Salah satu jenis serangan denial-of-service (DoS) yang paling umum adalah SYN flood, yang dapat mengganggu fungsi normal jaringan dengan membanjiri server dengan permintaan koneksi palsu.
Apa Itu Serangan SYN Flood?
Serangan SYN flood adalah bentuk serangan denial-of-service (DoS) yang menargetkan cara komputer saling terhubung melalui internet. Ketika sebuah komputer (klien) ingin berkomunikasi dengan komputer lain (server), ia memulai dengan mengirimkan permintaan “SYN” (sinkronisasi). Server kemudian membalas dengan respons “SYN-ACK” (sinkronisasi-akui). Klien kemudian menyelesaikan koneksi dengan mengirimkan pesan “ACK” (pengakuan).
Penyerang membanjiri server dengan banyak permintaan SYN. Server merespons setiap permintaan; namun, penyerang tidak pernah mengirimkan pesan ACK terakhir. Akibatnya, server terus menunggu respons ACK yang hilang, yang menghabiskan sumber daya server. Ini menyebabkan server menunggu, mengisi kapasitas koneksinya, dan membuatnya tidak mampu menangani permintaan sah, yang mengarah pada denial of service (DoS).
Seiring dengan semakin terganggunya server yang menjadi sasaran dan tidak responsif, serangan ini mengganggu akses pengguna yang sah. Hal ini mengakibatkan waktu henti, kehilangan layanan, dan potensi kerusakan pada reputasi perusahaan. Dalam lingkungan dengan lalu lintas tinggi, seperti pengecer online dan perbankan online, serangan ini membebani sumber daya jaringan, menurunkan kinerja, dan menyebabkan ketidakpuasan pelanggan.
Cara Menyadari Serangan SYN Flood
- Volume Paket SYN Masuk yang Tinggi: Lonjakan tak terduga dalam paket SYN adalah tanda utama dari serangan SYN flood. Ini adalah karakteristik utama dari serangan, di mana penyerang membanjiri server dengan permintaan SYN.
- Jumlah Koneksi TCP Setengah Terbuka yang Tidak Biasa Tinggi: Server yang diserang akan mengumpulkan banyak koneksi yang belum selesai, di mana server menunggu langkah akhir dari proses handshake untuk diselesaikan, tetapi klien tidak pernah merespons dengan ACK terakhir.
- Kelelahan Sumber Daya: Serangan SYN flood sering menyebabkan kelelahan sumber daya pada server target, karena server dipaksa untuk mengalokasikan sumber daya untuk setiap koneksi yang belum lengkap.
- IP Sumber yang Tidak Biasa atau Pemalsuan IP: Penyerang sering memalsukan alamat IP sumber dalam serangan SYN flood; ini menyebabkan banyak alamat IP unik atau mencurigakan yang mengirimkan permintaan SYN ke target.
Mencegah Serangan SYN Flood
Meskipun Forcepoint menawarkan berbagai kemampuan keamanan, seperti analisis perilaku lalu lintas dan inspeksi paket mendalam (DPI) untuk menganalisis konten lalu lintas masuk dan memantau aktivitas jaringan secara keseluruhan, kami juga menyediakan fitur khusus yang melindungi dari serangan SYN Flood. Fitur-fitur ini meliputi:
- Perlindungan DoS Berbasis Laju: Fitur ini membatasi jumlah permintaan SYN yang masuk per detik, membantu mencegah serangan SYN flood dengan secara otomatis memblokir lalu lintas yang melebihi ambang kebijakan yang telah ditentukan, memastikan server tidak dibanjiri dengan terlalu banyak permintaan.
- Batas untuk Koneksi TCP Setengah Terbuka: Fitur ini menetapkan ambang jumlah koneksi yang belum selesai yang akan diizinkan oleh firewall, mencegah server menjadi dibanjiri dengan koneksi setengah terbuka, yang merupakan hasil tipikal dari serangan SYN flood.
- Sensitivitas Permintaan HTTP Lambat: Fitur ini mendeteksi permintaan HTTP yang lambat atau tertunda, yang kadang-kadang digunakan bersamaan dengan SYN flood untuk menghabiskan sumber daya server. Fitur ini membantu mengidentifikasi dan memblokir lalu lintas berbahaya yang berusaha mengikat sumber daya server dengan transaksi HTTP yang lambat dan tidak lengkap.
- Sensitivitas Serangan SYN Flood: Dengan secara khusus menargetkan serangan SYN flood, fitur ini mendeteksi tingkat paket SYN yang sangat tinggi dan secara otomatis memicu pertahanan untuk memblokir atau mengurangi serangan, mencegah server dari dibanjiri dengan koneksi setengah terbuka.
- Timeout Daftar Hitam Permintaan HTTP Lambat: Ketika permintaan HTTP lambat atau berbahaya terdeteksi, fitur ini menambahkan alamat IP yang melanggar ke daftar hitam untuk periode timeout yang ditentukan, mencegah mereka melakukan koneksi lebih lanjut dan mengurangi dampak dari serangan SYN flood serta serangan lambat lainnya.
- Sensitivitas Reset TCP: Fitur ini dapat mendeteksi reset sesi TCP yang tidak normal (paket RST) dan secara otomatis mereset koneksi berbahaya atau yang belum lengkap, menutup sesi setengah terbuka yang disebabkan oleh serangan SYN flood dan membebaskan sumber daya server.
Dengan menganalisis pola dan dasar untuk lalu lintas yang sah, Forcepoint mendeteksi anomali seperti lonjakan permintaan SYN atau sumber permintaan yang tidak biasa. Ketika aktivitas mencurigakan terdeteksi, sistem secara otomatis menandai potensi percobaan serangan SYN flood, memungkinkan tindakan cepat untuk mencegah kerusakan sebelum berkembang lebih jauh.