Direktori Honeyd ... 59
Gambar 4.26 Tampilan Saat Honeyd Dijalankan ... 60
Gambar 4.27 Tampilan File Log Honeyd ... 61
Gambar 4.28 Zombie Computer Yang Sudah Masuk Pada mIRC ... 62
Gambar 4.29 Tampilan Dari Web Server Korban ... 62
Gambar 4.30 Attacker Melancarkan Serangan DDoS TCP Flood ... 63
Gambar 4.31 Keadaan Saat Membuka Web Korban Setelah Diserang ... 64
Gambar 4.32 Attacker Melancarkan Serangan DDoS UDP Flood... 65
Gambar 4.36 Log Honeyd Terhadap Serangan DDoS TCP Flood ... 69
Gambar 4.37 Serangan DDoS UDP Flood Yang Diarahkan Ke Honeyd ... 70
Gambar 4.38 Honeyd Dapat Mendeteksi Serangan DDoS UDP Flood ... 71
Gambar 4.39 Log Honeyd Terhadap Serangan DDoS UDP Flood ... 72
Gambar 4.40 Website Yang Diemulasi Oleh Honeyd ... 74
Gambar 4.41 Log Honeyd Terhadap Host Yang Mengakses Website Honeyd ... 74
Gambar 4.42 Log Honeyd Terhadap Web Akses Dalam Bentuk Diagram .... 75
Gambar 4.43 Melancarkan Serangan DDoS TCP Flood Untuk Analisa ... 75
Gambar 4.44 Log Honeyd Terhadap Serangn DDoS TCP Flood ... 76
Gambar 4.45 Diagram Log Honeyd Setelah Mendapat Serangan TCP Flood ... 76
Gambar 4.46 Jumlah Paket TCP Dari Setiap Alamat IP Untuk 10 Kali Percobaan ... 77
Gambar 4.56 Log Percobaan ke-9 Dari Analisa DDoS TCP Flood ... 82
Gambar 4.57 Log Percobaan ke-10 Dari Analisa DDoS TCP Flood ... 82
Gambar 4.58 Command Rpcinfo Dari Host Lain Ke Honeyd ... 84
Gambar 4.59 Log Honeyd Terhadap Rpcinfo Dari Host Lain Ke Honeyd ... 84
Gambar 4.60 Tampilan Log Honeyd Terhadap Rpcinfo Dalam Bentuk Diagram ... 84
Gambar 4.61 Melancarkan Serangan DDoS UDP Flood Untuk Analisa ... 85
Gambar 4.62 Log Honeyd Terhadap Serangan DDoS UDP Flood ... 85
Gambar 4.63 Diagram Log Honeyd Setelah Mendapat Serangan UDP Flood ... 86
Gambar 4.64 Jumlah Paket UDP Dari Setiap Alamat IP Untuk 10 Kali Perobaan ... 86
Tabel 2.1 Dua Bentuk Honeypot ... 21 Tabel 4.1 Tabel Jumlah Paket TCP Dari Setiap Alamat IP Untuk 10 Kali
Percobaan ... 78 Tabel 4.2 Tabel Besar Paket TCP Dari Setiap Alamat IP Untuk 10 Kali
Percobaan ... 78 Tabel 4.3 Tabel Jumlah Paket UDP Dari Setiap Alamat IP Untuk 10 Kali
Percobaan ... 87 Tabel 4.4 Tabel Besar Paket UDP Dari Setiap Alamat IP Untuk 10 Kali
Pembimbing I : I M ade Suart ana, S.Kom , M .Kom.
Pembimging II : Achmad Junaidi, S.Kom.
Penyusun : Gent a Pambudi Put ra Widyast oro
ABSTRAK
Kebutuhan akan teknologi informasi di era modern ini sangat besar serta dapat diaplikasikan dalam berbagai bidang. Banyak perusahaan, sekolah, dan universitas yang sudah memiliki sistem informasi berbasis online yang menggunakan layanan web dan internet dengan tujuan untuk mengembangkan lembaganya sendiri-sendiri. Namun ada juga hacker yang bertujuan untuk merusak sistem web tersebut hingga mengalami down atau tidak dapat diakses. Teknik andalan hacker untuk menyerang web korbanhingga menjadi down adalah dengan menggunakan teknik DDoS (Distributed Denial of Service) TCP flood dan UDP flood. Untuk itu perlu suatu sistem yang dapat mendeteksi serangan tersebut secara tepat, cepat dan dapat mendokumentasikan serangan-serangan tersebut sehingga dapat dipelajari karakteristik serangan-serangannya.
Pada tugas akhir ini penulis menggunakan sistem honeypot untuk mendeteksi serangan DDoS TCP flood dan UDP flood. Honeypot yang digunakan adalah Honeyd. Karena informasi yang dicatat pada log Honeyd cukup lengkap maka analisa dapat dilakukan mengguanakan log tersebut. Untuk implementasi deteksi dilakukan menurut skenario yang sudah dirancang. Dan hasil dari implementasi deteksi adalah Honeyd mampu mendeteksi serangan DDoS TCP
flood dan UDP flood dan dapat mendokumentasikan serangan dengan membuat
file log. Dan Analisa yang dilakukan adalah membandingkan traffic normal pada protokol TCP dan UDP dengan traffic serangan DDoS TCP flood dan UDP flood
sesuai skenario yang sudah dirancang serta menyamakan dengan karakteristik DDoS itu sendiri. Hasil dari analisa menunjukan bahwa terdapat perbedaan yang sangat significant dari traffic biasa dan traffic serangan. Dan setelah disamakan dengan karakteristik DDoS mulai jelas menunjukan alamat IP yang benar-benar melakukan serangan.
Kesimpulan yang diperoleh dalam tugas akhir ini adalah, bahwa Honeyd merupakan aplikasi yang efektif untuk melakukan deteksi secara realtime dan juga untuk proses analisa serangan. Selain itu Honeyd juga dapat digunakan sebagai media belajar untuk memahami karakteristik serangan.
PENDAHULUAN
1.1. LATAR BELAKANG
Kebutuhan akan teknologi informasi di era modern ini sangat besar serta dapat diaplikasikan dalam berbagai bidang, sebab itu juga banyak pihak-pihak yang saat ini jadi bergantung pada sistem komputer sehingga sistem komputer dituntut untuk berjalan sepanjang waktu pada jaringan internet, tidak dipungkiri juga bahwa banyak virus ataupun serangan yang terjadi dari internet itu sendiri sehingga perusahaan yang menjadi korban serangan mengalami kerugian yang besar untuk membenahi jaringan yang down akibat serangan orang-orang yang tidak berjanggung jawab atau biasa disebut cracker.
DoS merupakan kependekan dari Denial of Service yang diartikan dalam bahasa Indonesia menjadi penolakan layanan, dan kepanjangan dari DDoS adalah
Distibuted Denial of Service yang artinya penolakan layanan secara terdistibusi. Serangan DDoS merupakan tahap tingkat lanjut dari DoS, jika DoS hanya menyerang dengan man to man lain halnya dengan DDoS yang melakukan serangan secara bersama-sama. Cara melaksanakan serangan ini juga tidak terlalu sulit karena sudah banyak tools yang beredar di internet dan juga dengan script php dan perl.
Karena begitu merugikannya serangan DDoS terhadap suatu server maka diperlukan sebuah solusi untuk menyelesaikan permasalahan tersebut. honeypot
semua trafik dari atau menuju honeypot patut di curigai sebagai aktivitas penyusupan. honeypot dapat digunakan untuk membantu administrator jaringan untuk mendeteksi trafik berbahaya ini.
