DDOS (denial-of-service attacks) adalah jenis serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang tersebut.
Dalam sebuah serangan Denial of Service, si penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut:
- Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding.
- Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request flooding.
- Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar dengan menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan server.
Salah satu serangan mematikan dan menjadi suatu momok yang paling di benci oleh salah adminstrasi web jaringan adalah DDOS.
Pada saat server terasa berat ada kemungkinan anda terkena serangan DDOS. klo masih sempet kebuka sih masih bisa banned ip yang melakukan bad request ke server kita .. kita bisa cek dengan perintah :
netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
- Akan tampil muncul daftar IP seperti ini
6 218.56.1.***
7 36.68.197.**
7 67.186.145.**
7 49.114.132.**
11 218.30.103.**
17 72.246.47.**
17 72.246.47.**
30 74.125.129.**
** **** - Warna merah menunjutkan jumlah koneksi dan biru nomor IP.
- Menurut referensi koneksi web tidak lebih dari 10 koneksi per IP per detik , apabila terdapat lebih dari 20 koneksi dengan IP yang sama, ada kemungkinan IP tersebut melakukan DDOS, namun setelah saya cek ternyata IP dengan koneksi berlebih tersebut google bot dan search engine lain.
Cara lain adalah dengan install tools , yaitu dengan DDOS-Deflate
ok sekarang login ke terminal pada server anda. Lewat SSH ato koneksi apa saja yang penting pada terminal ato console.
Untuk sesi kali ini saya akan berbagi tentang pemakaian DDOS-Deflate di mana tools ini akan membantu anda dalam pengamanan dari serangan DDOS.
download toolsnya :
wget http://www.inetbase.com/scripts/ddos/install.sh
–2011-06-17 22:19:13– http://www.inetbase.com/scripts/ddos/install.sh
Resolving http://www.inetbase.com… 205.234.99.83
Connecting to http://www.inetbase.com|205.234.99.83|:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 1067 (1.0K) [application/x-sh]
Saving to: `install.sh’
100%[======================================>] 1,067 –.-K/s in 0s
2011-06-17 22:19:15 (27.5 MB/s) – `install.sh’ saved [1067/1067]
root@id-backtrack:~# ls
install.sh
nah setelah di download kita ubah chmod nya dulu agar dapat di esekusi ,
chmod 0700 install.sh
./install.sh
nah klo sudah terinstall teman-teman dapat mengedit file-file configurasi sesuai kehendak..
Untuk whitelist IP
vim /usr/local/ddos/ignore.ip.list
Untuk konfigurasi utamanya ada di
vim /usr/local/ddos/ddos.conf
kira – kira seperti ini defaultnya .. kalo saya edit2 dikit sih
##### Paths of the script and other files
PROGDIR=”/usr/local/ddos”
PROG=”/usr/local/ddos/ddos.sh”
IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list”
CRON=”/etc/cron.d/ddos.cron”
APF=”/etc/apf/apf”
IPT=”/sbin/iptables”
##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with –cron
##### option so that the new frequency takes effect
FREQ=1
##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150
##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=1
##### KILL=0 (Bad IPs are’nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1
##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO=”root”
##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600
Dan Cara terakhir adalah dengan memasang mod_evasive di server anda
mod_evasive adalah modul untuk mengatasi serangan pada Apache, untuk memberikan tindakan mengelak serangan HTTP DoS atau DDoS atau serangan brute force. Hal ini juga dirancang untuk menjadi Deteksi dan alat manajemen jaringan, dan dapat dengan mudah dikonfigurasi untuk terhubung dengan ipchains, firewall, router, dan dan sebagainya. mod_evasive dapat melaporkan pelanggaran tersebut melalui email dan syslog fasilitas.
cara instalasinya :
1. Akses VPS/DS anda menggunakan ssh client (putty/tunnelier)
2. Chdir ke /usr/local/src dengan perintah
cd /usr/local/src
3. ambil pake mod_evasive
wget http://www.zdziarski.com/blog/wp-content/uploads/2010/02/mod_evasive_1.10.1.tar.gz
4. Extract paket tersebut
tar -xzf mod_evasive_1.10.1.tar.gz
5. Pindah ke direktori hasil extract
cd mod_evasive
6. Build modulnya
/usr/bin/apxs -cia mod_evasive20.c
7. Done
Konfigurasi:
1.Edit file httpd.conf anda, bila anda menggunakan cPanel/WHM, file httpd.conf terletak di /usr/local/apache/conf/
nano /usr/local/apache/conf/httpd.conf
2. tambahkan baris berikut ke file tersebut:
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
DOSEmailNotify webmaster@yourdomain.com
3. Kemudian simpan dan jalankan perintah berikut untuk mengupdate konfigurasi httpd (cPanel/WHM only):
/usr/local/cpanel/bin/apache_conf_distiller –update
/usr/local/cpanel/bin/build_apache_conf
4. Restart webserver anda dengan perintah:
service httpd restart
atau
/etc/init.d/httpd restart
5. Selesai
Mari kita test apakah modulnya telah berjalan ?
1. Masuk ke direktori src mod_evasive td
cd /usr/local/src/mod_evasive
2. beri akses executable pada file test.pl
chmod +x test.pl
3. jalankan file tersebut
./test.pl
Bila anda melihat hasil berikut brarti instalasi anda sukses :-bd
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
………dipotong……..
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
………dipotong……..
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden