Semakin banyak koneksi web di internet yang beralih ke protokol HTTPS dari HTTP, serangan Distributed Denial of Service (Ddos) juga ikut gencar menyerang, dimana juga menargetkan pada proses SSL/TLS handshake dan HTTPS services. Dalam artikel ini PusatSSL akan membahas bagaimana pola dan desain Ddos attack yang menargetkan HTTPS, sebuah protokol keamanan yang dilapisi oleh teknologi enkripsi dengan beli SSL/TLS berkualitas.
Ddos Attack merupakan serangan yang melumpuhkan atau menghilangkan suatu layanan web yang telah ditargetkan dari internet. Bisa dikatakan, serangan semacam ini sangat sulit untuk dilawan sebab biasanya menargetkan terhadap lapisan jaringan dan aplikasi. Demikian, banyak beberapa perusahaan dan pengguna yang meningkatkan kebijakan dan kebutuhan keamanan (misal, Apple yang mewajibkan koneksi HTTPS untuk AppleStore) dan lebih banyak lagi jaringan layanan yang diubah secara proaktif dari prtokol HTTP ke HTTPS. Namun, karena menangani koneksi HTTPS memakan daya, sangan memungkinkan bagi penyerang untuk melancarkan serangan Ddos yang menghancurkan dan menargetkan HTTPS.
Prinsi Kerja Serangan Ddos
Sebagai informasi, serangan Ddos menargetkan HTTPS utamanya menyerang TCP, SSL/TLS, dan HTTP.
1. Serangan Menargetkan TCP
Jenis serangan ini biasanya merujuk pada semisal SYN Flood dan ACK Flood yang menyerang server HTTPS dalam upaya memakan daya server seperti koneksi TCP. Seperti serangan yang tidak menargetkan protokol spesifik HTTPS dan semua server yang menggunakan TCP kemungkinan menerima serang-serangan demikian.
2. Serangan Menargetkan SSL/TLS
SSL/TLS handshake melibatkan berbagai algoritma enkripsi asimetris, simetris, dan hash. Algoritma asimetris mengonsumsi banyak daya, yang mana server melakukan lebih banyak kalkulasi daripada keadaan Klien yang sebenarnya. Klien akan mengenkrip random value, mengkalkulasi, dan mengirimnya kepada Server. Kemudian Server mendekrip value tersebut dengan mengkalkulasi persamaan, apabila tidak ada banyak perbedaan value yang diterima maka Server dan Klien akan melakukan sejumlah kalkulasi yang sama.
Mengingat algoritma asimetris dalam pemakaian daya oleh Server dan Klien selama SSL/TLS handshake, penyerang bisa menyerang server dengan tetap membangun koneksi SSL/TLS handshake bersama server atau memulai negosiasi ulang kunci (semisal menghakmilikan ulang TCH-SSL-DOS). Terburuknya, jika Klien malah menyiapkannya alih-alih mengkalkulasi, hal ini bisa menyebabkan server menemukan komunikasi SSL/TLS yang gagal hanya setelah melakukan sejumlah besar kalkulasi yang tidak berguna.
3. Serangan Menargetkan HTTP
Serangan menargetkan HTTP bisa dilakukan dengan cara berikut ini:
- Mengirimkan paket data HTTP (plaintext) dalam jumlah banyak atau spam terenkripsi HTTP yang disiapkan sebelumnya untuk menguras kinerja enkripsi asimetris pada server.
- Menjadikan server menampung koneksi HTTP dalam kuantitas besar atau mengonsumsi habis daya tambahannya seperti database.
Pendekatan Pengamanan Serangan Ddos Bertarget HTTPS
Di atas kita sudah membahas target serangan Ddos HTTPS yang biasanya dilakukan terhadap TCP, SSL/TLS, dan HTTP. Selanjutnya kita akan membahas perlindungan untuk melawan serangan Ddos pada ketiga protokol tersebut. Selain itu, perlindungan HTTPS adalah teknis asimetris yang melibatkan sertifikat SSL/TLS sebagai keamanan lapisan protokol dengan teknologi enkripsi. Apakah Anda sudah beli sertifikat SSL/TLS berkualitas untuk mengamankan koneksi web menjadi HTTPS?
1. Perlindungan TCP terhadap Ddos Attack
Dengan adanya pengalaman bertahun-tahun bagi seluruh perusahaan atau individu yang mengalami serangan Ddos ini, akhirnya industry keamanan digital menciptakan banyak algoritma untuk melawan dan mengalahkan Ddos Attack terhadap TCP, salah satunya Anti Ddos (ADS) yang menggunakan algoritma deteksi untuk mengidentifikasi dengan akurat sumber palsu tanpa mengganggu koneksi.
2. Perlindungan SSL/TLS terhadap Ddos Attack
Umumnya serangan Ddos yang menargetkan protokol SSL/TLS dilancarkan dari sumber Klien sungguhan yang melewati perlindungan TCP. Saat ini tidak ada cara bagus untuk mengalahkan serangan komputasi berbasis SSL/TLS. Namun, perangkat perlindungan Ddos bisa mengidentifikasi aktitivas tidak biasa dari Klien dengan memeriksa pertukaran kunci yang dilakukan oleh Klien. Metode ini berjalan untuk TCH-SSL-DOS.