Dalam tugas akhir ini, akan menganalisa tentang pendeteksian serangan dengan Honeyd sebagai aplikasi honeypot yang digunakan dalam melakukan pendeteksian serangan, dengan dilakukannya beberapa skenario yang nantinya dapat menjadi bahan analisa untuk menguji apakah serangan dapat dideteksi oleh Honeyd. untuk Serangan yang akan dilancarkan dalam tugas akhir ini adalah tipe DDoS yaitu TCP flood dan UDP flood.
1.2. RUMUSAN MASALAH
Adapun rumusan masalah yang akan di bahas dalam tugas akhir ini :
a. Bagaimana cara mengimplementasikan virtual honeypot dengan Honeyd sebagai aplikasi yang digunakan sebagai pendeteksi serangan ?
b. Bagaimana cara agar sistem keamanan virtual Honeyd agar dapat mendeteksi serangan DDOS TCP flood dan UDP flood ?
c. Bagaimana cara membuat sistem yang dapat mendokumentasikan serangan-serangan dari cracker ?
1.3. BATASAN MASALAH
Batasan masalah pengimplementasian dan analisa pada tugas akhir ini sebagai berikut :
a. Menggunakan 4 zombie komputer untuk melakukan serangan ke target yang dilakukan secara offline atau LAN (Local Area Network).
b. Serangan yang digunakan adalah DDOS TCP flood dan UDP flood. c. Diasumsikan paket serangan telah dialihkan ke Honeyd.
d. Menggunakan Honeypot low interaction.
e. Sistem diuji secara virtual.
1.4. TUJ UAN TUGAS AKHIR Adapun tujuan dari tugas akhir ini adalah :
a. Dapat mengimplementasikan virtual honeypot dengan Honeyd pada sistem yang diinginkan.
b. Membuat sistem keamanan virtual Honeyd agar dapat mendeteksi serangan
DDOS TCP flood dan UDP flood.
c. Dapat mendokumentasikan serangan-serangan yang di lakukan oleh cracker.
d. Melakukan analisa terhadap serangan DDoS TCP flood dan UDP flood
menggunakan Honeyd.
1.5. MANFAAT TUGAS AKHIR
Manfaat yang di peroleh dari pengimplementasian dan analisa honeypot antara lain :
b. Bagi mahasiswa, bermanfaat untuk mengenal lebih jauh tentang ilmu keamanan jaringan terutama honeypot.
c. Bagi pembaca, bermanfaat menambah informasi tentang honeypot, juga sebagai bahan referensi dan pengembangan lebih lanjut.
1.6. SISTEMATIKA PENULISAN
Sistematika penulisan tugas akhir ini akan membantu memberikan informasi tentang tugas akhir yang dijalankan dan agar penulisan laporan ini tidak menyimpang dari batasan masalah yanga ada, sehingga susunan laporan ini sesuai dengan apa yang diharapkan. Sistematika penulisan laporan tugas akhir ini adalah sebagai berikut:
BAB I PENDAHULUAN
Bab ini berisi mengenai gambaran umum penelitain tentang latar belakang masalah, perumusan masalah, batasan masalah, tujuan tugas akhir, manfaat tugas akhir, dan sistematika penulisan.
BAB II TINJ AUAN PUSTAKA
BAB III METODE PENELITIAN
Metode tugas akhir ini berisi tentang rancangan jaringan, rancangan serangan-serangan, rancangan pendeteksian terhadap serangan-serangan yang dilakukan, dan konfigurasi-konfigurasi yang digunakan dalam mendeteksi, serta metode-metode lain yang digunakan untuk menyelesaikan tugas akhir ini.
BAB IV HASIL DAN PEMBAHASAN
Dalam implementasi sistem ini berisi tentang hasil dan pembahasan tentang beberapa konfigurasi yang dilakukan pada bab sebelumnya untuk mendeteksi serangan-serangan, serta di lakukannya analisa dengan menggunakan beberapa skenario yang di lakukan pada metode pendeteksian terhadap serangan-serangan yang di lancarkan.
BAB V KESIMPULAN DAN SARAN
TINJ AUAN PUSTAKA
2.1 PENELITIAN TERDAHULU
Sebagai bahan acuan dalam tugas akhir ini akan dipaparkan hasil penelitian terdahulu yang pernah dibaca oleh penulis, diantaranya :
Penelitian yang dilakukan oleh Octovensa Purba dari Fakultas Teknologi Informasi Universitas Advent Indonesia, dengan judul Analisa Alat Pertahanan Dengan Menggunakan Honeyd Terhadap Serangan Buffer Overflow Pada Linux 12.04, dengan tujuan untuk membuat sistem yang dapat menjebak hacker,
menggunakan honeypot untuk dapat mendokumentasikan informasi yang detail tentang alur, teknik, hingga perlakuan hacker yang mencoba membobol sistem, dan mengimplementasikan langsung honeypot pada sistem yang diinginkan.
Pada penelitian tersebut dijelaskan bahwa Honeyd adalah salah satu dari banyak aplikasi honeypot, yang dalam menemulasikan virtual host dan servis mirip dengan sistem operasi asli. Honeyddapat mendeteksi semua serangan yang ditujukan kepada virtual host yang diemulasikan oleh Honeyd. Pada penelitian tersebut terdapat pengujian sistem yang dimaksudkan untuk menguji apakah sistem dapat berjalan dengan baik.
Pengujian yang dilakukan meliputi dari Honeyd dapat mengemulasi
virtual host, servis, respon terhadap serangan footprinting, enumeration, dan
dan memaksa masuk kedalam sebuah sistem operasi. Dalam penelitian tersebut penulis mencoba melihat apakah Honeyd akan dapat mendeteksi dan merespon dari pada serangan buffer overflow.Akan tetapi dalam penelitan tersebut serangan
buffer overflow tidak dapat di deteksi oleh Honeyd karena Honeyd belum bisa mengemulasi servis yang mirip dengan sistem operasi yang sebenarnya. Oleh karena itu di butuhkannya aplikasi tambahan yaitu wireshark sehingga dapat menangkap semua paket yang lewat pada jaringan yang diarahkan pada virutal
Jaringan komputer adalah sekelompok komputer otonom yang saling berhubungan antara satu dengan lainnya menggunakan protokol komunikasi melalui media komunikasi sehingga dapat saling berbagi informasi, program-program, penggunaan bersama perangkat keras seperti printer, harddisk, dan sebagainya. Selain itu jaringan komputer bisa diartikan sebagai kumpulan sejumlah terminal komunikasi yang berada di berbagai lokasi yang terdiri dari lebih satu komputer yang saling berhubungan. Dalam sebuah jaringan komputer biasanya terhubung banyak komputer ke sebuah atau beberapa server. Server
Jarak merupakan hal yang penting dalam membangun sebuah jaringan komputer, karena untuk setiap jarak yang berbeda diperlukan teknik yang berbeda-beda pula. Berdasarkan jarak dan area kerjanya jaringan komputer di bedakan menjadi tiga kelompok yaitu: LAN (Local Area Network), MAN (Metropolitan Area Network), dan WAN (Wide Area Network). LAN digunakan untuk menghubungkan simpul yang berada di daerah yang tidak terlalu jauh seperti dalam suatu bangunnan atau suatu gedung dengan radius maksimal 10 kilometer. Selain itu, pada jaringan ini, kecepatan pengiriman data relatif tinggi yaitu 10 sampai 100 Mbps dengan delay yang rendah dan mempunyai faktor kesalahan yang kecil (Wahana Komputer, 2003 : 5-6). MAN dapat mencakup perusahaan yanng memiliki kantor-kantor yang letaknya sangat berdekatan dan MAN mampu menunjang data dan suara, bahkan bisa di sambungkan dengan jaringan televisi kabel. Jaringan ini memiliki jarak dengan radius 10-50 km. Di dalam jaringan MAN hanya memiliki satu atau dua buah kabel yang fungsinya untuk mengatur paket melalui kabel output (Wahana Komputer, 2003 : 10). WAN adalah sebuah jaringan yang memiliki jarak yang sangat luas, karena radiusnya mencakup sebuah negara dan benua.
dapat berkomunikasi dengan bahasa yang sama. Dalam sebuah jaringan komputer, ada berbagai jenis protokol yang akan digunakan. Dari sekian banyak jenis protokol yang umunya digunakan dalam sebuah jaringan adalah NetBEUI Frame Protocol, NetBIOS, NWLink, IPX/SPX, TCP/IP, dan Subnet Mask (Wahana Komputer, 2003 : 12).
