Untuk pertama kalinya, para peneliti telah melakukan analisis skala besar terhadap korban serangan denial-of-service (DoS) internet di seluruh dunia. Dan yang mereka temukan adalah, dalam ungkapan dari penelitian mereka, “sebuah statistik pembukaan mata.”
Selama dua tahun, dari bulan Maret 2015 sampai Februari 2017, para periset menemukan bahwa sekitar sepertiga dari ruang alamat IPv4 terkena beberapa jenis serangan DoS, di mana pelaku secara jahat mengganggu layanan dari host yang terhubung ke internet. IPv4 adalah versi keempat dari alamat Protokol Internet (IP), label numerik yang diberikan ke setiap perangkat yang berpartisipasi dalam jaringan komputer.
“Kami berbicara tentang jutaan serangan,” kata Alberto Dainotti, seorang ilmuwan riset di CAIDA (Center for Applied Internet Data Analysis), yang berbasis di San Diego Supercomputer Center (SDSC) di University of California San Diego dan kepala sekolah peneliti. “Hasil penelitian ini sangat besar dibandingkan dengan apa yang dilaporkan perusahaan besar kepada publik.”
Ditambahkan penulis pertama studi tersebut, Mattijs Jonker, seorang peneliti di University of Twente di Belanda dan mantan magang CAIDA: “Hasil ini membuat kami terkejut karena itu bukanlah sesuatu yang diharapkan untuk kami temukan. Tidak melihat datang. “
Penelitian – yang dipresentasikan pada 1 November 2017 di Internet Measurement Conference di London dan diterbitkan dalam Prosiding Asosiasi Mesin Komputasi (IMC ’17) – menyoroti sebagian besar serangan DoS di internet, korbannya, dan bahkan adopsi layanan komersial untuk memerangi serangan ini.
Dua jenis serangan DoS yang dominan, yang ditujukan untuk membanjiri sebuah layanan dengan banyak permintaan, disorot:
Serangan “langsung”, yang melibatkan lalu lintas yang dikirim langsung ke sasaran dari beberapa infrastruktur yang dikendalikan oleh penyerang (misalnya mesin mereka sendiri, satu set server, atau bahkan botnet di bawah komandonya). Serangan ini sering melibatkan “spoofing acak,” yang ditandai dengan memalsukan alamat IP sumber dalam lalu lintas serangan.
Serangan “Refleksi”, di mana server pihak ketiga digunakan secara tidak sengaja untuk mencerminkan lalu lintas serangan terhadap korbannya. Banyak protokol yang memungkinkan untuk refleksi juga menambahkan amplifikasi, sehingga jumlah lalu lintas tercermin yang dikirim ke arah korban berkali-kali lebih besar daripada yang dikirim ke arah reflektor pada awalnya.
Untuk mendeteksi serangan, para periset – upaya kolaborasi dari UC San Diego, Universitas Twente, dan Universitas Saarland di Jerman – mempekerjakan dua sumber data mentah yang saling melengkapi satu sama lain: Teleskop Jaringan UCSD, yang menangkap bukti adanya serangan DoS yang melibatkan alamat palsu secara acak dan seragam; dan Ampotot DDoS (distributed denial-of-service) honeypots, yang menjadi saksi refleksi dan penguatan serangan DoS.
Data mereka mengungkapkan lebih dari 20 juta serangan DoS yang menargetkan sekitar 2,2 juta alamat email “slash 24 or / 24” (bagian dari nomor routing yang menunjukkan panjang bit awalan), yaitu sekitar sepertiga dari 6,5 juta / 24 blok diperkirakan masih hidup di internet. A / 24 adalah blok dari 256 alamat IP, biasanya ditugaskan ke satu organisasi. Jika satu alamat IP di blok / 24 ditargetkan oleh sedikit permintaan atau serangan volumetrik, kemungkinan infrastruktur jaringan dari keseluruhan / 24 blok terpengaruh.
“Dengan kata lain, selama periode dua tahun terakhir ini yang diteliti, internet ditargetkan oleh hampir 30.000 serangan per hari,” kata Dainotti. “Jumlah absolut ini mengejutkan, seribu kali lebih besar dari yang ditunjukkan oleh laporan lain.”
Konon, salah satu peneliti menambahkan bahwa dia khawatir statistik ini kemungkinan “perkiraan yang kurang dari kenyataan.”
