# BERBAGI SEPUTAR INFORMASI DUNIA INTERNET ! Penjelasan TCP SYN FLOOD Attack - BERBAGI SEPUTAR INFORMASI DUNIA INTERNET

Hotnews>


INFORMASI SEPUTAR DUNIA INTERNET
INFORMASI DAN TUTORIAL !
TOOLS,SOFTWARE AND OTHER.
HOPE YOU ENJOY IT ;)

Tuesday, January 8, 2019

Penjelasan TCP SYN FLOOD Attack

TCP SYN FLOOD
APA ITU ? SYN FLOOD ATTACK

TCP SYN flound (a.k.a. SYN flood) adalah tipe serangan Distributed Denial of Service (DDoS)
yang mengeksploitasi bagian dari jabat tangan TCP tiga arah normal untuk mengonsumsi sumber daya
pada server yang ditargetkan dan menjadikannya tidak responsif.

Pada dasarnya, dengan SYN flound DDoS, pelaku mengirimkan permintaan koneksi TCP
lebih cepat daripada mesin target dapat memprosesnya, menyebabkan saturasi jaringan.

DESKRIPSI SERANGAN
Ketika klien dan server membuat "jabat tangan tiga arah" TCP normal,
pertukarannya terlihat seperti ini:

1.Klien meminta koneksi dengan mengirim pesan SYN (sinkronisasi) ke server.
2.Server mengakui dengan mengirim kembali pesan SYN-ACK (sync-acknowledgment) ke klien.
3.Klien merespons dengan pesan ACK (mengakui), dan koneksi dibuat.

Dalam serangan banjir SYN, penyerang mengirimkan paket SYN berulang ke setiap port
pada server yang ditargetkan, sering menggunakan alamat IP palsu.
Server, yang tidak mengetahui serangan itu, menerima beberapa permintaan
yang tampaknya sah untuk membangun komunikasi. Ini menanggapi
setiap upaya dengan paket SYN-ACK dari setiap port terbuka.

Klien jahat tidak mengirim ACK yang diharapkan, atau — jika alamat IPnya palsu —
tidak pernah menerima SYN-ACK sejak awal. Either way, server yang diserang akan
menunggu pengakuan paket SYN-ACK untuk beberapa waktu.
Selama waktu ini, server tidak dapat menutup koneksi dengan mengirim paket RST, dan koneksi tetap terbuka.
Sebelum koneksi habis, paket SYN lain akan tiba. Ini membuat jumlah koneksi
yang semakin besar menjadi setengah terbuka - dan memang serangan banjir SYN juga disebut
sebagai serangan "setengah terbuka". Pada akhirnya, saat tabel overflow koneksi server terisi,
layanan untuk klien yang sah akan ditolak, dan server bahkan dapat mengalami kegagalan fungsi atau macet.

Sementara banjir SYN "klasik" yang dijelaskan di atas mencoba untuk menghabiskan port jaringan,
paket SYN juga dapat digunakan dalam serangan DDoS yang mencoba menyumbat pipa Anda dengan paket palsu
untuk mencapai saturasi jaringan. Jenis paket tidak penting. Namun,
paket SYN sering digunakan karena mereka kemungkinan besar akan ditolak secara default.

METODE MITIGASI
Sementara sistem operasi modern lebih siap untuk mengelola sumber daya,
yang membuatnya lebih sulit untuk meluap tabel koneksi, server masih rentan terhadap serangan banjir SYN.

Ada sejumlah teknik umum untuk mengurangi serangan banjir SYN, termasuk:

Micro blocks — administrator dapat mengalokasikan catatan-mikro (sedikitnya 16 byte)
dalam memori server untuk setiap permintaan SYN yang masuk, bukan objek koneksi yang lengkap.

SYN cookies — menggunakan hashing kriptografi, server mengirimkan respons SYN-ACK dengan nomor urut (seqno)
yang dibangun dari alamat IP klien, nomor port, dan mungkin informasi pengidentifikasi unik lainnya.
Ketika klien merespons, hash ini termasuk dalam paket ACK. Server memverifikasi ACK,
dan hanya kemudian mengalokasikan memori untuk koneksi.

RST cookies — untuk permintaan pertama dari klien yang diberikan, server sengaja mengirimkan SYN-ACK yang tidak valid.
Ini akan menghasilkan klien menghasilkan paket RST, yang memberitahu server ada sesuatu yang salah.
Jika ini diterima, server tahu permintaan itu sah, mencatat klien, dan menerima koneksi masuk berikutnya dari itu.

Stack tweaking — administrator dapat mengubah tumpukan TCP untuk mengurangi efek banjir SYN.
Ini dapat berupa pengurangan batas waktu hingga tumpukan membebaskan memori
yang dialokasikan untuk suatu koneksi, atau secara selektif menjatuhkan koneksi yang masuk.

Jelas, semua metode yang disebutkan di atas bergantung pada kemampuan jaringan target
untuk menangani serangan DDoS volumetrik skala besar, dengan volume lalu lintas diukur
dalam puluhan Gigabit (dan bahkan ratusan Gigabit) per detik.
Perlindungan Imperva DDoS memanfaatkan teknologi Anycast untuk menyeimbangkan permintaan DDoS
yang masuk di jaringan global pusat-pusat penggosok bertenaga tinggi.
Dengan kapasitas gabungan dari jaringan globalnya,
ncapsula dapat secara efektif melebihi sumber daya penyerang, menjadikan serangan DDoS tidak efektif.
Layanan ini dibangun berdasarkan skala permintaan, menawarkan sumber daya yang cukup untuk menangani
bahkan serangan DDoS volumetrik terbesar.

Untuk memastikan kelangsungan bisnis, algoritma penyaringan Imperva terus-menerus menganalisis permintaan SYN
yang masuk, menggunakan cookie SYN untuk secara selektif mengalokasikan sumber daya untuk pengunjung yang sah.
Ini memungkinkan mitigasi DDoS yang transparan, tanpa downtime, latensi dari gangguan bisnis lainnya.

No comments:

Post a Comment