Salah satu standart dalam protokol jaringan yang di kembangkan oleh ISO adalah model OSI (Open System Interconnection). Model ini memberikan gambara fungsi, tujuan dan kerangka kerja suatu struktur model referensi untuk proses yang bersifat logis dalam sistem komunikasi (Wahana Komputer, 2003 : 19). Lapisan-lapisan dalam model refernsi OSI yaitu seperti:
1. Physical Layer
Lapisan fisik (Physical Layer) adalah lapisan terbawah dari model referensi OSI, dimana lapisan ini berfungsi untuk menentukan karakteristik dari kabel yang digunakan untuk menghubungkan komputer dalam jaringan. Pada sisi transmiter, lapisan fisik menerapkan fungsi elektris, mekanis dan prosedur untuk membangun, memelihara dan melepaskan sirkuit komunikasi guna mentransmisikan informasi dalam bentuk digit biner ke sisi receiver. Sedang lapisan fisik pada sisi receiver
akan menerima data mentransmisikan ke lapisan atasnya (Wahana Komputer, 2003 : 28).
Media transmisi merupakan suatu jalur fisik antara transmiter dan
Dengan media yang terpadu, gelombang dipandu melalui sebuah media padat seperti kabel tembaga terpilin (Twisted Pair), kabel coaxial tembaga dan serat optik. Atmosfir dan udara adalah contoh dari unguided media, bentuk transmisi dalam media ini disebut sebagai wireless transmision
(Wahana Komputer, 2003 : 34-35). Beberapa faktor yang berhubungan dengan media transmisi dan sinyal sebagai penentu data rate dan jarak adalah sebagai berikut:
a. Bandwidth (Lebar Pita)
Semakin besar bandwidth sinyal maka semakin besar pula data yang dapat di tangani (Wahana Komputer, 2003 : 35).
b. Transmission Impairement (Kerusakan Transmisi)
Untuk media terpadu, kabel twisted pair secara umum mengalami kerusakan transmisi lebih dari pada kabel coaxial, dan coaxial
mengalaminya lebih di daripada serat optik (Wahana Komputer, 2003 : 35).
c. Interference (inter fer ensi)
Interferensi dari sinyal dalam pita frekuensi yang saling
overlapping dapat menyebabkan distorsi atau dapat merusak sebuha sinyal (Wahana Komputer, 2003 : 35).
d. J umlah Penerima (Receiver)
2. Data Link Layer
Lapisan data link (data link layer) merupakan lapisan kedua dari standard OSI. Tugas utama data link layer adalah sebagai fasilitas transmisi raw data dan mentransformasikan data tersebut ke saluran yang bebas dari kesalah transmisi. Sebelum di teruskan ke network layer, data link layer melaksanakan tugas ini dengan memungkinkan pengirim memecah-mecah data input menjadi sejumlah data frame (biasanya berjumlah ratusan atau ribuan byte). Kemudia data link layer
mentransmisikan frame tersebut secara berurutan dan memproses
acknowledgement frame yang dikirim kembali oleh penerima. Karena
physical layer menerima dan mengirim aliran bit tanpa mengindahkan arti atau asritektur frame, maka tergantung pada data link layer-lah untuk membuat dan mengenali batas-batas frame itu. Hal ini bisa dilakukan dengan cara membubuhkan bit khusus ke awal dan akhir frame (Wahana Komputer, 2003 : 80).
3. Network Layer
Lapisan jaringan (Netrwork layer) merupakan laspisan ketiga dari standard OSI yang berfungsi menangani masalah jaringan komunikasi secara rinci. Pada lapisan ini, data yang berupa pesan-pesan (message) akan di bagi-bagi dalam bentuk paket-paket data yang dilengkapi dengan
header-header tertentu pada setiap paket data tersebut. Network layer ini berfungsi mengambil paket dari sumber dan mengirimkannya ke tujuan. Supaya sampai di tujuan perlu banyak dibuat hop pada router-router
data link layer, yang memiliki tujuan lebih sederhana cukup memindahkan
frame dari ujung kabel yang satu ke ujung yang lainnya. Jadi network layer ini merupakan layer terbawah yang berkaitan dengan transmisi end to end (Wahana Komputer, 2003 : 108).
4. Transport Layer
Transport layer atau lapisan transport merupakan lapisan keempat dari model referensi OSI dan jantung dari hirarki protokol secara keseluruhan. Tugas layer ini menyediakan data transport yang bisa di andalkan dan efektif biayanya dari komputer sumber ke komputer tujuan, yang tidak bergantung pada jaringan fisik atau jaringan-jaringan yang digunakan. Tanpa transport layer, seluruh konsep protokol yang menggunakan layer tidak akan ada gunanya. Layer atau lapisan ini mengatur koneksi dari sautu ujung ke ujung yang lain (komputer pengirim ke komputer penerima) dan juga yang membangun koneksi logik antara
host pengirim dengan penerima dalam jaringan. Layer ini jugalah yang mengatur dan mengimplementasikan layanan transport yang handal atar jaringan yang transparan untuk layer-layer diatasnya (upper layer). Fungsi dari layer ini meliputi flow control, error checking dan recovery (Wahana Komputer, 2003 : 138).
5. Session Layer
menggunakannya. Beberapa protokol pada layer ini adalah NETBIOS, NETBEUI (NETBIOS Extended User Interface) dan PAP (PrinterAccess Protocol). NETBIOS merupakan suatu session interface dan protokol, dikembangkan oleh IBM, yang menyediakan layanan ke presentation layer dan application layer. NETBUI merupakan suatu pengembangan dari NETBIOS yang digunakan pada produk Microsoft networking, seperti Windows NT dan LAN Manager ADSP (Apple Talk Data Stream Protocol). Sedangkan PAP terdapat pada printer poscript untuk akses pada jaringan Apple Talk (Wahana Komputer, 2003 : 162). Pada lapisan session
ini terdapat dua jenis layanan, yaitu:
a. Pembentukan dan pemutusan hubungan antara dua entitas presentasi (Wahana Komputer, 2003 : 35).
b. Mengatur pertukaran data, menentukan batas dan melakukan sinkronisasi operasi data antar dua entitas presentasi pada lapisan di atasnya (Wahana Komputer, 2003 : 35).
6. Presentation Layer
informasi yang dikirimkan. Suatu contoh layanan presentasi adalah
encoding data. Kebanyakan pengguna tidak memindahkan string bit biner yang random. Para pengguna saling bertukar data seperti nama orang, tanggal, jumlah uang dan tagihan. Item-item tersebut dinyatakan dalam bentuk string karakter, bilangan interger, bialangan floating point, struktur data yang di bentuk dari beberapa item yang lebih sederhana. Terdapat perbedaan antara satu komputer dengan komputer yang lainnya dalam memberi kode untuk menyatakan string karakter (misalnya ASCII dan Unicode), integer (misalnya komplemen satu dan komplemen dua), dan sebagainya. Untuk memungkinkan dua buah komputer yang salaing memiliki presentasi yang berbeda dinyatakan dengan cara abstrak, sesuai dengan encoding standard yang akan digunakan pada saluran.