“Meskipun studi kami menggunakan teknik pemantauan mutakhir, kita sudah tahu bahwa kita tidak melihat beberapa jenis serangan DoS,” kata Anna Sperotto, asisten profesor di departemen Desain dan Analisis Sistem Komunikasi (DACS) di Universitas Twente. “Ke depan, kita akan memerlukan karakterisasi ekosistem DoS yang lebih menyeluruh untuk mengatasi masalah ini.”
Seperti yang bisa diharapkan, lebih dari seperempat alamat yang ditargetkan dalam penelitian ini datang di Amerika Serikat, negara dengan alamat internet paling banyak di dunia. Jepang, dengan alamat internet paling ketiga, berada di urutan 14 dari 25 untuk jumlah serangan DoS, yang mengindikasikan negara yang relatif aman untuk serangan DoS, sementara Rusia adalah contoh utama sebuah negara yang memiliki peringkat lebih tinggi daripada perkiraan penggunaan ruang internet, menyarankan negara yang relatif berbahaya untuk serangan ini.
Beberapa organisasi pihak ketiga yang menawarkan situs web hosting juga diidentifikasi sebagai target utama; tiga yang paling sering diserang “pesta lebih besar” selama dua tahun adalah: GoDaddy, Google Cloud, dan Wix. Yang lainnya termasuk Squarespace, Gandi, dan OVH.
“Sering kali, itu adalah pelanggan yang sedang diserang,” jelas Dainotti. “Jadi jika Anda memiliki jumlah pelanggan yang lebih banyak, kemungkinan besar Anda akan tinggal di sana lebih banyak serangan Jika Anda hosting jutaan situs web, tentu saja, Anda akan melihat lebih banyak serangan. “Selain menghitung jumlah serangan DoS di internet, para periset juga ingin melihat apakah serangan tersebut mendorong pemilik situs web untuk membeli perlindungan DoS layanan Studi mereka mencatat bahwa orang-orang lebih cenderung untuk melakukan outsourcing perlindungan kepada pihak ketiga setelah serangan yang kuat Tergantung pada intensitas serangan, migrasi ke layanan pihak ketiga dapat terjadi bahkan dalam waktu 24 jam setelah serangan. dari hal-hal yang kami tunjukkan adalah jika sebuah situs web diserang, ini menciptakan urgensi bagi orang-orang untuk mulai melakukan outsourcing ke layanan perlindungan, “kata Jonker.
Meskipun penelitian tersebut tidak membahas penyebab kenaikan serangan DoS yang terkenal dalam beberapa tahun terakhir, Dalam sebuah wawancara para peneliti mencatat beberapa kemungkinan kuat termasuk: cyber-pemerasan, cyber-crime, cyber-warfare, protes politik yang ditujukan pada pemerintah, penyensoran dari rezim otoritatif, serangan yang berkaitan dengan gam on-line ing (mis. untuk mendapatkan keunggulan kompetitif), anak-anak sekolah yang mungkin menyerang untuk menghindari ujian, dan mantan karyawan yang tidak puas.
“Bahkan orang-orang non-teknis pun dapat meluncurkan serangan signifikan melalui penyedia DDoS-as-a-Service (misalnya, Pembantu Boot),” kata Jonker . “Orang-orang dapat membayar orang lain dengan berlangganan dengan imbalan beberapa dolar saja.” Sedangkan untuk studi selanjutnya, para periset mengatakan bahwa mereka ingin menilai dampak serangan tersebut, untuk mengetahui apakah mereka berhasil menurunkan jaringan yang ditargetkan; mereka juga mempelajari serangan politik yang serupa dengan yang disaksikan di Mesir dan Libya yang menjadi subjek sebuah studi tahun 2012 yang dipimpin oleh para peneliti CAIDA.
Di bawah hibah untuk Departemen Keamanan Dalam Negeri AS (DHS), tim CAIDA juga berencana untuk terus memantau Ekosistem DoS untuk menyediakan data untuk analisis ke lembaga dan peneliti lainnya secara tepat waktu. Juga berpartisipasi dalam penelitian ini adalah: Alistair King, seorang peneliti CAIDA; dan Johannes Krupp dan Christian Rossow, keduanya dari CISPA, Universitas Saarland. Dukungan untuk penelitian ini berasal dari DHS; Direktori Penelitian Angkatan Udara; Organisasi Belanda untuk Penelitian Ilmiah; dan OpenINTEL, sebuah proyek gabungan dari University of Twente, SURFnet, dan SIDN.
