Pada tanggal 22 April 2016 lalu diadakan acara sharing Indonesia Honeynet Project di Universitas Atmajaya. Acara ini merupakan pertemuan para member Honeynet chapter Indonesia. Pada acara ini ada 3 member yang sharing hasil penelitiannya. Mario, Rio dan Gede. Presentasi Mario dan Rio telah saya share pada tulisan sebelumnya. Kali ini saya coba share tentang materi presentasi Analisa trafik DNS yang disampaikan oleh Gede Widagdo. Ini merupakan materi terakhir. Judul lengkapnya DDos Analysis using DNS traffic.
Mas Gede ini muridnya pak Charles di SGU. Di kelas tentang Digital Forensik, para siswa diminta Pak Charles untuk melakukan Forensik. Temanya bebas. Mas Gede memilih tema Forensic trafik DNS pada kasus serangan DDoS. Jadi beliau melakukan analisa trafik DNS pada sebuah ISP, kemudian dipelajari seberapa besar pengaruh serangan DDoS terhadap trafik DNS. Menurut beliau hampir dari keseluruhan trafik jaringan di ISP tempat dia mengumpulkan data 80% nya adalah trafik DNS. Dari hasil risetnya ternyata sebagian besar trafik DNS tersebut adalah trafik malicious.
Beliau coba melakukan parsing data trafik DNS kemudian coba mengklasifikasikan IP asal dan IP penerima. Hasilnya 50% trafik DNS pada ISP tersebut berasal dari beberapa IP yang sama. Sementara IP tujuannya sama. Ini merupakan sebuah kejanggalan, sehingga muncul dugaan bahwa trafik DNS ini digunakan untuk serangan DDoS.
Diduga IP pengirim ini terinfeksi malware, sehingga secara terus menerus mengirimkan DNS query dalam jumlah besar. Dari hasil analisa malware ini memanfaatkan kesalahan konfigurasi DNS dari korban. Korban diketahui menggunakan Mikrotik. Penyerang memanfaatkan fungsi allow recursion. Sehingga korban dimanfaatkan untuk menjadi DNS reflector.
Mas Gede cerita juga tentang beberapa kasus DDoS, diantaranya server Yahoo pernah dibanjiri trafik sampai 800 Gbps. Server Telkom Speedy juga pernah diserang dengan trafik sebanyak 200 Gbps.
Menurut beliau DDoS dapat dibagi 2 macam, ada Bandwidth Depletion dan Resource Depletion. Bandwidth Depletion berarti korban diserang dengan trafik dengan jumlah Bandwidth yang sangat besar, sampai down. Sementara Resource Depletion, yang dibanjiri hanya layanan tertentu, misalnya port 80, sehingga komputer korban masih hidup hanya saja port 80 tidak bisa diakses. Resource Depletion menggunakan trafik yang lebih kecil dan lebih terarah ke service tertentu.
Teknik pencegahan serangan DDoS ini diantaranya dengan menggunakan konsep Anycast. Selain itu bisa menggunakan beberapa tools Anti DDoS, misalnya Arbor. /Beliau bercerita juga tentang beberapa paper tentang anti DDos, misalnya paper yang dibuat Gil dan Poletto, bisa dilihat dibawah ini:
MULTOPS: a data-structure for bandwidth attack detection
selain itu ada juga paper di Mirkovic, bisa dilihat pada link berikut:
A taxonomy of DDoS attack and DDoS defense mechanisms
Semoga Bermanfaat!