Presentation layer mengatur data-struktur abstrak ini dan mengkonversi dari representation yang digunakan pada sebuah komputer menjadi
representation standard jaringan, dan sebaliknya (Wahana Komputer, 2003 : 170).
7. Application Layer
dasarnya keberadaan aplikasi-aplikasi lain adalah untuk mendukung lapisan aplikasi. Application layer terdiri dari bermacam-macam protokol. Misalnya terdapat ratusan jenis terminal yang tidak kompatibel di seluruh dunia. Ambil keadaan dimana editor layar penuh yang di harapkan bekerja pada jaringan layar yang berlainan, mempunyai cara urutan penekanantombol yang berbeda untuk penyisipannya dan penhapusan teks, memindahkan sensor dan sebagainya. Suatu cara untuk mengatasi masalah seperti di atas adalah dengan menentukan terminal virtual jaringan abstrak, sehingga editor dan program-program lainnya dapat ditulis agar saling bersesuaian. Dalam application layer ini kita akan membahas DNS, yang akan menangani masalah penamaan di internet dan beberapa contoh aplikasi yang sering digunakan seperti: Email (Electronic Mail), USENET (kumpulan berita di jaringan), WWW (World Wide Web) dan yang terakhir adalah multimedia (Wahana Komputer, 2003 : 214).
2.2.2 NETWORK SECURITY
Network Security (keamanan jaringan) memiliki beberapa komponen penting dalam penerapannya, semua bertujuan untuk dapat membuat jaringan komputer suatu instansi menjadi aman dari serangan cracker, virus, worm, trojan horses, denial of service. Berikut komponen-kompoenen penting dalam membangun keamanan jaringan :
1. Anatomi Penyerangan Sistem
dapat mengambil langkah-langkah astisipatif untuk mencegah attacker
melakukan serangan pada sistem kita (Nova Novriansyah, 2004 : 93).
2. Membangun Intrusion Detection System
Deteksi adalah bagian yang paling penting dalam hal kemanan jaringan, karena tidak peduli apapun teknologi, proses atau orang yang dipergunakan, cepat atau lambat bakal terjadi kegagalan. Sederhananya karena keamanan didasarkan pada manusia, padahal manusia adalah tempatnya salah dan lupa. Sat suatu kegagalan terjadi, tenaga keamanan harus dapat mengenali dan bereaksi (Firrar Utdirartatmo, 2005 : 13). 3. Melindungi J aringan Dengan Firewall
Untuk melindungi jaringan anda dari serangan luar, anda membutuhkan firewall pada gerbang yang menghubungkan jaringan lokal anda dengan jaringan publik (internet). Sebenarnya dikenal dua tipe
firewall, antara lain application proxy dan packer filtering gateway. Packet filtering gateway umumnya lebih banyak digunakan, karena performanya lebih baik dalam hal inbound packet dibanding application proxy (Nova Novriansyah, 2004 : 96) .
2.2.3 IDS (Instrusion Detection System)
Intrusion Detection System (IDS) atau sistem pendeteksian penyusupan merupakan sebuah konsep canggih yang melibatkan beberapa teknologi yang berbeda. Boleh dikatakan bahwa IDS sudah menjadi sepenting firewall untuk
security network, dan banyak perbedaan antara IDS dan firewall yang telah menjadi kabur. Dulunya, IDS mencakup hal tentang menganalisis lalu lintas
diperluas sehingga juga menyangkut tentang scanning log-log akses dan menganalisis karakteristik-karakteristik dari file-file untuk mengetahui apakah file-file tersebut telah diserang. IDS juga telah diperluas ke konsep honeypot yaitu sebuah network palsu yang digunakan untuk menarik dan mengalihkan perhatian para cracker dari network yang sesungguhnya, dan pada saat yang sama melakukan pemantauan terhadap aksi-aksi mereka di network palsu itu (Chris Brenton, 2005 : 289). Tipe-tipe dari IDS dikategorikan sebagai berikut:
1. Network Intrusion Detection System (NIDS)
Sistem pendeteksian penyusupan network. Menganakisis paket di sebuah network dan mencoba untuk menentukan apakah seorang cracker
sedang mencoba untuk masuk ke dalam sebuah sistem atau menyebabkan sebuah serangan denial of service (DoS). Sebuah NIDS bisanya berjalan pada sebuah hub atau sebuah router, dan menganalisis semua lalu lintas
network yang mengalir melalui alat tersebut (Chris Brenton, 2005 : 290). 2. Host Intrusion Detection System (HIDS)
Sistem pendeteksian penyusupan host. Sama seperti NIDS, sebuah HIDS menganalisis lalu lintas network yang dikirimkan menuju dan dari sebuah mesin tunggal. Sebagian besar dari NIDS komersial saat ini biasanya memiliki suatu insur HIDS, dan sistem-sistem ini disebut hybrid
3. System Integrity Verifier (SIV)
Alat untuk verifikasi integritas sistem. Melacaj file-file sistem yang kritikal dan memberitahukan kepada administrator pada saat file-file tersebut diubah (biasanya oleh seorang cracker yang mencoba untuk mengganti file yang valid dengan sebuah Trojan horse) (Chris Brenton,
Sebuah sistem pura-pura yang memiliki servis-servis yang tidak nyata, dengan vulnerability-vulnerability yang sudah diketahui untuk menarik perhatian para hacker atau mengalihkan perhatian mereka dari sistem yang sebenarnya (Chris Brenton, 2005 : 290).
2.2.4 HONEYPOT
Dalam bahasa sederhana, honeypot adalah sistem atau komputer yang sengaja “dikorbankan” untuk menjadi target serangan hacker. Oleh sebab itu setiap interaksi dengan honeypot patut diduga sebagai aktivitas penyusupan. Misal, jika ada orang yang melakukan scanning jaringan untuk mencari komputer yang vulnerabel, saat ia mencoba koneksi ke honeypot tersebut, maka honeypot
adalah anonimitas. Honeypot merupakan senjata “orang-orang baik” yang membuat situasi menjadi lebih imbang. Tidak seperti IDS (Intursion Detection System) atau firewall, honeypot tidak menyelesaikan suatu masalah tertentu, tetapi memiliki kontribusi terhadap keseluruhan keamanan. Nilai kontribusi bergantung pada kita mempergunakannya. Jadi meski tidak secara langsung mencegah serangan (seperti firewall) tetapi bisa mengurangi intensitas serangan pada server sungguhan. Honeypot memang hanya mempunyai manfaat kecil pada pencegahan, tetapi sangat berguna untuk mendeteksi serangan, perlu diingat bahwa firewall
juga tidak bisa menghilangkan serangan, tetapi hanya memperkecil resiko serangan (Firrar Utdirartatmo, 2005 : 8).
Honeypot mengumpulkan sedikit data tetapi dengan nilai yang tinggi sehingga memungkinkan analisis dan respon yang cepat. Contohnya, honeypot project suatu grup penelitian honeypot mengumpulkan kurang dari 1 MB data per hari. Volume data tidak sebanyak log pada sistem firewall atau IDS. Memang konfigurasinya bisa memakan waktu, tetapi merupakan cara yang menarik bagi kita untuk mempelajarinya. Bayangkan bermacam potensi lain pemanfaatan
honeypot, seperti memonitor pembajakan software dan tool hacking yang paling populer. Kesederhanaan pengunaan honeypot memudahkan konfigurasi pemanfaatanya, meski juga ada yang kompleks untuk keperluan penelitian. Makin sederhana honeypot, semakin kecil resikonya (Firrar Utdirartatmo, 2005 : 10).
