Serangan banjir ICMP adalah jenis serangan denial-of-service (DoS) yang menggunakan Protokol Pesan Kontrol Internet (ICMP) untuk membanjiri sistem target dengan permintaan. Ini dapat digunakan untuk menargetkan server dan workstation individual.
Untuk melindungi dari serangan banjir ICMP, penting untuk memahami apa itu dan bagaimana cara kerjanya.
Apa itu Serangan Banjir ICMP?
Serangan banjir ICMP, juga dikenal sebagai serangan banjir ping atau serangan smurf, adalah serangan DDoS (Distributed Denial of Service) lapisan jaringan di mana penyerang mencoba untuk mengalahkan perangkat yang ditargetkan dengan mengirimkan permintaan gema Internet Control Message Protocol (ICMP) dalam jumlah yang berlebihan paket. Paket-paket ini dikirim secara berurutan dengan cepat untuk membanjiri perangkat target, sehingga mencegahnya memproses lalu lintas yang sah. Jenis serangan ini sering digunakan bersamaan dengan
bentuk lain dari serangan DDoS sebagai bagian dari serangan multi-vektor.Targetnya bisa berupa server atau jaringan secara keseluruhan. Banyaknya permintaan ini dapat menyebabkan target menjadi kewalahan, mengakibatkan ketidakmampuan untuk memproses lalu lintas yang sah, gangguan layanan, atau bahkan kegagalan sistem total.
Sebagian besar serangan banjir ICMP menggunakan teknik yang disebut "spoofing", di mana penyerang akan mengirim paket ke target dengan alamat sumber palsu yang tampaknya berasal dari sumber tepercaya. Ini mempersulit target untuk membedakan antara lalu lintas yang sah dan berbahaya.
Melalui spoofing, penyerang mengirimkan permintaan gema ICMP dalam jumlah besar ke target. Saat setiap permintaan masuk, target tidak memiliki pilihan selain membalas dengan respons gema ICMP. Ini dapat dengan cepat membanjiri perangkat target dan menyebabkannya menjadi tidak responsif atau bahkan macet.
Akhirnya, penyerang dapat mengirim paket pengalihan ICMP ke target dalam upaya untuk mengganggu lebih lanjut tabel perutean dan membuatnya tidak dapat berkomunikasi dengan node jaringan lain.
Cara Mendeteksi Serangan Banjir ICMP
Ada tanda-tanda tertentu yang mengindikasikan serangan banjir ICMP mungkin sedang berlangsung.
1. Tiba-tiba Peningkatan Lalu Lintas Jaringan
Indikasi paling umum dari serangan banjir ICMP adalah peningkatan lalu lintas jaringan secara tiba-tiba. Ini sering disertai dengan tingkat paket yang tinggi dari satu alamat IP sumber. Ini dapat dengan mudah dipantau di alat pemantauan jaringan.
2. Lalu Lintas Keluar Luar Biasa Tinggi
Indikasi lain dari serangan banjir ICMP adalah lalu lintas keluar yang sangat tinggi dari perangkat target. Ini karena paket respons gema dikirim kembali ke mesin penyerang, yang seringkali jumlahnya lebih besar daripada permintaan ICMP asli. Jika Anda melihat lalu lintas yang jauh lebih tinggi dari biasanya pada perangkat target Anda, itu bisa menjadi tanda serangan yang sedang berlangsung.
3. Tarif Paket Tinggi Dari Alamat IP Sumber Tunggal
Mesin penyerang akan sering mengirimkan jumlah paket yang luar biasa tinggi dari satu alamat IP sumber. Ini dapat dideteksi dengan memantau lalu lintas masuk ke perangkat target dan mencari paket yang memiliki alamat IP sumber dengan jumlah paket yang luar biasa besar.
4. Lonjakan Berkelanjutan dalam Latensi Jaringan
Latensi jaringan juga bisa menjadi tanda serangan banjir ICMP. Saat mesin penyerang mengirim lebih banyak permintaan ke perangkat target, waktu yang dibutuhkan paket baru untuk mencapai tujuannya meningkat. Hal ini mengakibatkan peningkatan terus-menerus dalam latensi jaringan yang pada akhirnya dapat menyebabkan kegagalan sistem jika tidak ditangani dengan benar.
