PT. Hawk Teknologi Solusi

Silahkan Cari Disini

Jumat, 07 Maret 2008

Mikrotik Down Karena Rx Packet Rate Extreme yang berasal dari ms-sql-m flood

Pagi ini terjadi permasalahan pada salah satu Limiter Mikrotik dengan gejala CPU tiba-tiba mati mendadak, langkah pertama semua konektor di cek dan CPU coba dimatikan beberapa saat dengan asumsi barangkali ada komponen hardware yang overheat setelah 15 menit didinginkan dan dinyalakan ternyata CPU masih mati setelah sempat hidup 1-2 menit :(

Ternyata sumber masalah bukan dari hardware tetapi ada traffic tidak wajar pada kolom Tx/Rx rate dan Tx/Rx packet rate dari salah satu pelanggan yang melalui limiter Mikrotik tersebut.



Tercatat Rx Rate 87.9 Mbps dan Rx Packet Rate 26953 WOW 8-) in artinya packet per second mencapai 26953 pantas CPU nya tewas.

Sedangkan dari analisa tools->torch pada interface tersebut diperoleh hasil sbb:


Ternyata ada traffic protocol udp, Src Address 192.168.200.57 Src Port 3710 Dst Address bermacam-macam Dst Port 1434 (ms-sql-m) Tx Rate 0 bps Rx Rate 1616 bps Tx Packet Rate 0 dan RX Packet Rate 32 dan jumlahnya sangat banyak sehingga total mencapai 26953 pps.

Gejala CPU mati mendadak akhirnya teratasi dengan cara mendisable interface vlan-5 dimana diketahui adanya traffic yang tidak wajar tersebut.

Kesimpulan:
  • Informasi dari Interface List dan Tools->Torch sangat penting untuk melakukan analisa traffic sehingga analisa permasalahan jaringan yang melalui Mikrotik dapat segera di indentifikasi.
  • Tingginya CPU pada PC Mikrotik sangat dipengaruhi oleh banyaknya pps yang dilewatkan oleh PC Mikrotik tersebut.

Kamis, 06 Maret 2008

Analisa Jaringan menggunakan Traceroute, Ping dan Looking Glass

Terkadang pengguna Internet mengalami kendala dalam mengakses situs-situs tertentu, sebenarnya untuk mengatasi permasalahan ini sudah tersedia aplikasi pembantu atau tools yang secara standar disediakan oleh sistem operasi misal aplikasi: traceroute dan ping.

Untuk melakukan traceroute ke www.yahoo.com menggunakan Ms. Windows

C:\Documents and Settings\Harijanto>tracert www.yahoo.com

Tracing route to www.yahoo-ht3.akadns.net [209.131.36.158]
over a maximum of 30 hops:

1 <1 ms <1 ms <1 ms kantorjakarta.datautama.net.id [192.168.2.1]
2 <1 ms <1 ms <1 ms ip-24-65.datautama.net.id [203.89.24.65]
3 3 ms 4 ms 4 ms ip-26-1.datautama.net.id [203.89.26.1]
4 3 ms 4 ms 3 ms 124.81.70.241
5 7 ms 3 ms 5 ms 219.83.41.249
6 7 ms 13 ms 6 ms ge-0-1-0.gw-01.jkt.indosat.net.id [202.155.27.29
]
7 5 ms 3 ms 6 ms ge-0-2-0.distri-04.jkt.ipbb.indosat.net.id [202.
155.137.17]
8 * 26 ms 8 ms 202.155.7.246
9 67 ms 66 ms 68 ms unknown.net.reach.com [134.159.161.157]
10 68 ms 66 ms 67 ms static.net.reach.com [202.84.153.233]
11 225 ms 227 ms 226 ms unknown.net.reach.com [202.84.141.254]
12 234 ms 233 ms 237 ms i-0-0.paix-core02.net.reach.com [202.84.143.62]

13 242 ms 232 ms 249 ms static.net.reach.com [202.84.251.66]
14 238 ms 235 ms 231 ms yahoo.paix05.net.reach.com [134.159.63.22]
15 224 ms 236 ms 231 ms g-1-0-0-p141.msr1.sp1.yahoo.com [216.115.107.55]

16 231 ms 233 ms 233 ms te-9-1.bas-a1.sp1.yahoo.com [209.131.32.21]
17 221 ms 226 ms 226 ms f1.www.vip.sp1.yahoo.com [209.131.36.158]

Trace complete.

dalam contoh diatas hasil traceroute bisa mencapai 209.131.36.158 yang merupakan salah satu ip server yahoo.com, dari hasil traceroute tersebut bisa dilihat kemana saja rute dari komputer saya ke www.yahoo.com jadi kalau setelah hop ke 4 ternyata rute bermasalah maka permasalahan bukan terjadi pada segment jaringan DatautamaNet tetapi pada upstream kami dan Support harus berkoordinasi dengan upstream tersebut.