1. Bentuk Honeypot
sampai untuk penelitian motivasi hacking. Honeypot bisa berjalan pada bermacam sistem operasi dan menjalankan bermacam service. Konfigurasi
service menunjukan ketersediannya pada suatu usaha probing atau
compromise pada sistem, dalam hal ini honeypot dibedakan menjadi: a. High Interaction: Mensimulasikan semua aspek dari suatu sistem operasi. Bisa berisiko mengalami compromise yang memungkinkan untuj dipakai penyusup untuk memperoleh akses penuh ke jaringan, atau melakukan serangan selanjutnya (Firrar Utdirartatmo, 2005 : 12). b. Low Interaction: Mensimulasikan hanya sejumlah bagian layanan, seperti network stack. Penyusup tidak bisa memperoleh akses penuh ke honeypot. Meski terbatas, tetapi berguna untuk memperoleh informasi mengenai probing jaringan atau aktivitas worm. Mereka juga bisa dipergunakan untuk menganalisis spammer atau melakukan
countermeasure pada worm (Firrar Utdirartatmo, 2005 : 12).
Low-interaction
Mengemulasi sistem operasi dan service
• Menangkap informasi lebih banyak
• Bisa cukup kompleks
• Resiko tinggi, penyusup bisa berinteraksi dengan sistem operasi sungguhan
Tabel 2.1 Dua Bentuk Honeypot.
Selain itu honeypot juga bisa dibedakan ke dalam:
a. Physical: Mesin sungguhan dalam jaringan dengan alamat IP sendiri.
b. Virtual: Disimulasikan oleh mesin lain yang berespon pada traffic
jaringan yang dikirim ke virtual honeypot.
Saat mengumpulkan informasi mengenai suatu usaha penyusupan, jumlah honeypot yang ad mempengaruhi tingkat akurasi data. Misal, untuk mengukur aktivitas worm berbasis HTTP, kita bisa mengenalinya hanya setelah mereka melakukan suatu TCP handshake yang lengkap. Tetapi kebanyakan usaha koneksi akan tidak terjawab karena worm melakukan kontak pada alamat IP yang dipilih secara acak. Honeypot bisa menangkap beban worm dengan konfigurasi sebagai web server. Lebih banyak
honeypot yang ada, berarti lebih banyak kemungkinan akan dihubungi oleh
worm (Firrar Utdirartatmo, 2005 : 13).
2. Deteksi Efektif Dengan Honeypot
Honeypot membuat tugas deteksi menjadi lebih sederhana, efektif, dan murah. Konsep honeypot sangat mudah dipahami dan diimplementasikan. Honeypot tidak memiliki rule untuk update atau perubahan, dan tidak ada algoritma lanjut yang diperlukan untuk menganalisa traffic jaringan.
lingkungan terenkripsi atau protokol IPv6 (Firrar Utdirartatmo, 2005 : . 17).
Tentu saja seperti halnya teknologi manapun, honeypopt juga memilii kekurangan. Kekurangan terbesar berasal dari keterbatasan pandangan, karena hanya bisa menangkap aktivitas yang diarahkan pada mereka, dan tidak akan mengangkap serangan pada sistem yang lain. Misal, jika web server diserang, honeypot tidak akan mengetahuinya (kecuali penyerang memakai web server untuk melakukan scan pada honeypot). Disarankan untuk tidak memakai honeypot sebagai pengganti teknologi deteksi yang ada, tetapi untuk saling bekerjasama dan melengkapi strategi keamanan jaringan (Firrar Utdirartatmo, 2005 : 17).
2.2.5. HONEYD
Honeyd adalah honeypot open source yang di tulis oleh Neils Provos. Honeyd merupakan daemon sederhana yang membuat suatu virtual host tetap pada jaringan. Host tersebut nantinya bisa dikonfigurasi untuk menjalankan bermacam service. “Kepribadian” TCP-nya (disebut personality) bisa diadaptasi sehingga nampak berjalan sebagai suatu versi sistem operasi tertentu, untuk mengelabui scanner fingerprint semacam xprobe atau nmap. Sebenarnya Honeyd cukup powerfull dan menyediakan fitur yang lengkap. Sayang konfigurasinya tidak mudah, dan belum memiliki interface GUI. Honeyd memungkinkan suatu
Sederhananya, misal Anda punya LAN dengan IP 192.168.0.1 – 25, tidak semua alamat IP tersebut dipakai oleh komputer aktif. Disini alamat-alamat IP yang tidak terpakai bisa dimonitor oleh Honeypot. Karena usaha akses, probing
dan scanning ke unused IP tersebut menandakan usaha akses ilegal (Firrar Utdirartatmo, 2005 : 60).
Gambar 2.1 Jaringan Dengan Sejumlah Unused IP
Gambar 2.2 Honeydbisa memonitor unused IP.
Virtual host yang ada bisa di-ping atau trace route. Tipe service pada virtual host
personality yang berperilaku soalah-olah paket yang dikirimnya berasal dari suatu sistem operasi. Daripada mensimulasikan semua aspek dari sistem operasi, Honeyd memilih berada pada tingkatan network stack. Honeyd mensimulasikan
service TCP dan UDP, serta berespon dengan tepat pada paket ICMP (Firrar Utdirartatmo, 2005 : 61).
Gambar 2.3 Contoh Virtual Honeypot dengan bermacam sistem operasi.
Sejumlah fitur yang ada dari Honeyd:
1. Simulasi ratusan virtual host pada saat bersamaan (tentu saja tergantung kemampuan komputer anda).
2. Konfigurasi bermacam service termasuk proxy connect, passive fingerprinting, dan random sampling.
3. Simulasi sistem operasi pada tingkat TCP/IP stack: mengelabuhi
4. Simulasi bermacam topologi routing: Latency & packet loss, Assymetric routing, integrasi mesin fisik, Distributed Honeydvia GRE tunneling.
5. Subsystem virtualization: Menjalankan aplikasi UNIX sesungguhnya di bawah alamat IP virtual Honeyd (web server, ftp server, dst),
dynamic port binding dalam virtual address space.
2.2.6. DDoS (Distributed Denial Of Service)
Sedangkan DoS (Denial Of Service) merupakan suatu teknik yang dilakukan attacker untuk membuat suatu service pada komputer sasaran tidak berfungsi. Dengan demikian, orang yang memiliki hak untuk mengakses service
tersebut tidak dapat menggunakannya (Nova Novriansyah, 2004 : 55).
Serangan DDoS (Distributed Denial Of Service) tidak jauh berbeda dengan serang DoS. Tujuanya yang sama untuk membuat lemah sumber daya korban, seperti bandwith jaringan, kemampuan komputer, dan sistem operasi nya. Yang membedakan antara DDoS dan DoS adalah jumlah penyerangnnya, dimana
attacker memulai dengan menemukan web-web atau komputer-komputer yang lemah security-nya biasanya bermasalah dengfan antivirus yang sudah kadarluarsa dan tidak pernah di update, sehingga attacker dengan mudah mengeksploitasi komputer atau web-web yang rentan tersebut untuk dijadikan
Gambar 2.4 Skema Serangan Distributed Denial of Service.
2.2.7. TCP (Transmission Control Protocol) Flood
Dalam proses TCP di kenal dengan dengan istilah “TCP Three-way Handshake” dimana dalam proses tersebut terdapat paket SYN, SYN-ACK, dan ACK. Namun bagi seroang cracker ataupun hacker paket-paket tersebut dapat diubah menjadi senjata yang dapat membuat komputer korban down dan serangan tersebut biasa di sebut TCP SYN Flood.
Serangan TCP SYN Flood memanfaatkan karakteristik TCP yang bisa digunakan oleh server. Setiap layanan yang menggunakan TCP seperti e-mail,
web, dan layanan penyimpanan file dapat berpotensi mengalami serangan TCP SYN flood. Dasar daris serangan ini terletak pada desain three-way handshake
Gambar 2.5 Proses Three-way Handshake.
