Isi artikel ini sudah di pindahkan oleh admin ke halaman ini
▼
▼
▼
Showing posts with label Jaringan Internet. Show all posts
Showing posts with label Jaringan Internet. Show all posts
Konsep Dasar dan Pengenalan IP Address
Jaringan Internet
Selamat pagi ketemu lagi dengan saya Admin Whussa, kali ini
saya akan membagikan info Konsep Dasar dan pengenalan IP address yang saya tahu
dan dapatkan semoga dapat bermanfaat bagi yang membacanya.
* Klik di sini jika anda mau mencopy paste isi blog saya
Atau setelah Select kalimat tekan Ctr+C
* Klik di sini jika anda mau mencopy paste isi blog saya
Atau setelah Select kalimat tekan Ctr+C
Walaupun bagi para pengguna Internet umumnya kita hanya
perlu mengenal hostname dari mesin yang dituju, seperti server internasional; com,
net, org, info, biz, name, ws. dan server local; net.id, co.id Untuk Badan Usaha yang mempunyai badan hukum
sah
- .ac.id : Untuk Lembaga Pendidikan
- .go.id : Khusus untuk Lembaga Pemerintahan Republik Indonesia
- .mil.id : Khusus untuk Lembaga Militer Republik Indonesia
- .or.id : Untuk segala macam organisasi yand tidak termasuk dalam kategori “ac.id”,”co.id”,”go.id”,”mil.id” dan lain lain
- .ac.id : Untuk Lembaga Pendidikan
- .go.id : Khusus untuk Lembaga Pemerintahan Republik Indonesia
- .mil.id : Khusus untuk Lembaga Militer Republik Indonesia
- .or.id : Untuk segala macam organisasi yand tidak termasuk dalam kategori “ac.id”,”co.id”,”go.id”,”mil.id” dan lain lain
Bagi komputer untuk bekerja langsung menggunakan informasi
tersebut akan relatif lebih sulit karena tidak ada keteraturan yang dapat di
programkan dengan mudah. Untuk mengatasi hal tersebut, komputer
mengidentifikasi alamat setiap komputer menggunakan sekumpulan angka sebanyak
32 bit yang dikenal sebagai IP address.
IP Address (Internet Protocol Address) adalah
suatu identitas numerik yang dilabelkan kepada suatu alat seperti komputer,
router atau printer yang terdapat dalam suatu jaringan komputer yang
menggunakan internet protocolsebagai sarana komunikasi. IP address
memiliki dua fungsi, yakni:
-
Sebagai alat identifikasi host atau antarmuka
pada jaringan. Fungsi ini diilustrasikan seperti nama orang sebagai suatu
metode untuk mengenali siapa orang tersebut. dalam jaringan komputer berlaku
hal yang sama.
-
Sebagai alamat lokasi jaringan. Fungsi ini
diilustrasikan seperti alamat rumah kita yang menunjukkan lokasi kita berada.
Untuk memudahkan pengiriman paket data, maka IP address memuat informasi
keberadaannya. Ada rute yang harus dilalui agar data dapat sampai ke komputer
yang dituju.
IP address menggunakan bilangan 32 bit. Sistem ini dikenal
dengan nama Internet Protocol version 4 atau IPv4. Saat ini IPv4 masih
digunakan meskipun sudah ada IPv6 yang diperkenalkan pada tahun 1995. Hal ini
dikarenakan tingginya pertumbuhan jumlah komputer yang terkoneksi ke internet.
Maka dibutuhkan alamat yang lebih banyak yang mampu mengidentifikasi banyak
anggota jaringan.
Ilustrasi
IP Addres dalam desimal dan biner dapat dilihat pada gambar 1 berikut :
Adanya IP Address merupakan konsekuensi dari penerapan
Internet Protocol untuk mengintegrasikan jaringan komputer Internet di dunia.