Untuk melakukan traceroute ke www.ragnarok.co.id menggunakan Ms. Windows

C:\Documents and Settings\Harijanto>tracert www.ragnarok.co.id

Tracing route to www.ragnarok.co.id [202.43.161.117]
over a maximum of 30 hops:

1 <1 ms <1 ms <1 ms kantorjakarta.datautama.net.id [192.168.2.1]
2 <1 ms <1 ms <1 ms ip-26-65.datautama.net.id [203.89.26.65]
3 6 ms 5 ms 7 ms ip-24-173.datautama.net.id [203.89.24.173]
4 3 ms 7 ms 7 ms dtp.openixp.net [218.100.27.174]
5 7 ms 3 ms 5 ms trunk-dtpnoc.dtp.net.id [202.78.192.157]
6 43 ms 3 ms 5 ms ip-161-117.dtp.net.id [202.43.161.117]

Trace complete.



Bisa dilihat dari komputer saya ke www.ragnarok.co.id melalui openixp dan berujung pada dtp.net.id, sehingga kalau ada permasalahan setelah hop ke 4 Support harus berkoordinasi dengan pihak dtp.net.id tetapi jika permasalahan pada dibawah hop ke 3 berarti terjadi permasalahan di jaringan internal DatautamaNet. setelah bisa di traceroute coba juga menggunakan aplikasi "PING" atau "PATHPING"


Untuk ping dan pathping ke www.ragnarok.co.id caranya

C:\Documents and Settings\Harijanto>ping www.ragnarok.co.id

Pinging www.ragnarok.co.id [202.43.161.117] with 32 bytes of data:

Reply from 202.43.161.117: bytes=32 time=34ms TTL=124
Reply from 202.43.161.117: bytes=32 time=9ms TTL=124
Reply from 202.43.161.117: bytes=32 time=6ms TTL=124
Reply from 202.43.161.117: bytes=32 time=12ms TTL=124

Ping statistics for 202.43.161.117:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 6ms, Maximum = 34ms, Average = 15ms

C:\Documents and Settings\Harijanto>pathping www.ragnarok.co.id

Tracing route to www.ragnarok.co.id [202.43.161.117]
over a maximum of 30 hops:
0 presario [192.168.2.10]
1 kantorjakarta.datautama.net.id [192.168.2.1]
2 ip-26-65.datautama.net.id [203.89.26.65]
3 ip-24-173.datautama.net.id [203.89.24.173]
4 dtp.openixp.net [218.100.27.174]
5 trunk-dtpnoc.dtp.net.id [202.78.192.157]
6 ip-161-117.dtp.net.id [202.43.161.117]

Computing statistics for 150 seconds...
Source to Here This Node/Link
Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address
0 presario [192.168.2.10]
0/ 100 = 0% |
1 0ms 0/ 100 = 0% 0/ 100 = 0% kantorjakarta.datautama.net.id [19
2.168.2.1]
0/ 100 = 0% |
2 5ms 1/ 100 = 1% 1/ 100 = 1% ip-26-65.datautama.net.id [203.89.
26.65]
0/ 100 = 0% |
3 19ms 0/ 100 = 0% 0/ 100 = 0% ip-24-173.datautama.net.id [203.89
.24.173]
0/ 100 = 0% |
4 --- 100/ 100 =100% 100/ 100 =100% dtp.openixp.net [218.100.27.174]
0/ 100 = 0% |
5 9ms 0/ 100 = 0% 0/ 100 = 0% trunk-dtpnoc.dtp.net.id [202.78.19
2.157]
0/ 100 = 0% |
6 14ms 0/ 100 = 0% 0/ 100 = 0% ip-161-117.dtp.net.id [202.43.161.
117]

Trace complete.