Namun pada serangan TCP SYN Flood server tidak dapat memberi balasan, karena begitu banyaknya paket SYN yang di kirim bersama-sama oleh
attacker, sehingga menyebabkan server tersebut tersebut menolak layanan dari
client lain (Wesley M. Eddy, 2006).
Gambar 2.6 Proses TCP-SYN Flood 2.2.8. UDP (User Datagram Protocol) Flood
Namun bagi cracker ataupun hacker penjelasan tersebut dapat menjadi ide untuk memulai serangan. Ketika attacker melakukan serangan flooding dengan menggunakan paket UDP, paket-paket yang dikrim akan secara acak menuju port
METODE PENELITIAN
3.1 RANCANGAN PENELITIAN
Dalam bab ini akan membahas tentang penyelesaian masalah yang sudah dipaparkan dalam rumusan masalah. Untuk sistem yang dibutuhkan akan dibedakan berdasarkan hardware dan software, dimana hardware yang digunakan harus dapat menjalankan software-software seperti Windows 8, VMware,
Backtrack 5 R3, Honeyd, dan Arpd. Windows 8 sebagai sistem operasi utama yang digunakan untuk menjalankan VMware. VMware digunakan untuk mensimulasi operating system Backtrack 5 R3 yang digunakan sebagai Honeyd komputer. Berikut adalah daigram alur untuk rancangan penelitian.
Gambar 3.1 Diagram Alur Rancangan Penelitian
Untuk Serangan DDoS akan dilakukan oleh 4 botnet yang di-control
telah dibangun sendiri oleh peneliti, pengujian dengan skenario akan digunakan untuk menguji apakah serangan DDoS tersebut telah berhasil melumpuhkan
webserver, skenario berikutnya baru akan menggunakan Honeyd untuk mendeteksi serangan yang dilakukan kepada webserver, setelah itu serangan yang dideteksi Honeyd akan dianalisa dengan rumus kehandalan untuk mengetahui kefektifan deteksi serangan dengan menggunakan honeypot.
3.1.1 STUDI LITERATUR
Tahap ini dilakukan studi literatur terhadap konsep dan metode yang digunakan, serta pengumpulan data-data mengenai yang dibutuhkan seperti jurnal maupun makalah, implementasi, serta artikel ilmiah dan buku.
3.1.2 DEFINISI KEBUTUHAN SISTEM
Pada tahap ini dilakukan pendefinisian terhadap apa saja yang di butuhkan untuk membangun tugas akhir ini, antara lain :
1. Kebutuhan Hardware
Dalam pengerjaan tugas akhir ini menggunakan sebuah laptop dengan spesifikasi sebagai berikut: HP - G42, Intel Core i3 2.53 Ghz, Memory RAM 6GB, HDD 320GB.
2. Kebutuhan Software
Software atau perangkar lunak yang digunakan dalam tugas akhir ini sebagai berikut:
a. Windows 8 Pro
Digunakan sebagai sistem operasi inti yang dapat menjalankan
b. Windows XP
Adalah sistem operasi yang digunakan oleh zombie computer yang berfungsi untuk menjalankan script-script botnet.
c. VMware
Merupakan software yang digunakan untuk virtual machine (mesin virtual) fungsinya adalah untuk menjalankan banyak operating sistem dalam satu perangkat keras (tentu saja perlu di perhatikan spesifikasi komputer yang digunakan) dan untuk menjalankan aplikasi yang ditunjuk untuk sistem operasi lainnya.
d. Backtr ack 5 R3
Adalah sebuah sistem operasi yang berjalan pada virtual machine
dan digunakan untuk mengemulasi virtualhoneypot.
e. Honeyd
Merupakan honeypot open source yang digunakan untuk mendeteksi serangan-serangan yang dilakukan oleh cracker, dengan memberi konfigurasi-konfigurasi yang dapat menjebak
cracker/hacker. Honeyd sudah tersedia dalam Backtrack 5 R3
f. Arpd
3.1.3. RANCANGAN IMPLEMENTASI
Dalam sub bab ini akan dijelaskan bagaimana rancangan implementasi yang dibagi menjadi rancangan topologi, rancangan implementasi honeypot.
1. Rancangan Topologi
Adapun dalam proses tugas akhir ini dibutuhkan suatu rancangan topologi yang digunakan untuk design jaringan dan mempermudah dalam membangun jaringan. Berikut diagram alur untuk rancangan topologi :
Gambar 3.3 Rancangan Topologi Jaringan.
Seperti yang tertera pada gambar 3.3. Jaringan berjalan secara virtual
dengan menggunakan virtual machine yang dijalankan oleh Delavorta
server yang menggunakan sistem operasi Windows 8 pro. Dalam jaringan
virtual terdapat 6 (enam) virtual komputer yang di beri nama Comp 1, Comp 2, Comp 3, Comp 3, Comp 4, Comp 5, dan Backtrack 5 R3. Dimana Comp 1, Comp 2, Comp 3, Comp 4, Comp 5 menggunakan sistem operasi Windows XP. Tipe jaringan virtual yang digunakan adalah VMware Host Adapter dimana komputer-komputer virtual dapat terhubung juga dengan komputer sungguhan. Untuk pengalamatan IP address menggunakan IP
class C dengan pembagian sebagai berikut : a. Delavorta Sever : 192.168.1.1
e. Comp 4 : 192.168.1.5 f. Backtrack 5 R3 : 192.168.1.6 g. Honeyd : 192.168.1.7 h. Comp 5 : 192.168.1.8
Perlu diingat bahwa Honyed dapat merubah identitas menjadi sistem operasi maupun router. Dalam rancangan penelitian ini Honeyd menyamar menjadi Windows XP.
2. Rancangan Implementasi Honeypot
Berikut terdapat diagram alur untuk rancangan implementasi
honeypot :
Honeypot yang digunakan adalah Honeyd. Honeyd sendiri sebenarnya sudah tersedia pada operating system Backtrack 5 R3, namun untuk menjalankan Honeyd dibutuhkan perangkat lunak pendukungnya yaitu Arpd. Arpd sendiri berfungsi untuk mendengarkan paket ARP dan juga menjawab alamat IP yang tidak terpakai. Untuk meng-install Arpd dibutuhkan beberapa library pendukung, antara lain Libdnet dan Libevent. Tanpa dua library pendukung tersebut Arpd tidak dapat di-install.
Pada Honeyd, semua konfigurasi terdapat pada Honeyd.conf, dalam satu file tersebut dapat dikonfigurasi identitasnya (personality), port-port
yang akan dibuka, protocol-protocol yang diizinkan atau yang di blokir, lalu binding IP address. Personality adalah sebuah konfigurasi yang membuat Honeyd dapat menyamar menjadi sebuah komputer dengan sistem operasi tertentu, dan bukan hanya komputer, degan konfigurasi
personality bahkan Honeyd dapat menjadi router. Lalu yang dimaksud
binding IP address adalah Honeyd mengambil IP address yang tidak digunakan dalam sebuah jaringan.
3.2 RANCANGAN UJ I COBA DAN EVALUASI
Sebelum menuju pada rancangan uji coba berikut akan dibahas mengenai fungsi komputer-komputer yang terdapat pada topologi yang sudah dibahas pada
korban untuk menguji apakah serangan DDoS TCP flood dan UDP flood sudah berjalan dengan benar. Lalu Backtrack 5 R3 berfungsi untuk mengemulasi Honeyd. Honeyd sendiri berfungsi untuk mendeteksi serangan DDoS TCP flood
dan UDP flood yang ditujukan kepadanya. Dalam rancangan uji coba terdapat dua skenario yang digunakan, yaitu :
3.2.1 SKENARIO 1
Gambar 3.5 Skenario Penyerangan 1 (satu)
Pada skenario 1 ini bertujuan untuk memastikan bahwa serangan DDoS TCP flood dan UDP flood telah berjalan dengan benar. Comp 1, Comp 2, Comp 3, dan Comp 4 akan menjalankan script zombie, lalu ke-4 komputer tersebut akan di perintahkan oleh Delavorta server melalui command and control server (mIRC) untuk menyerang Comp 5 dengan serangan DDoS TCP flood dan UDP flood
memastikan bahwa serangan telah diluncurkan dengan benar, akan diketahui melalui respon dari web server Comp 5.