3. Perlindungan HTTP terhadap Ddos Attack
Algoritma biasa untuk perlindunguan ini sudah tersedia dalam industri keamanan, termasuk direksi 302, autentikasi JavaScript, dan verifikasi gambar untuk membedakan di antara pengguna dan program bot. Akan tetapi, algoritma ini hanya bisa bekerja pada premis dimana informasi HTTP plaintext didapat dari hasil dekripsi. Di samping itu, perangkat protektif perlu melacak masing-masing koneksi HTTPS ke Klien. Yang ternyata perlindungan dari serangan semacam itu akhirnya bergantung pada kinerja SSL/TLS.
Masalah Umum pada Perlindungan HTTPS
Perlindungan dari serangan Ddos terhadap SSL/TLS atau protokol high level lainnya yang menggunakan HTTPS biasanya dapat dibantu dengan proxy pelindung. Contohnya, vendor CDN yang menghapus traffic serangan dengan menyebarkan sejumlah besar perangkat. Server HTTSP yang ditargetkan akan memberikan sertifikat SSL/TLS dan private key pada proxy pelindung Ddos. Alih-alih mengakses Server, Klien akan berkomunikasi dengan proxy pelindung yang mana sedang berinteraksi dengan Server (menggunakan HTTPS atau HTTP). Dalam kasus ini, komunikasi di antara Klien dan Server terjadi dalam bentuk plaintext untuk proxy yang melindungi, sehingga proxy bisa menganalisa data maupun konten untuk keamanan mendatang.
Sistem perlindungan ini juga terdapat kendala untuk diterapkan:
- Pengguna perlu memberikan sertifikat dan private key yang digunakan oleh server mereka kepada proxy pelindung.
- Komunikasi di antara Klien dan Server adalah plaintext bagi proxy, dan menjadi tidak berguna untuk prinsip keamanan.
Optimasi Proteksi HTTPS
Server HTTPS juga memberikan lapisan keamanan pada servis atau aplikasinya. Dalam sesi proses layanan, koneksi SSL/TLS hanya langkah perantara yang dilakukan sebelum mengakses ke bisnis HTTP. Selain menyetel koneksi SSL/TLS, pengguna atau Klien yang sah harus menjalankan pertukaran konten terenkripsi HTTP berikutnya. Apabila Klien gagal melewati autentikasi algoritma HTTP setelah membuat beberapa percobaan koneksi SSL/TLS, konten berikutnya akan dibuang atau mereka akan ditambahkan di blacklist. Berdasarkan analisa interaksi HTTPS dengan keseluruhan, kita bisa memblokir penyerang secara efektif.
Proses autentikasi adalah sebagai berikut;
Pengguna pertama kali perlu mengimpor sertifikat SSL/TLS dan private key ke ADS. Saat serangan HTTPS muncul, ADS akan menyadap koneksi HTTP Klien dan memeriksa keaslian Klien yang menggunakan algoritma autentikasi SSL/TLS dan HTTP. Untuk Klien yang asli, ADS akan mengizinkan komunikasi mereka melewati Server langsung.
Adapun ADS yang diandalkan harus memiliki manfaat sebagai berikut:
- ADS bisa mendekrip konten HTTPS dan melawan serangan HTTP dengan menggunakan berbagai serangkaian algoritma HTTP.
- Pengguna bisa mengimpor sertifikat SSL/TLS untuk mencegah browser dari melaporkan peringatan. Tujuan ini agar pengguna terhindar dari pelanggaran kebijakan hukum.
- ADS hanya bisa memeriksa keaslian Klien, bukan mendekrip dan membersihkan lalu lintas web.
Demikian artikel ini membahas perlawanan terhadap serangan Ddos di 3 protokol utama HTTPS. Bisa disimpulkan, bahwa bagi pemilik aplikasi ataupun situs web yang ingin terhindar dari serangan semacam ini bisa menggunakan proxy pelindung dan sistem Anti Ddos attack yang mana bisa membantu untuk mengidentifikasi aktivitas pengguna yang mencurigakan pada jaringan Anda. Dan juga beli sertifikat SSL/TLS yang berkualitas untuk mengamankan komunikasi web di protokol HTTP dan bisa melewati proses SSL/TLS handshake.
Adapun serangan-serangan siber termasuk Ddos attack ini masih belum bisa dituntaskan secara pasti, sebab mereka akan terus berkembang bersamaan dengan improvisasi teknologi. Apa yang bisa kita lakukan adalah senantiasa mencegah dan menyadari ancaman tersebut dengan melakukan pemeriksaan berkala untuk menghindarinya. Pastikan juga situs web Anda sudah dalam koneksi aman dengan beli sertifikat SSL/TLS berkualitas, yang mana para penjahat di luaran mengincar situs ataupun aplikasi yang rentan dan tidak telindungi.