ASSALAMU'ALAIKUM WARAHMATULLAHI WABARAKATUH
Hallo teman - teman... kita ketemu lagi, kali ini kita akan membahas keamanan lagi tapi dengan slowhttp. Wah apa itu slowhttp? yuk simak penjelasan berikut...
PEGERTIAN
SlowHTTP adalah teknik serangan pada jaringan atau server, terutama yang bertujuan untuk membuat server tidak dapat melayani permintaan pengguna lain (DoS/DDoS). Serangan ini memanfaatkan cara server menangani koneksi HTTP dengan mengirimkan permintaan yang sangat lambat, sehingga server kehabisan sumber daya.
CARA KERJA
Penyerang mengirimkan header HTTP dengan kecepatan super lambat, sedikit demi sedikit, supaya koneksi tetap terbuka lama. Akibatnya, server sibuk melayani koneksi palsu ini dan jadi lambat atau bahkan crash. Mirip dengan header, tapi fokusnya pada isi permintaan HTTP. Data dikirim sangat lambat sehingga server terjebak mempertahankan koneksi. Server diserang dengan mengirim permintaan membaca data sangat pelan, sehingga koneksi tetap "terpakai" oleh penyerang.
TUJUAN
- Melumpuhkan Server (DoS/DDoS):
- Menguji Ketahanan Server
- Membuat layanan tidak stabil
- Menyiapkan serangan lebih besar dengan mengganggu sistem keamanan.
LANGKAH - LANGKAH
note: kita harus install web server dulu yaaa, jika sudah ikuti langkah instalasi dan konfigurasi attack with slowhttp. Untuk ini kita memakai ip dhcp atau disini saya di ip enp0s3.
(Ini di Debian Penyerang)
1. Ketik perintah ip a untuk melihat apakakh sudah mendapatkan ip dhcp maupun static.
2. Install slowhttp dan nmap terlebih dahulu, dengan ketik perintah apt install slowhttptest nmap. Lalu ketik y.
3. Ketik perintah nmap -sVC -O ip target.
-sVC = scanning service/versi yang ada di target.
-O = scanning detail OS yang digunakan target.
4. Ketik perintah slowhttptest -c 500000 -H -r 200 -t GET -u https://192.168.1.4(ip dhcp kamu)/ -x 24 -p 3 -l 9999
- -c 50000 = Mengatur jumlah 500.000 koneksi yang akan dibuka. Ini artinya kamu berpura-pura menjadi ratusan ribu "klien" yang mengakses server sekaligus.
- -H = Menyatakan bahwa kamu akan mengirimkan serangan berupa HTTP Header yang lambat. Jadi, header HTTP dikirim perlahan untuk membuat server sibuk memproses.
- -r 200 = Menentukan kecepatan pengiriman, yaitu 200 koneksi per detik. Jadi, alat ini akan membuka 200 koneksi setiap detik.
- -t GET = Jenis permintaan yang digunakan adalah GET request (permintaan untuk mendapatkan data dari server).
- -u https://192.168.1.4 = Alamat URL target, yaitu server yang ingin diuji. "192.168.1.4" adalah IP lokal yang mungkin digunakan oleh perangkat dalam jaringan DHCP kamu.
- -x 24 = Mengatur timeout koneksi ke 24 detik. Koneksi dibiarkan menggantung (menunggu lama), membuat server kelebihan beban.
- -p 3 = Menentukan jeda waktu 3 detik antara pengiriman potongan header HTTP. Ini untuk menjaga koneksi tetap hidup dan lambat.
- -l 9999 = Mengatur durasi pengujian menjadi 9.999 detik (sekitar 2,7 jam). Selama waktu ini, server akan terus diserang.
Maka akan tampil seperti ini, dan tunggu service available sampai menjadi NO.
(Ini di Debian Target/yang Kena Serang/Debian yang Sudah di Install Web Server)
5. Ketikkan ip dhcp kalian di chrome atau sejenisnya. Pada sebelum penyerangan website masih belum mengalami down/eror.
Dan ini tampilan setelah terkena penyerangan Ddos, maka web kalian akan mengalami down/eror.
