Peningkatan trafik Internet yang di alami suatu situs mungkin belum bisa di artikan positif. Kebanyakan kasus yang marak terjadi belakangan ini adalah peningkatan trafik yang tiba-tiba di sebabkan atas serangan dari berbagai sumber yang terjadi secara bersamaan. Serangan yang tiba-tiba ini di artikan sebagai serangan yang terkoordinasi. Ratusan hingga ribuan sumber IP address mengirimkan trafik dalam jumlah besar sehingga menimbulkan target IP address kehilangan banyak Internet bandwidth sehingga tidak mampu untuk memberikan respon atas trafik yang legitimate. Serangan ini diberikan nama Distributed Denial of Service Attack, atau di singkat dengan istilah DDoS. Bahkan dalam situasi pandemic Covid-19 seperti sekarang ini, semakin intens di temukan serangan DDoS ini terjadi di beberapa lokasi. Tidak ada system yang di retas ataupun data yang di curi dalam model serangan DDoS ini. Tujuan utama dari model serangan ini adalah memberikan dampak gangguan sehingga fungsi layanan online atau website dari penyedia jasa layanan terkendala untuk beroperasi. Serangan ini di lancarkan secara intens dan dalam durasi waktu yang cukup lama sehingga terkesan website menjadi offline. Tentunya ini akan terjadi bilamana penyerang berhasil memberikan trafik sebesar dengan bandwidth maksimal yang di miliki penyedia jasa layanan dan tidak ada bandwidth yang cukup tersedia untuk pelanggan lainnya. Ini bukan merupakan satu-satunya cara penyerang dalam kaitan dengan DDoS attack, namun belakangan ini merupakan hal yang cukup sering di lakukan.

Sejarah DDoS

Sebelum di sebut dengan istilah DDoS, istilah ini pertama kali di kenal dengan sebuat Denial of Service attack atau DoS. Huruf ‘D’ atau ‘Distributed’ yang kemudian ditambahkan disini melambangkan serangan yang di lakukan secara terkoordinasi namun terpecah. Berawal pada tahun 1974, David Dennis, seorang anak yang berusia 13 tahun tinggal di dekat sebuah laboratorium yang bernama Computer-Based Education Research Laboratory (CERL) yang memiliki sebuah unit komputer yang diberi nama PLATO. Komputer ini memiliki kemampuan untuk terhubung dengan perangkat external devices. Dan instruksi program untuk ini juga tersedia yang memungkinkan pengembangan lebih lanjut. Dennis menemukan sebuah cacat dari program tersebut, yang dapat menyebabkan PLATO menjadi crash dan perlu untuk di restart sebelum dapat kembali melayani user yang terkoneksi. Menyadari akan hal ini, Dennis kemudian mengembangkan program yang memanfaatkan celah kelemahan ini sehingga berhasil menjadikan system PLATO di power-off sehingga merepotkan 31 user yang saat itu sedang terhubung. Dalam kasus ini, serangan yang di lakukan oleh Dennis adalah menyerang availabilitas dari PLATO, meski tidak merusak data-data yang tersimpan. Inilah inti dari serangan DoS attack.

Tidak hanya berhenti pada kasus David Dennis ini, pada Agustus 1999 terjadi serangan DoS pada University of Minnesota. Serangan yang di lakukan oleh hacker ini mempergunakan tool yang di sebut ’Trinoo’ yang menyebabkan menciptakan gangguan pada target IP dengan membanjiri jaringan dengan paket UDP yang bersumber dari berbagai perangkat yang di kelompokkan dengan istilah ‘Master’ dan ‘Daemon’. Hal ini merupakan awal dari penambahan kata Distributed pada DoS attack, sehingga kemudian lebih sering di kenal dengan sebutan DDoS. 

Distributed Denial of Service attack atau di singkat dengan DDoS attack memiliki beberapa jenis kategori. Salah satunya yang baru saja saya sebutkan tadi. Pada episode ke 30 ini saya akan juga menjelaskan beberapa jenis kategori lainnya. Untuk bisa memahami secara lebih dalam terhadap kategori ini, kita perlu sejenak kembali kepada definisi bahwa komunikasi di Internet secara konseptual terjadi melalui 7 tahapan, yang kemudian di sebut dengan istilah Seven Layer OSI. Hal ini mengingatkan saya pada materi komunikasi data saat sedang mengambil S1 dulu. Komunikasi atau pertukaran data terjadi melalui tujuh layer tadi hingga kini masih dipergunakan sebagai pendekatan konseptual. Tujuh layer ini di mulai dari layer paling atas, atau layer ke tujuh, yaitu: Application Layer, di lanjutkan dengan Presentation layer, Session layer, Transport layer, Network layer, Data-link layer, hingga terakhir Physical Layer. Layer pertama atau layer terbawah di analogikan sebagai layer yang paling dekat dengan perangkat, sementara layer ke tujuh merupakan layer ke tujuh adalah layer terluar yang merupakan layer terakhir. Setiap pertukaran data antar perangkat pasti melalui seluruh tahapan layer ini. Dan tentunya serangan cyber attack yang terjadi juga akan di lancarkan pada satu atau beberapa dari ketujuh layer ini.