3.2.2 SKENARIO 2
Gambar 3.6 Skenario Penyerangan 2 (dua)
Pada skenario 2 ini adalah inti skenario yaitu menguji apakah Honeyd efektif untuk mendeteksi serangan DDoS TCP flood dan UDP flood. Comp 1, Comp 2, Comp 3, dan Comp 4 akan me-running script zombie. Lalu ke-4 komputer tersebut akan di perintahkan oleh Delavorta server melalui mIRCuntuk menyerang Honeyd (diasumsikan penyerang sudah terjebak), serangan yang dilakukan adalah DDoS TCP flood dan UDP flood.
Untuk membuktikan bahwa serangan dapat dideteksi oleh Honeyd adalah dengan mencoba membuat koneksi biasa kepada Honeyd setelah dicatat hasil log
lalu dicatat lagi log nya dari log-log tadi akan dianalisa dan diharapkan dapat mengerti karakteristik saat Honeyd mendapat seranga TCP flood dan UDP flood
.Dilakukan pula pengujian dengan menggunakan serangan ping flood atau biasa disebut ping of death dari pengujian nanti diharapkan dapat membedakan saat
honeyd mendeteksi serangan DDoS TCP flood, UDP flood, dan ping flood.
3.3 RANCANGAN ANALISA PEMBUKTIAN SERANGAN
Setelah implementasi dari skenario 1 dan 2 sudah selesai dilakukan maka pada sub bab ini akan membahas tentang rancangan untuk analisa serangan DDoS TCP flood dan UDP flood dengan Honeyd. Perlu diingat kembali bahwa Honeyd mendeteksi semua traffic yang mengarah padanya, oleh karena itu perlu dilakukan analisa untuk dapat membedakan mana yang merupakan traffic serangan dan mana yang traffic interaksi biasa. Untuk dapat melakukan analisa perlu mengerti dahulu tentang karakteristik dari serangan DDoS secara umum.
Dalam membangun seragnan DDoS terdapat dua tahap. Pertama, penyerang membangun jaringan serangan yang didistribusikan dan terdiri dari banyak komputer (lebih dari 2), atau biasa disebut dengan botnet atau zombie computer. Kedua, penyerang memberikan peritah kepada botnet untuk menyerang secara bersama-sama (Gu Qijun, PhD., Liu Peng, PhD, : 8). Dari karakteristik umum DDoS diatas dapat disimpulkan bahwa serangan dilakukan oleh banyak
host (lebih dari 2) dan selang waktu penyerangan dari setiap botnet sangat pendek karena botnet diperintahkan untuk menyerang secara bersama-sama. Untuk TCP
memory hingga menerima paket ACK dari setiap koneksi, lalu pada tahap ini
botnet akan terus menerus mengirim paket TCP SYN hingga korban tidak dapat menerima koneksi baru dan down (Gu Qijun, PhD., Liu Peng, PhD, : 5). Lalu pada UDP flood, botnet akan mengirimkan sejumlah besar paket UDP ke korban, karena jaringan botnet dapat mengirimkan traffic volume yang lebih besar dibanding dengan jaringan korban, maka jaringan korban akan mengalami penghabisan sumber daya sehingga korban tidak dapat melayani semua permintaan dengan sumber daya yang terbatas dan saat itu terjadi berarti korban sudah mengalami down (Gu Qijun, PhD., Liu Peng, PhD, : 6).
Gambar 3.7 Traffic Normal Dan Serangan
Setelah diketahui bagaimana karakteristik dari DDoS TCP flood dan UDP
flood. Maka akan dibuat parameter-parameter keberhasilan untuk proses analisa. Berikut parameter-parameter keberhasilan nya :
1. Jumlah paket yang dikirim sangat banyak dan tidak wajar. 2. Besar paket yang dikirim sangat banyak dan tidak wajar.
3. Dilakukan oleh banyak host yang diduga sebagai penyerang. 4. Terjadi perbedaan waktu yang pendek dari setiap Penyerang.
Parameter-parameter keberhasilan tersebut merupakan kesimpulan dari karakteristik serangan DDoS TCP flood dan UDP flood.
Setelah parameter keberhasilan sudah ditentukan maka akan masuk pada proses analisa itu sendiri. Karena log-log yang dihasilkan oleh Honeyd adalah merupakan semua interaksi yang masuk pada Honeyd maka diperlukan proses analisa untuk mengetahui serangan apa saja yang terjadi pada Honeyd. Berikut proses analisa yang dilakukan.
3.3.1 Rancangan Analisa Serangan DDoS TCP Flood
Berikut akan dijelaskan langkah-langkah yang dilakukan dalam proses analisa serangan DDoS TCP flood.
1. Menyiapkan host yang bertugas untuk melakukan interaksi ke web
yang diemulasi Honyed lalu Melakukan interaksi ke web Honeyd. 2. Lalu Honeyd akan mencatat interaksi yang masuk kepadanya.
4. Lalu Honeyd akan mencatat lagi interaksi yang ditujukan kepadanya. 5. Setelah mendapat traffic dari interaksi normal dan serangan, maka
akan disamakan dengan parameter keberhasilan yang sudah di tentukan.
6. Lalu langkah terakhir memberi kesimpulan pada analisa serangan DDoS TCP flood.
Langkah-langkah tersebut akan dilakukan selama 10 kali dalam waktu yang berbeda-beda untuk lebih membuktikan kebenaran dari proses analisa.
3.3.2 Rancangan Analisa Serangan DDoS UDP Flood
Berikut akan dijelaskan langkah-langkah yang dilakukan dalam proses analisa serangan DDoS UDP flood.
1. Menyiapkan host yang bertugas untuk melakukan interaksi ke RPC
server yang sudah diemulasi oleh Honeyd, lalu melakukan interaksi ke RPC server Honeyd
2. Lalu Honeyd akan mencatat interaksi yang masuk kepadanya.
3. Setelah selesai melakukan interaksi normal, maka saatnya Honeyd menerima serangan DDoS UDP flood.
4. Lalu Honeyd akan mencatat lagi interaksi yang ditujukan kepadanya. 5. Setelah mendapat traffic dari interaksi normal dan serangan, maka
6. Lalu langkah terakhir memberi kesimpulan pada analisa serangan DDoS UDP flood.
Langkah-langkah tersebut akan dilakukan selama 10 kali dalam waktu yang berbeda-beda untuk lebih membuktikan analisa serangan.
3.4 J ADWAL KEGIATAN PENELITIAN
No. Kegiatan September Oktober November Desember 1 Studi Literatur 2 Definisi Kebutuhan
Sistem 3 Rancangan
Implementasi 4 Rancangan Uji Coba
Dan Evaluasi 5 Penyususan Laporan
HASIL DAN PEMBAHASAN
4.1 IMPLEMENTASI
Implementasi yang dilakukan pada bab ini didasari pada rancangan penelitian pada bab 3. Berikut hasil implementasi dari rancangan penelitian : 4.1.1 INSTALLASI SISTEM OPERASI
Terdapat dua jenis sistem operasi yang akan di-install, yaitu Windows XP dan Linux Backtrack 5 R3, untuk Windows XP akan di-install pada Comp 1, Comp 2, Comp 3, Comp 4, Comp 5, sedangkan untuk Linux Backtrack 5 R3 akan di-install pada Backtrack 5. Comp 1, Comp 2, Comp 3, Comp 4, Comp 5, dan Backtrack 5 merupakan virtual machine yang dibuat dengan Vmware.
