Memeriksa dan Menghentikan Jika serangan DDOS Sedang Terjadi

Distributed denial-of-service attacks
Dalam serangan terdistribusi, komputer sering menyerang komputer pribadi dengan koneksi broadband ke Internet yang telah dikompromikan oleh virus atau program Trojan horse. Ini memungkinkan pelaku untuk kontrol jarak jauh mesin untuk langsung menyerang, dan seperti sebuah array dari komputer disebut botnet. Dengan budak seperti slave atau zombie host, layanan bahkan situs terbesar dan paling baik yang terhubung dapat terganggu.

Distributed denial-of-service
Sebuah serangan denial-of-service (juga, Serangan DoS) merupakan serangan terhadap sistem komputer atau jaringan yang menyebabkan hilangnya layanan kepada pengguna, biasanya hilangnya konektivitas jaringan dan layanan dengan mengkonsumsi bandwidth jaringan korban atau overloading komputasi sumber daya dari sistem korban. Serangan dapat diarahkan pada setiap perangkat jaringan, termasuk router dan Web, surat elektronik, dan server Domain Name System.

Serangan DoS dapat dilakukan dalam beberapa cara. Ada empat jenis dasar serangan:

1) konsumsi atau overload sumber daya sistem atau jaringan, seperti bandwidth, disk space, atau waktu CPU
2) gangguan informasi konfigurasi, seperti informasi routing
3) gangguan komponen jaringan fisik
4) gangguan sistem operasi yang normal fungsi dengan memanfaatkan kerentanan perangkat lunak.


Upaya untuk "Flood" jaringan dengan paket palsu, sehingga mencegah lalu lintas jaringan yang sah, adalah bentuk paling umum dari serangan, sering dilakukan dengan mengganggu konektivitas jaringan dengan menggunakan beberapa host dalam serangan distributed denial-of-service atau DDoS. Serangan tersebut dapat mengkonsumsi sumber daya sistem intervensi dan jaringan di mana serangan itu ditransmisikan. Selain paket tidak benar dibentuk atau lalu lintas acak, dua cara canggih khusus serangan meliputi:

1) serangan smurf, di mana permintaan ICMP dikirim ke alamat broadcast jaringan terkonfigurasi, faked atau spoofed, source IP Address ke salah satu target.
2) SYN Flood, SYN palsu di mana permintaan untuk layanan (HTTP sering) menyebabkan server menjadi overload dengan half-open koneksi

Anda dapat memeriksa penggunaan http saat ini dengan menembakkan perintah shell

top-d2

Jika Anda mendapatkan banyak proses httpd, maka Anda harus memeriksa apakah itu adalah serangan DoS dan server adalah dengan paket SYN Flood. Anda dapat memeriksa ini dengan perintah berikut.

netstat -nap | grep SYN | wc -l

Jika Anda mendapatkan nomor abnormal kemudian server Anda sedang diserang.
Anda dapat memeriksa dari mana IP SYN paket yang datang. Berikan perintah berikut

netstat -nap | less

Anda akan mendapatkan semua rincian tabel routing dari kernel yang juga IP dari mana paket datang. Jika datang dari IP tertentu maka bahwa Anda hanya dapat memblokir IP pada server. Atau jika dari satu jaringan maka Anda akan memiliki untuk memblokir kisaran IP. Jika ada beberapa IP yang menyerang maka Anda harus menemukan situs yang sedang diserang.
Untuk memeriksa ini, cek :

/usr/local/apache/domlogs/

Periksa bagaimana Stat tanggal yang didefinisikan. Kemudian jalankan perintah "date". Periksa waktu saat ini dari server. Kemudian Anda harus memeriksa situs yang diserang sebelum menit yang lalu. Misalkan waktu saat ini 21 Januari 2012 9:32:27 kemudian jalankan perintah

grep "21/Jan/2012:09:32" *

Ini akan menampilkan daftar situs diakses pada waktu itu. Jika Anda melihat situs tertentu sedang diakses beberapa kali, maka situs tersebut diserang. Anda dapat mengganti waktu untuk memeriksa apakah situs yang berbeda berada di bawah serangan. Anda dapat menangguhkan situs yang untuk mencegah server dari overloading.

Banyak kali serangan hits IP tertentu dan semua situs yang memiliki bahwa IP bisa menyerang. Yang harus Anda lakukan adalah mengubah IP dari situs tersebut dan kemudian nol-rute IP itu.

Ini adalah langkah-langkah sederhana yang harus Anda ikuti ketika serangan terjadi. Anda akan menemukan banyak cara untuk memecahkan masalah ini.

Posted in: