Jenis Serangan DDoS Terbaru Lebih Kuat Dari Sebelumnya

cara mitigasi serangan ddos terbaru
Serangan DDoS terbaru memanfaatkan kerentanan UPnP.

Sekarang, ada berita tentang tipe serangan DDoS terbaru. Metode serangan ini dirancang untuk menghindari langkah-langkah mitigasi DDoS. Hal ini dapat lebih menyebabkan suatu jaringan menjadi lumpuh.

Serangan Denial of Service (DDoS) terdistribusi termasuk masalah keamanan cyber yang cukup besar. serangan Tren DDoS mereka semakin buruk. Menurut Laporan Investigasi DDoS Worldwide & Cyber ​​Insights Worldwide, Mei 2016, 84% dari 1.010 organisasi yang disurvei mengalami setidaknya satu serangan DDoS signifikan dalam dua belas bulan terakhir, naik dari 73% pada tahun 2016.

86% dari organisasi yang disurvei telah melaporkan mengalami serangan DDoS dalam periode waktu tersebut. Dibandingkan tahun 2016, dalam laporan tahun 2017 ada dua kali lebih banyak serangan DDoS yang menggunakan lebih dari 50 Gbps data. Kemungkinan 2018 akan lebih buruk lagi.

Serangan DDos Terbaru via UPnP

Peneliti keamanan di Imperva telah menemukan teknik serangan DDoS terbaru. Mereka memblokir penyerang maya yang menggunakannya teknik tersebut, dan mereka mampu mereplikasi serangan itu sendiri.

Protokol Universal Plug and Play (UPnP) dirancang untuk memfasilitasi penemuan perangkat melalui jaringan menggunakan port UDP 1900.Kemudian serangan dapat menggunakan port TCP untuk kontrol perangkat. UPnP sering digunakan dalam LAN sehingga router, printer, dan perangkat klien lainnya dapat berkomunikasi. Ketika diterapkan dengan benar, ini dapat mempermudah pekerjaan administrator jaringan.

Sayangnya, UPnP memiliki sejumlah kerentanan umum. Pengaturan standar dapat membiarkan UPnP terbuka bagi penyerang cyber. Serangan DDos terbaru tersebut dapat memanfaatkan kerentanan ini, jika protokol tidak memiliki mekanisme otentikasi. Ada juga banyak kerentanan eksekusi remote-code yang khusus untuk UPnP.

Serangan DDoS secara umum sering di mitigasi dengan mengidentifikasi port sumber tertentu dan memblokir lalu lintas mereka. Namun dengan menargetkan UPnP, penyerang dunia maya dapat dengan mudah menutupi port sumber yang mereka eksploitasi.

UPnP dibuat untuk meneruskan koneksi Internet ke LAN dengan memetakan koneksi port IP ke layanan port IP lokal. Router hanya mengizinkan koneksi port internal untuk melewati UPnP, tetapi beberapa router memverifikasi bahwa mereka adalah internal. Kerentanan itu dapat dimanfaatkan oleh serangan DDoS terbaru untuk mengarahkan koneksi eksternal mereka ke LAN yang ditargetkan. Jika penyerang dapat meracuni tabel pemetaan port, mereka dapat mengeksploitasi router sebagai proxy.

Menggunakan hal tersebut dalam mengeksploitasi untuk menutupi port sumber mereka, penyerang cyber dapat melanjutkan untuk mengeksekusi serangan DDoS amplifikasi (serangan DDoS yang semakin kuat dan dan dapat di replikasi).

Ciri khas serangan DDoS amplifikasi menggunakan port sumber yang memperkuat serangan. Jadi dengan memblokir port tertentu, serangan tersebut biasanya dapat dikurangi. Sayangnya, itu tidak berlaku untuk serangan DDoS amplifikasi yang mengeksploitasi UPnP.

Serangan UPnP DDoS dalam Prakteknya

Imperva berhasil memitigasi serangan UPnP DDoS yang mereka temukan pada 11 April 2018. Mereka mengamati serangan amplifikasi SSDP (Simple Service Discovery Protocol). Beberapa muatan SSDP berasal dari port sumber yang tak terduga, bukan port UDP 1900.

Peneliti Imperva sempat bingung dengan apa yang mereka lihat. Untuk membantu menemukan apa yang sedang terjadi, mereka akhirnya membuat proof-of-concept yang menggunakan UPnP untuk mengaburkan port sumber serangan amplifikasi DDoS. Dan ini berhasil.

Berikut langkah serangan DDoS terbaru tersebut:

  • Langkah pertama dalam membentuk konsep ini adalah menggunakan mesin pencari Shodan untuk menemukan router UPnP yang dapat dieksploitasi. Perangkat tersebut sering memiliki file “rootDesc.xml”, jadi begitulah cara pencarian dilakukan.
  • Begitu mereka menemukan router UPnP yang dapat dieksploitasi, mereka mengakses file XML melalui HTTP dengan mengubah alamat IP lokasi file.
  • Langkah selanjutnya adalah mengedit file “rootDesc.xml” untuk mengubah aturan port forwarding.
  • Aturan harus dimodifikasi sedemikian rupa untuk menahan penyerang mengarahkan koneksi IP eksternal ke IP internal.

Untuk mengatur tahapan serangan DDoS terbaru tersebut diperlukan pengatuan:

  • Permintaan DNS dikirim ke router UPnP yang ditargetkan melalui port UDP 1337.
  • Berkat aturan penerusan port baru, permintaan dikirim ke DNS resolver melalui port tujuan UDP 53.
  • Resolver menanggapi perangkat melalui port sumber UDP 53.
  • Kemudian port sumber diubah ke port UDP 1337, dan router UPnP yang ditargetkan meneruskan respons DNS ke sumber permintaan.

Dengan langkah tersebut, serangan DDoS amplifikasi kemudian dapat dijalankan dan sebagian besar metode mitigasi DDoS tidak akan dapat menghentikannya.

cloud managed services Indonesia
Metode yang sama ditunjukkan dalam konsep bukti Imperva dapat digunakan dengan serangan NTP dan SSDP alih-alih DNS. Serangan DDoS memcached bisa menggunakan metode upfungsi UPnP yang baru juga.

Memitigasi Metode Serangan DDoS Terbaru Ini

Jadi bagaimana metode serangan DDoS terbaru ini dapat diatasi?

Menurut Imperva:

“Dengan sumber informasi IP dan port tidak lagi berfungsi sebagai faktor pemfilteran yang andal, jawaban yang paling mungkin adalah untuk melakukan pemeriksaan paket dalam (DPI) untuk mengidentifikasi muatan amplifikasi — proses yang lebih intensif sumber daya, yang menantang untuk bekerja pada tingkat inline tanpa akses ke peralatan mitigasi khusus. ”

Apakah serangan DDoS pada 11 April tersebut benar-benar mengeksploitasi UPnP untuk mengacaukan port?

“Perlu dicatat bahwa Impreva juga mempertimbangkan hipotesis alternatif untuk serangan yang mendorong penyelidikan. Misalnya, bahwa kejadian tersebut dapat dijelaskan oleh pengaturan jaringan internal atau konfigurasi penerusan tujuan, yang secara tidak sengaja mengakibatkan kekacauan komunikasi antar port. ”

Tapi serangan amplifikasi DDoS lain yang ditemukan oleh peneliti Imperva pada 26 April mendukung hipotesis asli mereka seperti yang ditunjukkan dalam bukti konsep mereka. Serangan 26 April dieksekusi melalui vektor amplifikasi NTP. Beberapa payload berasal dari port sumber yang bukan port UDP biasa 123. Serangan itu berperilaku seperti bukti konsep mereka, menggantikan DNS untuk NTP.

Jadi jika UPnP obfuscation lebih sering digunakan oleh penyerang cyber untuk mengeksekusi serangan DDoS amplifikasi yang menghindari langkah-langkah mitigasi DDoS biasa, lebih banyak router akan harus menerapkan inspeksi paket secara mendalam. Ini mungkin membutuhkan lebih banyak sumber daya, tetapi mungkin benar-benar diperlukan karena serangan DDoS terus berevolusi.