Denial of service yang biasa disingkat dan disebut DOS (bukan
dos-prompt microsoft) merupakan salah satu tipe serangan attacker kearah
jaringan yang bertujuan untuk menghentikan sementara atau selamanya
fungsi operasi dari sebuah system.
Secara umum ada 4 macam
jenis serangan DOS, walaupun tidak menutup kemungkinan terjadinya flood
atau jenis serangan DOS lainnya. Sekaligus disini juga akan dituliskan
rule penangkalnya pada MikroTik Router dengan asumsi MikroTik RouterOS
telah difungsikan sebagai router sebelumnya serta jalur koneksi telah
benar (invalid, stabilished, related dan sebagainya). 4 type serangan
DOS terdiri dari:
1. Ping Of Death.
Attackers
mengirimkan serangkaian paket data ke target yang tidak sesuai ketentuan
aturan jaringan. Jika secara terus menerus bisa mengakibatkan jalur
koneksi penuh dan berakibat drop nya server karena tidak bisa menampung
kebutuhan tersebut.
Penangkalnya, buat rule dengan accept icmp yang ter-filter:
/ip firewall filter
add chain=input protocol=icmp action=jump jump-target=icmp
add chain=icmp protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept comment="Limited Ping Flood" disabled=no
add chain=icmp protocol=icmp icmp-options=3:3 limit=5,5 action=accept comment="" disabled=no
add chain=icmp protocol=icmp icmp-options=3:4 limit=5,5 action=accept comment="" disabled=no
add chain=icmp protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept comment="" disabled=no
add chain=icmp protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept comment="" disabled=no
add chain=icmp protocol=icmp action=drop comment="" disabled=no
2. SYN Flood.
Attackers
mengirimkan paket TCP SYN ke objek target, sehingga berdampak objek
target mengalami hang karena harus menyelesaikan proses koneksi dalam
jumlah yang tak terbatas dan berakibat resources yang dimiliki mengalami
drop.
Penangkalnya, buat rule dengan accept TCP-SYN yang ter-filter:
/ip firewall filter
add chain=input protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect comment="Flood protect" disabled=no
add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new action=accept comment="" disabled=no
add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new action=drop comment="" disabled=no
3. Land/Lattiera.
Serangan
yang dilakukan oleh Attackers dengan mengirimkan paket SYN, yang
memiliki alamat port/source yang sama dengan objek target.
Penangkalnya,
lakukan hal yang sama pada cara menangkal SYN-FLOOD, hanya saja disini
ditambahkan "chain forward" akses SYN, yang mana dibelokkan (jump) ke
"chain SYN-Protect". Sehingga rule-nya menjadi seperti berikut:
/ip firewall filter
add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect comment="Flood protect" disabled=no
add chain=input protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect comment="" disabled=no
add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new action=accept comment="" disabled=no
add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new action=drop comment="" disabled=no
4. WinNuke.
Pengiriman
data OOB/ORG pada koneksi dengan menggunakan TCP ke port 139 (NetBios
Session/SMB) yang berakibat OS (dalam hal ini adalah windows) mengalami
hang.
Penangkalnya, tutup protocol tcp yang menggunakan
port 139, begitu juga protocol udp port 139 untuk menghindari hal yang
tidak diinginkan:
/ip web-proxy direct
add dst-port=139 action=deny comment="" disabled=no
/ip firewall mangle
add chain=prerouting protocol=tcp dst-port=139 action=mark-connection new-connection-mark=drop-port
add chain=prerouting protocol=udp dst-port=139 action=mark-connection new-connection-mark=drop-port
/ip firewall filter
add chain=input connection-mark=drop-port action=drop comment="drop port" disabled=no
add chain=forward connection-mark=drop-port action=drop comment="" disabled=no
Sengaja
ditambahkan rule "forward" yang mana artinya koneksi tersebut berasal
dari jaringan dalam, untuk menghindari hal yang tidak diinginkan,
terkadang Attacker juga bisa berasal dari dalam jaringan kita sendiri.
Salam Codet
http://feeds.feedburner.com/blogspot/KLBuX
https://www.facebook.com/pages/GreenBerret/206210029408584