DEFENSE SERANGAN DDOS
Untuk terhindar dari serangan kita harus melakukan defanse atau firewall agar data kita tidak diserang oleh pihak yang tidak berwenang. yuk simak langkah - langkah nyaa.
note: ini di konfigurasikan di debian target/yang diserang.
1. Lakukan installasi rsyslog, iptables, iptables-persistent, dengan ketik perintah apt install rsyslog iptables iptables-persistent, lalu klik y.
rsyslog =Untuk mencatat aktivitas sistem ke log.iptables =Untuk mengatur firewall dan keamanan jaringan.iptables-persistent =Supaya aturan firewall dari iptables tetap ada setelah restart.
Pilih Yes karena kita menggunakan ipv4.
Pilih No karena kita tidak menggunakan ipv6.
2. Ketik perintah iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 32 -j LOG --log-prefix='serangan-DDOS'
- -A INPUT = digunakan untuk memproses koneksi masuk (inbound traffic) ke server kamu.
- -p tcp = Aturan ini hanya berlaku untuk protokol TCP, biasanya digunakan untuk layanan seperti HTTP (port 80), HTTPS (port 443), dan lainnya.
- --dport 80 = Aturan ini diterapkan pada port 80, yang biasanya digunakan oleh layanan HTTP (web server).
- -m connlimit = Menggunakan modul connlimit untuk membatasi jumlah koneksi yang diterima dari satu alamat IP.
- --connlimit-above 20 = Membatasi koneksi ke port 80. Jika sebuah alamat IP membuka lebih dari 20 koneksi ke server kamu, aturan ini akan diterapkan. Ini sering digunakan untuk mencegah serangan DDoS, di mana pelaku mencoba membuka banyak koneksi untuk membanjiri server.
- --connlimit-mask 32 = Menentukan bahwa pembatasan koneksi diterapkan per IP address (CIDR
/32, yaitu satu IP penuh). - -j LOG = mencatat informasi ke log sistem (biasanya di
/var/log/syslogatau/var/log/messages). - --log-prefix='serangan-DDOS' = Menambahkan label khusus ("serangan-DDOS") ke setiap log yang dihasilkan oleh aturan ini. Ini membantu kamu mengidentifikasi log yang terkait dengan koneksi mencurigakan.
3. Ketik perintah iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 32 -j DROP
4. Ketik perintah iptables-save > /etc/iptables/rules.v4 untuk menyimpan konfigurasi diatas.
5. Ketik perintah cat /etc/iptables/rules.v4 untuk memeriksa apakah konfigurasi sudah tersimpan dengan benar pada iptables.
6. Ketik perintah reboot, jika tidak bisa hidupkan ulang debian kalian.
7. Ketik perintah ip a, untuk melihat apakah ip yang didapat berubah atau tidak. Jika sudah memastikan, serang lagi seperti cara yang sudah dijelaskan diatas di debian penyerang.
8. Buka kembali web kamu, refresh terlebih dahulu, jika webmu tidak mengalami down/eror, maka defense kalian berhasil.
9. Kita dapat melihat ip penyerang karena firewall sudah mencatat, dengan ketik perintah tail -f /var/log/syslog | grep serangan-DDOS -m 5
tail =Menampilkan baris terakhir dari sebuah file teks (dalam hal ini, log sistem di/var/log/syslog).-f =Membuat perintah berjalan secara real-time. Jadi, jika ada log baru yang masuk, log itu akan langsung ditampilkan.- | = Simbol pipe digunakan untuk mengarahkan output dari perintah pertama (tail -f) ke perintah berikutnya (grep).
grep =Mencari teks tertentu dalam output.serangan-DDOS =Hanya menampilkan baris log yang mengandung teksserangan-DDOS, yang sesuai dengan aturan iptables sebelumnya.-m 5 = Membatasi hasil pencarian hanya sampai 5 baris pertama yang cocok. Setelah menemukan 5 baris, perintah otomatis berhenti.
SEKIAN TERIMA KASIH
WASSALAMU'ALAIKUM WARRAHMATULLAHI WABARATUH
Tidak ada komentar:
Posting Komentar