Seluruh host (komputer) yang terhubung ke Internet dan ingin berkomunikasi
memakai TCP/IP harus memiliki IP Address sebagai alat pengenal host pada
network. Secara logika, Internet merupakan suatu network besar yang terdiri
dari berbagai sub network yang terintegrasi. Oleh karena itu, suatu IP Address
harus bersifat unik untuk seluruh dunia. Tidak boleh ada satu IP Address yang
sama dipakai oleh dua host yang berbeda. Untuk itu, penggunaan IP Address di
seluruh dunia dikoordinasi oleh lembaga sentral Internet yang di kenal dengan
IANA – salah satunya adalah Network Information Center (NIC) yang menjadi
koordinator utama di dunia untuk urusan alokasi IP Address ini adalah :InterNIC
Registration Services Network Solution Incorporated 505 Huntmar Park Drive,
Herndon, Virginia 22070 Tel: [800] 444-4345, [703] 742-4777 FAX: [703] 742-4811
E-mail: hostmaster@internic.netSedangkan untuk tingkat Asia Pasifik saat ini masih
dikoordinasi oleh: Asia Pacific Network Information Center c/o Internet
Initiative Japan, Inc. Sanbancho Annex Bldg., 1-4, Sanban-cho, Chiyoda-ku,
Tokyo, 102 Japan Tel: +81-3-5276-3973 FAX: +81-3-5276-6239 E-mail:
domreg@apnic.net http://www.apnic.net
Struktur IP Address
IP Address terdiri dari bilangan biner sepanjang 32 bit yang
dibagi atas 4 segmen. Tiap segmen terdiri atas 8 bit yang berarti memiliki
nilai desimal dari 0 – 255. Range address yang bisa digunakan adalah dari
00000000.00000000.00000000.00000000 sampai dengan
11111111.11111111.11111111.11111111. Jadi, ada sebanyak 232 kombinasi address
yang bisa dipakai diseluruh dunia (walaupun pada kenyataannya ada sejumlah IP
Address yang digunakan untuk keperluan khusus). Jadi, jaringan TCP/IP dengan 32
bit address ini mampu menampung sebanyak 232 atau lebih dari 4 milyar host.
Untuk memudahkan pembacaan dan penulisan, IP Address biasanya direpresentasikan
dalam bilangan desimal. Jadi, range address di atas dapat diubah menjadi
address 0.0.0.0 sampai address 255.255.255.255.
IP Address dapat dipisahkan menjadi dua bagian, yaitu host
ID dan network ID. Host ID berfungsi untuk mengidentifikasi host dalam suatu
jaringan. Sedangkan Network ID berfungsi untuk mengidentifikasikan suatu
jaringan dari jaringan yang lain. Hal ini berarti seluruh host yang tersambung
di dalam jaringan yang sama memiliki network ID yang sama pula. Sebagian dari
bit-bit bagian awal dari IP Address merupakan network ID atau network number,
sedangkan sisanya untuk host. Garis pemisah antara bagian network dan host
tidak tetap (konstan), tergantung pada kelas network yang kita gunakan.
Kelas IP Address
Ada 3 kelas address yang utama dalam TCP/IP, yakni kelas A,
kelas B dan kelas C. Perangkat lunak Internet Protocol menentukan pembagian
jenis kelas ini dengan menguji beberapa bit pertama dari IP Address. Penentuan
kelas ini dilakukan dengan cara berikut : ·
Jika bit pertama dari IP Address adalah 0, address merupakan
network kelas A. Bit ini dan 7 bit berikutnya (8 bit pertama) merupakan bit
network sedangkan 24 bit terakhir merupakan bit host. Dengan demikian hanya ada
128 network kelas A, yakni dari nomor 0.xxx.xxx.xxx sampai 127.xxx.xxx.xxx,
tetapi setiap network dapat menampung lebih dari 16 juta (2563) host (xxx
adalah variabel, nilainya dari 0 s/d 255). Ilustrasinya dapat dilihat pada
gambar 2 berikut.
Jika 2 bit pertama dari IP Address adalah 10, address
merupakan network kelas B. Dua bit ini dan 14 bit berikutnya (16 bit pertama)
merupakan bit network sedangkan 16 bit terakhir merupakan bit host. Dengan
demikian terdapat lebih dari 16 ribu network kelas B (64 x 256), yakni dari
network 128.0.xxx.xxx – 191.255.xxx.xxx. Setiap network kelas B mampu menampung
lebih dari 65 ribu host (2562). Ilustrasinya dapat dilihat pada gambar 3
berikut.
