1.syn flood denial of service
serangan ini pada umumnya emang sering dipake para attacker menyerang korban dengan semua koneksi TCP baik telnet,web,email,dll.attacker mulai mengirimkan sebuah SYN message untuk korban, kemudian korban merespon dengan SYN-ACK message buat attacker.Kemudian attacker melakukan establishing jaringan melalui respon dengan sebuah ACK message sehingga attacker dan korban saling terhubung dan data spesifik bisa saling bertukar antara attacker dan korban..logikanya seperti ini lah
attacker korban
SYN-------->(Listen)
<----------SYN-ACK (SYN_RCVD)
ACK--------->(Established)
Yang jadi masalah disini adalah apabila attacker gak merespon ACK message buat ke korban.sehingga di sebut half-open connection.dari inilah system memory korban akan membuat data struktur untuk menjelaskan semua koneksi yang terhambat (TCP backlog).Semakin banyak koneksi yang terhambat,semakin banyak pula data yang dibuat di system memory alias TCP backlog yang jika ukurannya tidak mampu menampung log bisa menyebabkan tidak mampu menerima beberapa koneksi baru yang lagi masuk(alias ping timeout) karena pending koneksi dengan waktu yang lama expired (ammount of time TCP driver). Yang susahnya lagi misal attacker pake IP-spoof dan ngirimin paket SYN untuk koneksi baru buat korban.kacau deh hihihi.
)
cara deteksi: gunain netstat ( khusus OS windows lah buat newbie seperti saya ixixixi)
semua half open koneksi TCP akan terdeteksi lewat netstat dengan kata "SYN_RCVD" jika di OS windows.Jadi cukup lah pake command :
run - cmd - netstat -an | grep "SYN_RCVD" atau netstat -p tcp dan lain-lain sebagainya.
pencegahan : modifikasi TCP protocol. Tapi mungkin ini berbahaya dengan fungsi TCP/IP. ada beberapa metode agar gak berbahaya melalui
-Membesarkan size TCP backlog queue untuk half open koneksi sehingga mampu menampung paket-paket yang jumlahnya banyak
-Mengecilkan waktu TCP driver untuk menjaga half open koneksi sehingga apabila ACK message tidak dikirimkan oleh attacker dengan waktu cepat akan expired sehingga cepat juga untuk menerima koneksi baru yang masuk
-Enable TCP cookies ( cara praktis biar gak perlu ganti ukuran TCP backlog queue ).
-Pake Firewall ( cara paling praktis tergantung rule yang kita buat )
Tools : google aja ixixi dork: syn flood tool
2. UDP Flood attack
UDP flood merupakan serangan yang bersifat connectionless, yaitu tidak memperhatikan apakah paket yang dikirim diterima atau tidak. flood attack akan menempel pada servis UDP chargen di salah satu mesin, yang untuk keperluan “percobaan” akan mengirimkan sekelompok karakter ke mesin lain, yang di program untuk meng-echo setiap kiriman karakter yang di terima melalui servis chargen.
pencegahan : filtering packet udp incoming dengan firewall
3. smurf icmp attack
internet control message protocol (icmp) digunakan buat menghandel error dan pertukaran control messages.icmp digunakan untuk mengetahui bahwa machine di internet dalam keadaan respon.
sebuah ICMP echo request packet akan dikirim ke machine.jika machine merespon packet, machine akan mengirimkan ICMP echo reply packet atau dikenal dengan istilah "PING" command pada beberapa os dan network software seperti mIRC dll.
di IP NETWORK sebuah paket bisa di perintah sebuah machine atau broadcast. ketika paket dikirim untuk sebuah ip broadcast address dari sebuah machine di local network, packet itu akan terkirim untuk semua machine yang berada di network tsb.Ketika packet itu mengirim IP broadcast address dari machine lain yg tidak berasal local network,hal ini adalah broadcast untuk semua machine di network target ( routers ).
jadi pada intinya serangan smurf icmp attack adalah attacker membuat paket ini kemudian menggunakan ip spooff dan mencari network router yang tidak mem-filter broadcast traffic serta network yang ada respon terhadap multiple hosts.kemudian attacker mengirimkan echo request packet kepada korban-korban yang tidak memfilter paket echo request dan otomatis korban mereply packet tersebut. jika semua machine tidak ada filterisasi packet echo request di dalam network maka dengan jumlah ip spoof yang banyak,ditambah tools otomatis untuk menggunakan ip spooff atau multiple host tadi
untuk mengirimkan packet echo request secara bersamaan dan besar-besaran,maka korban-korban tadi akan merespon echo reply lebih cepat dan lebih banyak dari sebelumnnya. sehingga membuat traffic tidak stabil dan akhirnya down dikarenakan ada request echo packet yang membanjiri machine korban-korban yang tidak mampu untuk mereplynya.
pencegahan : filterisasi packet icmp yang incoming dengan menggunakan firewall agar bisa otomatis mendeteksi dan blocking serta tidak mereply
Tools : DDOSPING.exe,BOTNET,dll.
4.de-authentication attack
salah satu tehnik ngeflood klasik dengan de-authentification frame pada wireless pada IEEE 802.11 standard agar korban disconnect dan reconnect terus
tools : Aircrack-ng Suite
command : aireplay-ng --deauth 26 -h
ket : --deatuh
-h
-b
ath1 = Injeksi Interface
tools : file2air
command : file2air -i ath0 -n 65000 -d
ket : -i
-n 65000 = spesific jumlah deauth frame yang akan dikirim
-d
-s
-b
-f packets/deauth.bin = File untuk inject
tools : mdk2
command : wireless/mdk2-v31/mdk2 ath0 d
ket : ath0 = injeksi interface
d = perintah mdk2 untuk run deauth amok mode
5.QUeensland DOS
salah satu jenis serangan wireless yang apabila sebuah PC card ditempatkan didalam continuous transmit mode di sebuah spesifik channel, semua aktivitas wireless akan tertahan/denied. pastinya adapter yang dipakai korban akan menyetop semua konektivitas. sehingga korban harus reboot atau kembali bongkar pasang adapternya lagi.
hal ini ditemukan oleh Queensland University of technology. jadi namanya mirip-mirip hoho.serangan ini berlaku cuma buat atheros chipset.
Tools : Madwifi-dfs source
a.Modif file if_ath_radar.c
cmd : vi madwifi-dfs/ath/if_ath_radar.c
bisa liat source updatenya disini
b.compile dan install
cmd : make && make install
c.Masukan adapter dan bawa ke interface
cmd : ipconfig ath0 up
d.setting interface untuk target channel
cmd : iwconfig ath0 channel 6
e.tempatkan PC card didalam continuous transmit mode
cmd: iwpriv ath0 txcont 1
f.stop continuous transmit mode
cmd: iwpriv ath0 txcont 0
hal ini juga bisa dilakukan dengan menggunakan Prism Test Utility
masih banyak tehnik ddos yang lainnya
ref: Dari Berbagai Sumber
0 komentar:
Posting Komentar