Sunday, April 17, 2011

Ettercap DOS Attack dan Pertahanannya


1. Introduction

Apakah DOS attack sudah mati? SYN Flood mungkin sudah, Ping of Death mungkin sudah. Tapi yang satu ini masih belum. Ya, ettercap DOS attack.

Ettercap adalah sebuah program yang ditujukan sebagai sebuah sniffer, tetapi dalam perkembangannya justru mendapatkan tambahan fitur-fitur ke arah “man in the middle attack”. Paling tidak itulah yang dikatakan oleh man page.


Ettercap juga bisa digunakan untuk melakukan serangan “Denial of Service” terhadap server yang tidak dikonfigurasi dengan benar. Dalam tulisan ini akan dibahas tentang sedikit analisa yang sudah saya lakukan terhadap serang DOS ettercap, dan sedikit solusi untuk menanggulanginya. Sedikit? ya betul. Karena saya sangat menyadari analisa ini masih jauh dibawah standar. Jadi silakan kirim kritik, saran, caci-maki, ke nuragus[dot]linux[at]gmail[dot]com.


2. Memasang ettercap

 Untuk Linux distro Debian Etch, memasang ettercap sangat mudah. cukup “apt-get install ettercap” atau gunakan synaptics. Saya lebih suka synaptics. Hehehe…
Atau apabila tidak menggunakan Debian, atau tidak punya repo, ettercap dapat di download di:

source-code nya juga ada.

3. Penggunaan ettercap

 Untuk menyerang dengan DOS attack, kita harus menggunakan plug-in ettercap. Baik compile sendiri ataupun ambil dari repo, plug-in dos-attack sudah tersedia.

 4. Menyerang

 Untuk melakukan penyerangan, gunakan perintah:

 #ettercap -i eth0 -T -M arp // //

Dengan perintah diatas, ettercap akan melakukan “unified sniffing” terhadap semua alamat jaringan lokal. Tergantung netmask kita, ettercap akan me-scan 255 sampai 255^255 komputer.
Kemudian tekan “p” untuk me-load plug-in, dan ketikan dos_attack.
Kemudian masukkan ip-address server target, dan ip address yang tidak terpakai (kita sebut sebagai “fake-ip”).


Cukup segini saja, Bila server tidak memiliki pembatasan apapun, server akan “teler”.


Catatan:
serangan ettercap ini secara default hanya bisa dilakukan di jaringan lokal, alias jaringan dengan satu subnet. Kemungkinan besar ada cara untuk menforward paket-paket serangan keluar, tapi belum dicari dan dicoba ;)


5. Analisa
 Begitu dos-attack dimulai, ettercap akan mem-broadcast pesan untuk mengecek apakah “fake-ip” sudah digunakan atau belum. Jika “fake-address belum ada yang memakai, maka ettercap akan men-spoof komputer server dengan mengirimkan sebuah paket yang menyatakan bahwa ip-address “fake-ip” ada di MAC address sekian. Dimana MAC address nya adalah MAC address komputer penyerang.Namun, apabila “fake-address” sudah terpakai, maka ettercap akan menipu server target dengan mengatakan bahwa “fake-ip” ada di MAC address komputer penyerang.
 Setelah server target tertipu ARP dan MAC addressnya, langkah selanjutnya oleh ettercap adalah men-scan port TCP yang terbuka pada server target.
 Setelah ini baru kemudian ettercap men-flood port pada server target dengan packet SYN. paket dimodifikasi sehingga memiliki IP-Address asal “fake-ip” Jika server target berupaya untuk me-reply packet SYN tersebut, ettercap sudah menyiapkan ARP-reply palsu untuk mencegat balasan dari server target sehingga tidak sampai ke host dengan alamat “fake-ip”

6. Hasil yang diakibatkan
 Ada bermacam-macam efek tergantung pada konfigurasi server target dan kondisi service-service yang aktif. Pada server tanpa firewall dengan service apache2, mysql, ssh, samba, X, maka akan hang total. Mouse macet-macet sehingga tidak bisa digunakan. Yodi menyebut kondisi ini dengan istilah “teler”. Minimal, service yang disediakan oleh server akan melambat. Windows XP SP2 dengan apache, mysql, dan php tidak hang tetapi service http mati total.


Catalina(Tomcat) nampaknya memiliki konfigurasi default yang bagus sedemikian hingga ettercap tidak begitu berpengaruh pada layanan.


SUN Java System Application Server, JBOSS, belum dicoba.


7. Cara penanggulangan.
7.1 Dengan mengaktifkan rp_filter pada kernel. Caranya sederhana:
#cat 1 > /proc/sys/net/ipv4/conf/all/rp_filter
 atau gunakan script berikut:
 for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done

untuk memastikan rp_filter aktif pada semua device.
 Apa itu rp_filter?
rp_filter adalah sebuah flag(penanda) pada kernel yang bertipe boolean (0 berarti FALSE, 1 berarti TRUE). Ketika rp_filter flah bernilai 1(TRUE), maka setiap paket ARP yang datang ke komputer akan dicek asal-muasal kedatangannya, sebelum paket tersebut diproses lebih lanjut.


7.2 Mengaktifkan firewall dengan iptables.


Buat default policy adalah REJECT dengan command berikut:

#iptables --policy INPUT DROP
#iptables --policy OUTPUT DROP
#iptables --policy FORWARD DROP

 Kemudian perbolehkan host lain mengakses service pada port yang diperbolehkan, misalnya port 80:
 #iptables -A INPUT -p tcp --dport 80 -j ACCEPT
 Kedua cara diatas untuk sementara ini sudah berhasil mengatasi serangan ettercap dos_attack. Namun, mungkin kedepannya harus terus dikembangkan proteksi-proteksi yang lebih njlimet tapi fleksibel demi mencapai keamanan server dan kenyamanan pengakses sah server.

 8. Kesimpulan
Ettercap adalah sebuah tools yang sangat handal. Yang dibahas pada artikel ini bahkan hanyalah satu plug-in saja dari ettercap. Dengan konfigurasi yang tepat, maka server dapat diamankan dari serangan dos_attack ettercap.

0 comments:

Post a Comment