Dari ping dan patping bisa didapat informasi percent packet loss dan latency dari masing-masing hop yang ada.

Contoh-contoh diatas adalah dari dalam ke luar bagaimana kalau dari luar ke dalam?
untuk itu caranya bisa menggunakan aplikasi Looking Glass yang tersedia, untuk Looking Glass lokal bisa mengunjungi URL berikut:

sedangkan untuk Looking Glass global bisa dilihat di:

pilih salah satu Route Server yang tersedia utk analisa traceroute dari global Internet ke IP Public yang kita gunakan , contohnya:

route-server.phx1>traceroute 203.89.24.34

Type escape sequence to abort.
Tracing the route to ns1.datautama.net.id (203.89.24.34)

1 ge4-1-0-226-1000M.ar4.PHX1.gblx.net (67.17.64.89) 0 msec 4 msec 0 msec
2 so4-0-0-2488M.ar1.CLK1.gblx.net (67.17.108.110) 176 msec 180 msec 176 msec
3 * * *
4 global.hgc.com.hk (218.189.8.167) [AS 9304] 188 msec 180 msec 176 msec
5 global.hgc.com.hk (218.189.8.181) [AS 9304] 180 msec 180 msec 180 msec
6 218.189.31.38 [AS 9304] 172 msec 172 msec 172 msec
7 202.93.46.118 [AS 4761] 240 msec 240 msec 240 msec
8 * * *
9 ge-1-1-0.gw-01.jkt.indosat.net.id (202.155.137.18) [AS 4795] 428 msec 452 ms
ec 240 msec
10 202.155.27.27 [AS 4795] 240 msec 240 msec 240 msec
11 219.83.41.250 [AS 4795] 244 msec 240 msec 244 msec
12 124.81.70.242 [AS 4795] 248 msec 244 msec 248 msec
13 ns1.datautama.net.id (203.89.24.34) [AS 24521] 296 msec 248 msec 256 msec


Demikian kiranya penjelasan analisa jaringan menggunakan Traceroute, Ping dan Looking Glass

Aplikasi Mekanisme Pertahanan DDoS untuk ISP dan SME

Apa itu DDoS
  • Secara singkat DDoS adalah bentuk serangan untuk melumpuhkan jaringan atau komputer korban dengan mengirim paket-paket data yang sangat banyak dari sekian banyak mesin atau komputer lainnya yang telah menjadi zombie sehingga jaringan atau komputer tersebut tidak dapat berfungsi dengan baik karena resource yang ada dihabiskan oleh paket-paket data DDoS tersebut sehingga jaringan atau komputer korban menjadi lumpuh.
  • Zombie atau komputer yang melakukan penyerangan bisa saja komputer yang terinfeksi virus atau tersusupi oleh trojan.


Bagaimana sebuah serangan "denial of service“ bekerja

  • Pada koneksi yang wajar, user mengirim sebuah pesan ke server dan minta server untuk meng-authentication pesan tersebut.
  • Selanjutnya server menjawab dengan mengirim pesan perihal authentication approval ke user tersebut.
  • User menerima acknowledges approval tersebut sehingga diizinkan/allowed masuk ke server tersebut
  • Pada sebuah serangan Denial of service, user mengirim sekian banyak permintaan authentication ke server, dengan cara memenuhinya.
  • Semua permintaan menggunakan alamat pengirim yang salah, sehingga server tidak dapat menemukan user ketika server mencoba untuk mengirim approval authentication.
  • Server akan menunggu kadang lebih dari satu menit, sebelum menutup koneksi tersebut.
  • Ketika server menutup koneksi, penyerang mengirim lagi sebuah batch permintaan palsu yang baru, dan proses tersebut dimulai lagi sehingga melumpuhkan layanan dari server tersebut dengan menghabiskan resource server: CPU, Memory, Bandwidth dll.


DDoS dan Bisnis
  • DDoS terkadang berlatar belakang persaingan bisnis, sering terjadi serangan DDoS pada sebuah ISP setelah ISP tersebut membuka cabang di kota lainnya.

