Packet Marking Algorithm for IP Traceback
Abstrak
Tulisan yang akan dibuat menjelaskan sebuah teknik untuk menelusuri serangan flooding paket anonymous di Internet, sampai ke sumber serangannya. Hal yang memotivasi penelitian ini adalah semakin meningkatnya frekuensi dan kecanggihan serangan denial-of-service (DoS-attack), dan sulitnya cara penelusuran paket-paket dengan alamat sumber yang tidak benar (di-spoof). Akan dijelaskan sebuah mekanisme traceback, berdasarkan penandaan paket (packet marking) di dalam network. Teknik ini memungkinkan “korban” mengidentifikasi jejak (path) traffic serangan yang terbentang di sepanjang network, tanpa memerlukan dukungan interaktif dari Internet Service Provider (ISP). Lebih jauh lagi, teknik traceback ini dapat dilakukan secara “post mortem”—setelah suatu serangan terjadi. Disajikan pula implementasi dari teknik ini, yang (kebanyakannya) backward compatible, dan dapat diimplementasikan secara efisien dengan menggunakan teknologi yang konvensional.
Pendahuluan
Serangan denial-of-service (DoS-attack) menghabiskan sumberdaya dari suatu remote host atau suatu jaringan komputer, sehingga mengurangi pelayanan, bahkan menolak melayani, user yang legal. Serangan semacam ini termasuk ke dalam masalah keamanan yang paling sukar ditangani sebab serangan semacam ini sangat mudah dilakukan, sukar ditanggulangi, dan sangat sukar untuk ditelusuri. DoS-attack yang dilakukan di Internet telah bertambah dalam hal frekuensi, keganasan, dan kecanggihannya. Antara tahun 1989 sampai 1995, jumlah serangan semacam ini yang dilaporkan ke badan Computer Emergency Response Team (CERT) bertambah 50% per tahun. Laporan terakhir, pada laporan survey CSI/FBI tahun 1999, 32% responden mendeteksi adanya serangan ini ke situs mereka. Bahkan lebih mengkhawatirkan lagi, laporan terakhir mengindikasikan bahwa para penyerang telah membangun tools untuk mengkoordinasikan serangan tersebar (distributed attacks) dari banyak situs yang berbeda.
Sayangnya, mekanisme untuk menangani DoS-attack tidak berkembang pada waktu yang bersamaan. Kebanyakan usaha pada wilayah ini terfokus pada mentolerasi serangan dengan mengurangi akibat yang ditimbulkan serangan tersebut pada ‘korban’. Pendekatan ini dapat memberikan penanganan darurat sementara yang cukup efektif, akan tetapi tidak menghilangkan masalahnya sama sekali, juga tidak menakut-takuti para penyerang. Saran lain, dan fokus dari tulisan ini, adalah dengan menelusuri serangan sampai ke asalnya—yang idealnya dapat menghentikan serangan pada sumbernya.
Solusi sempurna masalah ini dipersulit pencapaiannya karena penggunaan yang potensial dari ‘launder’, asal penyebab sesungguhnya dari sebuah serangan. Sebagai contoh, sebuah serangan mungkin terdiri dari paket-paket yang dikirim dari berbagai mesin slave yang berbeda, yang kesemua mesin tersebut dikendalikan oleh sebuah mesin master dari jauh. Ke-tertidaklangsung-an semacam ini dapat tercapai baik secara eksplisit (dengan menyuruh pengelola slave secara individual) atau secara implisit (dengan mengirim request palsu atas nama korban—hal ini disebut reflector). Lebih menantang lagi, asal serangan sesungguhnya dan identitas penyerang dapat disembunyikan lewat serangkaian computer account palsu, call forwarding, dan sebagainya.
Yang akan dibahas di sini adalah cara mengidentifikasi mesin-mesin yang digunanakan untuk menghasilkan serangan secara langsung, dan jalur jaringan (network path) yang dilalui oleh serangan. Pada setting ini, bahkan informasi yang tidak lengkap, atau hanya pendekatan, merupakan informasi yang berharga.
Akan tetapi, bahkan untuk masalah yang terbatas ini, menentukan sumber yang menghasilkan serangan merupakan hal yang luar biasa sukar. Hal ini disebabkan karena sifat stateless dari Internet routing. Para penyerang secara rutin menyembunyikan lokasi mereka dengan cara menggunakan alamat IP yang salah (spoofing). Bersamaan dengan paket-paket serangan yang menjalar di Internet, alamat sumber aslinya menjadi hilang dan korban hanya memiliki sedikit informasi yang berguna. Pada saat ini telah terdapat beberapa teknik tracebak khusus yang digunakan, teknik-teknik ini memiliki beberapa kekurangan yang membatasi penggunaan praktisnya pada Internet saat ini.
Pendekatan yang akan dibahas pada tulisan ini membutuhkan kerjasama antara korban dan operator jaringan (ISP). Solusinya adalah dengan menandai paket-paket data—secara probabilistik—dengan informasi sebagian path pada saat informasi ini tiba di router-router. Pendekataan ini memanfaatkan kenyataan bahwa dalam pengamatan, serangan-serangan biasanya terdiri dari sejumlah besar paket. Dengan demikian setiap paket yang telah ditandai akan hanya memberikan ‘secuil’ path yang telah dilaluinya, dan dengan menyatukan sejumlah paket semacam ini—dalam jumlah yang cukup—korban dapat merekonstruksi keseluruhan path. Hal ini memungkinkan korban menentukan kira-kira lokasi sumbar serangan tanpa membutuhkan bantuan dari operator-operator jaringan yang lain. Lebih jauh lagi, penentuan sumber serangan ini dapat dilakukan bahkan setelah serangan terjadi.
Leave a comment
Diharapka Memberikan Informasi Dan Feedback Yang sekiranya pantas Untuk Dibaca Ok .Kritikan Diterima Dengan Senang Hati....