Jika 3 bit pertama dari IP Address adalah 110, address
merupakan network kelas C. Tiga bit ini dan 21 bit berikutnya (24 bit pertama)
merupakan bit network sedangkan 8 bit terakhir merupakan bit host. Dengan
demikian terdapat lebih dari 2 juta network kelas C (32 x 256 x 256), yakni
dari nomor 192.0.0.xxx sampai 223.255.255.xxx. Setiap network kelas C hanya
mampu menampung sekitar 256 host. Ilustrasinya dapat dilihat pada gambar 4.
Selain ke tiga kelas di atas, ada 2 kelas lagi yang
ditujukan untuk pemakaian khusus, yakni kelas D dan kelas E. Jika 4 bit pertama
adalah 1110, IP Address merupakan kelas D yang digunakan untuk multicast
address, yakni sejumlah komputer yang memakai bersama suatu aplikasi (bedakan
dengan pengertian network address yang mengacu kepada sejumlah komputer yang
memakai bersama suatu network). Salah satu penggunaan multicast address yang
sedang berkembang saat ini di Internet adalah untuk aplikasi real-time video
conference yang melibatkan lebih dari dua host (multipoint), menggunakan
Multicast Backbone (MBone). Kelas terakhir adalah kelas E (4 bit pertama adalah
1111 atau sisa dari seluruh kelas). Pemakaiannya dicadangkan untuk kegiatan
eksperimental.
Jenis kelas address yang diberikan oleh kooordinator IP
Address bergantung kepada kebutuhan instansi yang meminta, yakni jumlah host
yang akan diintegrasikan dalam network dan rencana pengembangan untuk beberapa
tahun mendatang. Untuk perusahaan, kantor pemerintah atau universitas besar
yang memiliki puluhan ribu komputer dan sangat berpotensi untuk tumbuh menjadi
jutaan komputer, koordinator IP Address akan mempertimbangkan untuk memberikan
kelas A. Contoh IP Address kelas A yang dipakai di Internet adalah untuk amatir
paket radio seluruh dunia, mendapat IP nomor 44.xxx.xxx.xxx. Untuk kelas B,
contohnya adalah nomor 167.205.xxx.xxx yang dialokasikan untuk ITB dan jaringan
yang terkait ke ITB dibawah koordinator Onno W. Purbo.
Ada beberapa IP-Address dari kelas A, B dan C yang digunakan
untuk alamat khusus, yaitu sbb. :
Special IP-Address.
Special Address Bit
Network Bit Host Contoh
Network Address
Spesifik 0 semua 172.124.0.0
Broadcast Address
Spesifik 1 semua 172.124.255.255
Subnet Mask 1
semua 0 semua 255.255.0.0
Address Khusus
Network Address ditentukan dengan memberikan nilai 0 untuk
semua bit HOST.
Contohnya : IP Address suatu Host adalah 200.202.42.5 maka Network Address-nya
adalah 200.202.42.0
Seluruh Host pada Network yang sama akan memiliki Network
Address yang sama.
Broadcast Address
Broadcast Address adalah alamat untuk mengirim informasi
keseluruh Host dalam suatu Network.
Broadcast Address ditentukan dengan memberikan nilai 1 untuk semua bit
HOST.
Contohnya : IP Address suatu Host adalah 200.202.42.5 maka Broadcast Address-nya
adalah 200.202.42.255
Seluruh Host pada Network akan memiliki Broadcast Address
yang sama.
Netmasking
Untuk memisahkan bit Network dengan bit Host pada IP Address,
maka diciptakan default mask (netmask) dengan cara merubah bit Network dengan
bit 1 dan merubah bit Host dengan bit 0, sehingga klasifikasi dari IP Address
terlihat lebih jelas.
Proses Netmasking
IP-Address.
Klasifikasi IP
Address Netmask
Kelas - A
0NNNNNNN.hhhhhhhh.hhhhhhhh.hhhhhhhh
11111111 .
00000000.00000000.00000000
255.0.0.0
Kelas - B
10NNNNNN.NNNNNNNN.hhhhhhhh.hhhhhhhh
11111111 . 11111111
. 00000000.00000000
255.255.0.0
Kelas - C
110NNNNN.NNNNNNNN.NNNNNNNN.hhhhhhhh
11111111 . 11111111
. 11111111 . 00000000
255.255.255.0
Hasil Netmasking IP Address ini umumnya disebut Subnetmask,
dan biasanya jumlah bit 1 hasil Netmasking ini disertakan pada IP-Address.
Contohnya :
10.0.0.5 / 8
= 10 . 0 . 0 . 5 255 . 0 . 0 . 0
154.16.0.1 / 16
= 154 . 16 . 0 . 3 255 . 255 . 0 . 0
192.168.1.3 / 24
= 192 . 168 . 1 . 3 255 . 255 . 255 . 0
IP Private dan IP Public
Berdasarkan jenisnya IP address dibedakan menjadi 2 macam yaitu IP Private dan IP Public.
IP Private adalah suatu IP address yang digunakan oleh suatu organisasi yang diperuntukkan untuk jaringan lokal. Sehingga organisasi lain dari luar organisasi tersebut tidak dapat melakukan komunikasi dengan jaringan lokal tersebut. Contoh pemakaiannya adalah pada jaringan intranet.
Sedangkan Range IP Private adalah sebagai berikut :
Kelas A : 10.0.0.0 – 10.255.255.255
Kelas B : 172.16.0.0 – 172.31.255.255
Kelas C : 192.168.0.0 – 192.168.255.255
IP Public adalah suatu IP address yang digunakan pada jaringan lokal oleh suatu organisasi dan organisasi lain dari luar organisasi tersebut dapat melakukan komunikasi langsung dengan jaringan lokal tersebut. Contoh pemakaiannya adalah pada jaringan internet.
Sedangkan range dari IP Public : range IP address yang tidak termasuk dalam IP Private. Untuk mengetahui lebih lanjut klik disini
Firewall Filter untuk menghadapi serangan Denial of Service “ DoS”
Jaringan Internet
Selamat Pagi , ketemu lagi dengan saya Admin Whuss, kali ini kita akan membahas Firewall filter mikrotik yang dapat memblok Denial of service yang biasa disingkat dan disebut DOS (bukan dos-prompt microsoft) merupakan salah satu tipe serangan attacker kearah jaringan yang bertujuan untuk menghentikan sementara atau selamanya fungsi operasi dari sebuah system. semoga bermanfaat.
Secara umum ada 4 macam jenis serangan DOS, walaupun tidak menutup kemungkinan terjadinya flood atau jenis serangan DOS lainnya. Sekaligus disini juga akan dituliskan rule penangkalnya pada MikroTik Router dengan asumsi MikroTik RouterOS telah difungsikan sebagai router sebelumnya serta jalur koneksi telah benar (invalid, stabilished, related dan sebagainya). 4 type serangan DOS terdiri dari:
1. Ping Of Death.
Attackers mengirimkan serangkaian paket data ke target yang tidak sesuai ketentuan aturan jaringan. Jika secara terus menerus bisa mengakibatkan jalur koneksi penuh dan berakibat drop nya server karena tidak bisa menampung kebutuhan tersebut.
Cara mengatasinya, buat rule dengan accept icmp yang ter-filter:
/ip firewall filter
add chain=input protocol=icmp action=jump jump-target=icmp
add chain=icmp protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept comment="Limited Ping Flood" disabled=no
add chain=icmp protocol=icmp icmp-options=3:3 limit=5,5 action=accept comment="" disabled=no
add chain=icmp protocol=icmp icmp-options=3:4 limit=5,5 action=accept comment="" disabled=no
add chain=icmp protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept comment="" disabled=no
add chain=icmp protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept comment="" disabled=no
add chain=icmp protocol=icmp action=drop comment="" disabled=no
2. SYN Flood.
Attackers mengirimkan paket TCP SYN ke objek target, sehingga berdampak objek target mengalami hang karena harus menyelesaikan proses koneksi dalam jumlah yang tak terbatas dan berakibat resources yang dimiliki mengalami drop.
Cara mengatasinya, buat rule dengan accept TCP-SYN yang ter-filter:
/ip firewall filter
add chain=input protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect comment="Flood protect" disabled=no
add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new action=accept comment="" disabled=no
add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new action=drop comment="" disabled=no
3. Land/Lattiera.
Serangan yang dilakukan oleh Attackers dengan mengirimkan paket SYN, yang memiliki alamat port/source yang sama dengan objek target.