Solusi
  • Advance Policy Firewall (APF). Sebenarnya menggunakan iptables yang sudah pernah dicoba juga sebelumnya tetapi hebatnya APF memiliki algoritma yang lebih canggih sehingga bisa menghasilkan rule iptables yang dinamis dan mampu mengidentifikasi mana request normal dan mana request DoS bahkan APF memiliki Anti DoS sehingga mampu menangkap alamat-alamat IP penyerang.
  • Adapun URL lengkap informasi tersebut dapat diakses pada:

APF
  • APF adalah firewall berbasis iptables yang di rancang untuk kebutuhan Internet saat ini dan dijalankan di linux. Ada tiga bagian filtering yang dilakukan oleh APF:
    • Static rule base policies
    • Connection based stateful policies
    • Sanity based policies

Static rule base policies
  • Adalah metode firewall yang paling tradisional. Merupakan rules firewall yang bersifat tetap yang bertugas menangani traffic pada kondisi yang normal. Contoh dari static rule base policies adalah berupa pengaturan allow/deny sebuah alamat untuk mengakses server dengan mengizinkan port yang aktif melalui file conf.apf. Dimana rules tersebut tidak banyak berubah atau tidak berubah pada saat firewall dijalankan.

Connection based stateful policies
  • Artinya melakukan pembedaan paket-paket data untuk bermacam-macam tipe koneksi. Hanya paket-paket yang jelas koneksinya yang diizinkan (allow) oleh firewall, lainnya akan di tolak (reject). Sebuah contoh pada FTP data transfer, pada era firewall yang terdahulu Anda harus mendefinisikan static policies yang komplek agar FTP data transfer dapat mengalir tanpa hambatan. Hal tersebut tidak terjadi lagi pada stateful policies, firewall dapat melihat bahwa alamat tersebut telah melakukan koneksi ke port 21 lalu menghubungkan alamat tersebut pada porsi data transfer dari koneksi dan secara dinamis merubah firewall untuk mengizinkan traffic tersebut.

Sanity based policies
  • Adalah kemampuan firewall untuk mengenali bermacam-macam traffic pattern untuk mengetahui metoda penyerang atau mempelajari traffic agar sesuai dengan Internet standards. Sebuah contoh jika terjadi penyerangan dengan penyamaran sumber alamat IP pada saat mengirim data ke server Anda, APF dapat secara mudah menolak traffic tersebut atau secara opsional mencatatnya ke log file lalu menolak traffic tersebut. Contoh yang lain jika sebuah router bermasalah dari Internet merelay malformed paket ke server Anda, APF dapat dengan mudah menolaknya atau dilain situasi dapat me-replay ke router dan menghentikan agar router tersebut menghentikan pengiriman paket-paket baru ke server Anda (TCP Reset).

Mekanisme Pertahanan Terhadap DDoS dengan Linux & Mikrotik



  • Komputer penyerang Zombie yang telah dikuasai Hacker atau virus melakukan penyerangan terhadap Honeypot yang menjalankan service web server dan DNS
  • Honeypot yang telah dilengkapi dengan Advance Policy Firewall (APF) dan mod_evasive menghasilkan daftar IP penyerang:
    • Ds_hosts.rules
    • Ad.rules
    • Mod_evasive.log
  • Uploader secara periodik menjalankan wget untuk mendapatkan daftar IP penyerang untuk selanjutnya menghasilkan skrip yang dapat dieksekusi oleh Mikrotik Firewall, skrip tersebut harus di upload menggunakan FTP ke Mikrotik Firewall.
  • Skrip yang sudah di upload ke Mikrotik Firewall dieksekusi secara periodik untuk menghasilkan daftar address-list yang harus di drop oleh Mikrotik Firewall:
    • Address-list ds_hosts
    • Address-list ados
    • Address-list mod_evasive
  • Jika IP penyerang telah terdaftar pada address-list tersebut maka Mikrotik Firewall akan melakukan action drop terhadap semua traffic dari dan ke IP tersebut.
  • Selain address-list diatas Mikrotik Firewall juga dilengkapi dengan rule yang akan mendeteksi kegiatan port scanning dari jaringan luar ke dalam sehingga menjadi semacam early warning.

Honeypot
  • In computer terminology, a honeypot is a trap set to detect, deflect or in some manner counteract attempts at unauthorized use of information systems. Generally it consists of a computer, data or a network site that appears to be part of a network but which is actually isolated, (un)protected and monitored, and which seems to contain information or a resource that would be of value to attackers. A honeypot that masquerades as an open proxy is known as a sugarcane.