Dalam episode ini saya belum akan menjelaskan satu per satu dari fungsi ke tujuh layer OSI tadi. Melainkan hanya memberikan fokus kepada kategori dari DDoS attack. Kita mulai dari kategori serangan DDoS attack yang paling sering terjadi, yaitu: Volumetric attack. DDoS dengan kategori Volumetric attack akan memberikan fokus serangan kepada penggunaan seluruh bandwidth yang tersedia pada sisi target, sehingga layanan terkesan offline. Serangan ini meski bersumber dari ratusan atau bahkan ribuan IP address; namun dalam prakteknya di lakukan oleh satu atau lebih peretas yang memanfaatkan koordinasi dengan BOT yang sebelumnya telah di persiapkan. Besaran serangan tersebut di tentukan banyaknya BOT tadi. Menariknya, dalam kasus umum initiator serangannya sendiri hampir tidak melakukan penyerangan kepada target, selain hanya mengatur serangan yang seluruhnya bersumber dari BOT tadi. 

Selain DDoS Volumetric attack, terdapat kategori serangan lainnya yang akan kita bahas di sini. Kategori serangan ini di kenal dengan nama Application Layer attack. Atau di kenal dengan nama lain Layer 7 DDoS, sesuai dengan layer ke tujuh dari OSI layer. Serangan Layer 7 DDoS sulit di bedakan dari akses legal atau normal lainnya. Karena sama-sama mempergunakan Application Layer. Namun akumulasi aksesnya yang menyebabkan resource target komputer menjadi kesulitan bahkan tidak mampu lagi memproses dikarenakan ketidaktersediaan computing resource. Misalnya, aplikasi web yang menyediakan HTTP form login. Setiap proses data yang di isi pada form tersebut, tentunya akan di proses dengan membandingkan dengan data yang tersimpan hingga proses lainnya yang membutuhkan computing power seperti processor dan memory. Jika terjadi akumulasi dari request pada waktu yang sama sehingga berjumlah ribuan atau puluhan ribu, tentunya dapat menciptakan lonjakan penggunaan resource yang berpotensi membuat system menjadi slow response atau bahkan halted. Sender yang me-request tentunya tidak membutuhkan computing power yang tinggi, selain cukup untuk mengirimkan hasil keystroke ke server penerima. Tidak ada upaya ilegal yang di lakukan oleh sender, dan yang di lakukannya pun sama seperti akses legal lainnya. Hingga IP address sender pun terkesan legitimate sehingga sulit di bedakan. Bedanya peningkatan trafik disini di sebabkan oleh akses yang di lakukan oleh BOT pada layer ke tujuh. Peningkatan trafik disini tidak perlu memfokuskan untuk menghabiskan resources bandwidth, cukup dengan membebani computing power dari target perangkat. Sehingga pada akhirnya mengakibatkan kelambatan akses atau bahkan crash. Serangan ini bahkan bisa semakin kompleks. Hal ini dilakukan dengan upaya bervariasi. Di mulai dengan mentargetkan URL yang berbeda-beda pada target perangkat hingga penggunaan browser-agent yang beragam sehingga sulit untuk di lakukan proses filterisasi.

Setelah membahas Volumetric dan Layer 7 DDoS. Kini tentang serangan DDoS yang memberikan target Layer 3 dan 4 dari OSI Layer. Serangan ini di sebut dengan nama Protocol Attack. Di samping mentargetkan pada web server, serangan juga kadang ditujukan pada perangkat Firewall atau bahkan ada juga yang mentargetkan pada Load Balancer. Dalam setiap komunikasi antar perangkat, terdapat mekanisme standar yang di kenal dengan TCP handshake. Signal untuk membuka komunikasi pertama kali di kirimkan oleh perangkat sender, kemudian target perangkat akan mengirimkan response acknowledge. Dan menunggu konfirmasi final dari perangkat sender sebelum mulai menerima data dari sender. Segera setelah perangkat target mengirimkan konfirmasi tadi, bukannya menutup komunikasi, malahan sender mengirimkan kembali signal awal komunikasi. Seolah-olah ini adalah request baru. Dan untuk setiap permintaan komunikasi yang hendak di lakukan akan membuka jalur antrian baru pada perangkat penerima. Akumulasi request ini pada akhirnya akan menyebabkan perangkat tujuan akan mengalami kepenuhan jalur antrian sehingga pada akhirnya tidak mampu lagi untuk melayani request baru. Dan tentunya akan menghabiskan computing resource pada perangkat penerima. 

Selain dari Volumetric, Layer 7, dan Protocol attack; masih terdapat ragam varian DDoS lainnya seperti antara lain DNS Amplification. Tapi ketiga kategori attack yang saya bagikan disini mungkin cukup mewakili mayoritas serangan DDoS yang umum terjadi hingga tahun 2020 ini. Secara umum, serangan DDoS hanya berdampak pada availability dari layanan online. Namun besaran dari serangannya semakin hari semakin meningkat. Jika sebuah perusahaan menempatkan seluruh layanan online-nya pada on-premise, tentunya DDoS akan terbatas pada besaran bandwidth yang di gunakan. Dan dalam kasus ini, tentunya biaya koneksi Internet besarannya akan cenderung tetap untuk setiap waktunya. Tentunya akan berbeda jika pelanggan mempergunakan layanan Cloud yang mana besaran tagihan akan sangat dinamis dari waktu ke waktu. Pastinya peningkatan trafik akses ini berpotensi mempengaruhi besaran biaya operasional layanan cloud. Berpotensi yang saya maksudkan disini adalah perlu persiapan arsitektural yang khusus memperhatikan kemungkinan atas serangan DDoS sehingga mampu menekan dampak availabilitas dan juga pengaruhnya terhadap peningkatan tagihan pada periode berjalan. Inilah mengapa dalam s