5. Peningkatan Pemanfaatan CPU pada Sistem Target
Pemanfaatan CPU dari sistem target juga dapat menjadi indikasi serangan banjir ICMP. Karena semakin banyak permintaan dikirim ke perangkat target, CPU-nya dipaksa bekerja lebih keras untuk memproses semuanya. Hal ini menyebabkan lonjakan penggunaan CPU secara tiba-tiba yang dapat menyebabkan sistem menjadi tidak responsif atau bahkan macet jika dibiarkan.
6. Throughput Rendah untuk Lalu Lintas yang Sah
Akhirnya, serangan banjir ICMP juga dapat menghasilkan throughput yang rendah untuk lalu lintas yang sah. Ini karena banyaknya permintaan yang dikirim oleh mesin penyerang, yang membuat perangkat target kewalahan dan mencegahnya memproses lalu lintas masuk lainnya.
Mengapa Serangan Banjir ICMP Berbahaya?
Serangan banjir ICMP dapat menyebabkan kerusakan signifikan pada sistem target. Ini dapat menyebabkan kemacetan jaringan, kehilangan paket, dan masalah latensi yang dapat mencegah lalu lintas normal mencapai tujuannya.
Selain itu, penyerang mungkin dapat memperoleh akses ke jaringan internal target dengan mengeksploitasi kerentanan keamanan dalam sistem mereka.
Selain itu, penyerang mungkin dapat melakukan aktivitas berbahaya lainnya, seperti mengirim data yang tidak diinginkan dalam jumlah besar atau meluncurkan serangan denial-of-service (DDoS) terdistribusi terhadap sistem lain.
Cara Mencegah Serangan Banjir ICMP
Ada beberapa tindakan yang dapat diambil untuk mencegah serangan banjir ICMP.
- Pembatasan tarif: Pembatasan laju adalah salah satu metode paling efektif untuk mencegah serangan banjir ICMP. Teknik ini melibatkan pengaturan jumlah maksimum permintaan atau paket yang dapat dikirim ke perangkat target dalam jangka waktu tertentu. Setiap paket yang melebihi batas ini akan diblokir oleh firewall, mencegahnya mencapai tujuannya.
- Firewall dan deteksi intrusi & sistem pencegahan: Firewall dan Sistem Deteksi & Pencegahan Intrusi (IDS/IPS) juga dapat digunakan untuk mendeteksi dan mencegah serangan banjir ICMP. Sistem ini dirancang untuk memantau lalu lintas jaringan dan memblokir aktivitas yang mencurigakan, seperti tarif paket yang sangat tinggi atau permintaan yang berasal dari alamat IP sumber tunggal.
- Segmentasi jaringan: Cara lain untuk melindungi dari serangan banjir ICMP adalah dengan membagi jaringan. Ini melibatkan membagi jaringan internal menjadi subnet yang lebih kecil dan membuat firewall di antara mereka, yang dapat membantu mencegah penyerang mendapatkan akses ke seluruh sistem jika salah satu subnetnya dikompromikan.
- Verifikasi alamat sumber: Verifikasi alamat sumber adalah cara lain untuk melindungi dari serangan banjir ICMP. Teknik ini melibatkan verifikasi bahwa paket yang datang dari luar jaringan sebenarnya berasal dari alamat sumber yang mereka klaim. Setiap paket yang gagal dalam verifikasi ini akan diblokir oleh firewall, mencegahnya mencapai tujuannya.
Lindungi Sistem Anda Dari Serangan Banjir ICMP
Serangan banjir ICMP dapat menyebabkan kerusakan signifikan pada sistem target dan sering digunakan sebagai bagian dari serangan berbahaya yang lebih besar.
Untungnya, ada beberapa tindakan yang dapat Anda lakukan untuk mencegah jenis serangan ini, seperti pembatasan laju, menggunakan firewall dan sistem deteksi & pencegahan intrusi, segmentasi jaringan, dan alamat sumber verifikasi. Menerapkan langkah-langkah ini dapat membantu memastikan keamanan sistem Anda dan melindunginya dari penyerang potensial.