Mod_evasive
  • Setelah menggunakan APF ternyata hasilnya masih belum optimal karena banyak sekali request HTTP yang tidak lazim terhadap web server, Jadi ternyata APF saja belum cukup, web server harus dilengkapi juga dengan mod_evasive.
  • Dari mod_evasive dihasilkan daftar ip yang melakukan DoS atau DDoS terhadap port 80 yang digunakan HTTP.

MRTG Server Hosting dan IIX Vaksin.com


Mod_evasive adalah
  • Mod_evasive adalah evasive maneuvers module untuk Apache Web Server sebagai aksi evasive pada saat terjadi HTTP DoS atau serangan DDoS atau serangan brute force. Juga di rancang sebagai pendeteksi dan network management tools, dan dapat secara mudah di konfigur utk berinteraksi dengan ipchains, firewalls, routers, dan etcetera. Mod_evasive menghasilkan laporan abuses melalui email dan fasilitas syslog.
  • Pendeteksian dilakukan dengan membuat sebuah internal dynamic hash table dari alamat IP dan URIs, dan menolak (deny) alamat IP mana saja yang berasal dari:
    • Request halaman yang sama berulang kali pada selang waktu tertentu per detik.
    • Membuat lebih dari 50 concurrent request pada child yang sama per detik.
    • Membuat request-request sewaktu di blacklist secara temporer (pada blocking list).

Contoh Email dari APF


Contoh Email dari Telkom-ID


Statistik Serangan DDoS



Apakah sudah 100% aman?
  • Tidak ada yang 100% aman di Internet, oleh karena itu diperlukan firewall dan antivirus update di setiap mesin baik itu client maupun server.
  • Di DatautamaNet kami mencoba memfilter traffic-traffic yang biasa digunakan virus, worm, dan spam pada level gateway tetapi ini belum cukup, di setiap komputer yang terhubung dengan jaringan DatautamaNet juga harus dilengkapi dengan firewall dan antivirus update.

Penjelasan lebih lanjut perihal APF, mod_evasive dan seting mikrotik untuk berkolaborasi dengan linux honeypot dapat dibaca pada buku

“Firewall melindungi jaringan dari DDoS menggunakan Linux dan Mikrotik”

yang akan dicetak oleh Penerbit Andi.

Reverse DNS

Apa yang dimaksud dengan Reverse DNS?

Reverse DNS adalah kebalikan dari Forward DNS, jika kita me-resolve sebuah nama domain menjadi alamat IP maka ini disebut Forward DNS, tetapi jika kita me-resolve alamat IP menjadi nama domain ini disebut Reverse DNS.

contoh:

Forward DNS, maps names to numbers
– svc00.apnic.net -> 202.12.28.131

Reverse DNS, maps numbers to names
– 202.12.28.131 -> svc00.apnic.net


Untuk apa Reverse DNS?
  • - Menghindari penolakan service "Service Denial" yang hanya mengizinkan akses jika memiliki reverse dns contohnya: anonymous ftp
  • - Untuk diagnostik pada saat melakukan trace route dll.
  • - Identifikasi SPAM
  • - Tanggung jawab Registrasi

Untuk melakukan pengecekkan Reverse DNS sebuah IP bisa menggunakan beberapa tools dari link-link berikut ini:


Lebih lanjut perihal Reverse DNS bisa dibca dari link-link berikut ini:

Error yang berhubungan dengan Reverse DNS bisa dibaca dari link-link berikut ini:
Untuk meng-query Forward DNS dan Reverse DNS menggunakan aplikasi "dig" di lingkungan linux contohnya sbb:

Forward Query

[support@proxy-01-jkt ~]$ dig www.datautama.net.id

--cut--
;; QUESTION SECTION:
;www.datautama.net.id. IN A

;; ANSWER SECTION:
www.datautama.net.id. 14400 IN CNAME datautama.net.id.
datautama.net.id. 14400 IN A 203.89.24.34
--cut--

Reverse Query

[support@proxy-01-jkt ~]$ dig -x 203.89.24.34

--cut--
;; QUESTION SECTION:
;34.24.89.203.in-addr.arpa. IN PTR

;; ANSWER SECTION:
34.24.89.203.in-addr.arpa. 86400 IN PTR ns1.datautama.net.id.
--cut--