Gambar 4.1 Hasil Implementasi Installasi Sistem Operasi
4.1.2 SETTING IP PADA SETIAP KOMPUTER
Setelah semua komputer yang terdapat pada virtual machine telah selesai di-install sistem operasi maka pada sub bab ini akan membahas implementasi
setting IP address pada Delavorta Server, Comp 1, Comp 2, Comp 3, Comp 4, Comp 5 dan, Backtrack 5. Setting IP address mutlak perlu untuk membuat komputer satu dengan yang lainnya dapat berkomunikasi. Berikut implementasi setting IP address dari Delavorta Sever dan lima virtual host lainnya.
Gambar 4.2 Hasil Implementasi Setting IP Pada Setiap Komputer
Pada gambar 4.2 merupakan hasil implementasi setting alamat IP pada Comp 1, Comp 2, Comp 3, Comp 4, Comp 5, dan Backtrack 5 sesuai dengan rancangan penelitian pada Bab 3.
4.1.3 TEST KONEKSI (PING)
komputer yang digunakan untuk memeriksa apakah sebuah komputer terhubung dengan komputer lainnya. cara kerja ping adalah dengan mengirimkan paket ICMP (Internet Control Message Protocol) ke host target dan menunggu respon ICMP balasan. Ping juga dapat disalah gunakan oleh cracker / hacker untuk membangun serangan denial of service dalam bentuk ping flood, dimana ping
flood tersebut menyerang korban dengan mengirimkan request ICMP yang sangat banyak. Dalam pengujian koneksi dengan ping ini menggunakan Batch script
yang digunakan untuk Windows serta menggunakan Shell script, sehingga tampilan yang dihasilkan pada saat ping dapat dibuat sesuka hati. Berikut hasil implementasi ping untuk menguji konektifitas jaringan dari komputer-komputer yang sudah dibangun.
1. Test Ping Dari Delavorta Server
Gambar 4.3 Test Ping Dari Delavorta Server Ke Semua Komputer Pada gambar 4.3 merupakan hasil dari test ping dari Delavorta server
2. Test Ping Dari Comp 1
Gambar 4.4 Test Ping Dari Comp 1 Ke Semua Komputer Pada gambar diatas merupakan hasil implementasi dari test ping dari Comp 1 ke Delavorta server, Comp2, Comp3, Comp 4, Comp 5, dan Backtrack 5. Test ping menggunakan Batch script. . Saat Status yang muncul pada alamat IP yang diuji adalah “ON”, maka alamat IP tersebut berhasil di-ping oleh Comp 1.
3. Test Ping Dari Comp 2
4. Test Ping Dari Comp 3
Gambar 4.6 Test Ping Dari Comp 3 Ke Semua Komputer
Pada gambar 4.6 merupakan hasil dari implementasi test ping dari Comp 3 ke Delavorta server, Comp 2, Comp 4, Comp 5, dan Backtrack 5.
5. Test Ping Dari Comp 4
Gambar 4.7 Test Ping Dari Comp 4 Ke Semua Komputer Pada gambar 4.7 merupakan hasil test ping dari Comp 4 ke Delavorta
server, Comp 1, Comp 2, Comp 3, Comp 5, dan Backtrack 5.
6. Test Ping Dari Backtrack 5
Pada gambar 4.8 merupakan hasil dari implementasi test ping dari Backtrack 5 ke Comp 1, Comp 2, Comp 3, Comp 4, dan Comp 5 dengan menggunakan Shell script. . Saat Status yang muncul pada alamat IP yang diuji adalah “ON”, maka alamat IP tersebut berhasil di-ping oleh Backtrack 5.
7. Test Ping Dari Comp 5
Gambar 4.9 Test Ping Dari Comp 5 Ke Semua Komputer Pada Gambar 4.9 merupakan hasil test ping dari Comp 5 ke virtual machine Delavorta server, Comp 1, Comp 2, Comp 3, Comp 4, dan Backtrack 5. . Saat Status yang muncul pada alamat IP yang diuji adalah “ON”, maka alamat IP tersebut berhasil di-ping oleh Comp 5.
4.1.4 INSTALL LIBRARY LIBDNET
Library Libdnet merupakan suatu library linux yang dibutuhkan untuk menjalan aplikasi Arpd, dalam library Libdnet sudah include network address manipulation, network firewalling, network interface lookup and manipulation, IP
Gambar 4.10 Proses Extarct file Libdnet-1.11
Karena file libdnet-1.11 merupakan file archive berekstensi tar.gz maka perlu dilakukan proses extract terlebih dahulu, untuk setelah itu masuk ke folder libdnet-1.11 dan melanjutkan dengan proses berikutnya.
Gambar 4.11 Proses Cek File Pada Direktori Libdnet-1.11
check file-file yang dibutuhkan oleh libdnet-1.11 dan membuat file yang bernama
make.
Gambar 4.12 Proses Membuat File Install Pada Direktori Libdnet-1.11 Setelah file make sudah dibuat melalui perintah ./configure, maka setelah itu jalankan file make tersebut dengan perintah make. Sehingga dapat menghasilkan
file installer
Gambar 4.13 Memulai Proses Installasi Libdnet-1.11
4.1.5 INSTALL LIBRARY LIBEVENT
Selain library Libdnet, ada satu library lagi yang harus di-install untuk bisa menjalankan Arpd, yaitu Libevent. Libevent adalah software library yang menyediakan pemberitahuan secara asynchronous. Api (Application Programming Interface) pada Libevent menyediakan menkanisme untuk menjalankan fungsi callback ketika peristiwa tertentu tejadi pada file descriptor
atau setelah batas waktu telah tercapai. Berikut hasil implementasi installasi library Libevent
Gambar 4.14 Proses Extract file Libevent-1.3a.tar.gz
Pada proses awal installasi libevent-1.3a.tar.gz adalah dengan melakukan extract
file tersebut hingga muncul folder dengan nama libevent-1.3a.
Setelah file Libevent-1.3a.tar.gz sudah di extract akan muncul folder bernama Libevent-1.3a, dalam folder tersebut mulai dilakukan perintah ./configure untuk melakukan pengecekan file-file yang dibutuhkan oleh Libevent.
Gambar 4.16 Proses Membuat File Install Pada Direktori Libevent-1.3a Setelah perintah ./configure dijalankan maka file make akan terbuat dan terletak pada folder Libevent-1.3a, untuk proses selanjutnya adalah menjalankan perintah
make untuk membuat file installasi Libevent-1.3a.
Gambar 4.17 Memulai Proses Installasi Libevent-1.3a
Proses terakhir dalam melakukan installasi adalah dengan melakukan perintah
4.1.6 INSTALL ARPD
Setelah library Libdnet dan Libevent telah terpasang di Backtrack 5 R3, lalu mulai install Arpd. Arpd sendiri berfungsi sebagai daemon yang mendengarkan request ARP dan menjawab alamat IP yang tidak terpakai. Arpd ini adalah aplikasi penunjang untuk Honeyd. Berikut hasil implementasi installasi
Arpd.
Gambar 4.18 Proses Extract File Arpd-0.2
Langkah awal untuk menginstall sebuah aplikasi pada Linux umumnya harus melakukan extract terlebih dahulu, karena file installer pada Linux berupa file archive tar.gz.
Setelah proses extract berhasil dilakukan maka langkah berikutnya adalah dengan melakukan perintah ./configure untuk melalukan check file-file yang berada pada Arpd.
Gambar 4.20 Proses Membuat File Install Di Direktori Arpd
Dari perintah ./configure tersebut dihasilkan file make. Jalankan file make tersebut untuk membuat file installer.
Gambar 4.21 Memulai Proses Installasi Arpd