Cara mengatasinya, lakukan hal yang sama seperti cara menangkal SYN-FLOOD, hanya saja disini ditambahkan "chain forward" akses SYN, yang mana dibelokkan (jump) ke "chain SYN-Protect". Sehingga rule-nya menjadi seperti berikut:
/ip firewall filter
add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect comment="Flood protect" disabled=no
add chain=input protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect comment="" disabled=no
add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new action=accept comment="" disabled=no
add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new action=drop comment="" disabled=no
4. WinNuke.
Pengiriman data OOB/ORG pada koneksi dengan menggunakan TCP ke port 139 (NetBios Session/SMB) yang berakibat OS (dalam hal ini adalah windows) mengalami hang.
Penangkalnya, tutup protocol tcp yang menggunakan port 139, begitu juga protocol udp port 139 untuk menghindari hal yang tidak diinginkan:
/ip web-proxy direct
add dst-port=139 action=deny comment="" disabled=no
/ip firewall mangle
add chain=prerouting protocol=tcp dst-port=139 action=mark-connection new-connection-mark=drop-port
add chain=prerouting protocol=udp dst-port=139 action=mark-connection new-connection-mark=drop-port
/ip firewall filter
add chain=input connection-mark=drop-port action=drop comment="drop port" disabled=no
add chain=forward connection-mark=drop-port action=drop comment="" disabled=no
Sengaja ditambahkan rule "forward" yang mana artinya koneksi tersebut berasal dari jaringan dalam, untuk menghindari hal yang tidak diinginkan, terkadang Attacker juga bisa berasal dari dalam jaringan kita sendiri.
Memahami Serangan Denial of Service “ Dos”
Jaringan Internet
Selamat Siang ketemu lagi dengan saya Admin Whuss kali ini saya akan menjelaskan mengenai jenis serangan yang bisa dikatakan tidak ada obatnya, yaitu denial of service atau DoS. Bila serangan DoS ini dilakukan secara beramai-ramai dan terorganisir dengan baik, maka akan menghasilkan kerusakan yang dahsyat dan sanggup melumpuhkan situs-situs populer seperti facebook.com , twitter.com metaspolit.com dan lainnya.
Apa itu DoS
Denial of service adalah jenis serangan yang tujuannya adalah mencegah pengguna yang sesungguhnya menikmati layanan yang diberikan server. Server sesuai namanya adalah pelayan yang harus selalu siap melayani permintaan pengguna, yang umumnya beroperasi 24 jam tanpa henti. Contohnya adalah web server yang bertugas melayani pengunjung web menyediakan informasi dalam bentuk halaman html. Dalam kondisi normal, pengunjung dapat meminta resource dari web server untuk ditampilkan dalam browsernya, namun bila web server terkena serangan DoS maka pengunjung tidak bisa menikmati layanan web server.
Secara umum ada 2 cara melakukan serangan DoS:
1. Mematikan Server
2. Menyibukkan Server
§ Tanpa bug/vulnerability
§ Meng-exploit bug/vulnerability
DoS dengan Mematikan Server: Kill Them!
Anda pernah mengalami ingin memakai telepon umum atau ATM namun tidak bisa karena di mesin tersebut ditempel kertas berisi pesan “Out of Service” atau “Sedang dalam perbaikan”. Telepon umum adalah target serangan DoS yang biasa terjadi, dimana-mana kita menemukan telpon umum yang rusak karena serangan DoS seperti membanting gagang telpon, mencabut kabel, memecahkan LCD dan aksi-aksi lainnya.
Tujuan serangan ini adalah membuat server shutdown, reboot, crash, “not responding”. Jadi serangan ini menghasilkan kerusakan yang sifatnya persisten artinya kondisi DoS akan tetap terjadi walaupun attacker sudah berhenti menyerang, server baru normal kembali setelah di-restart/reboot.
Bagaimana cara serangan DoS ini dilakukan? Serangan ini dilakukan dengan meng-exploit bug/vulnerability pada server. Kata kunci pada vulnerability jenis ini biasanya adalah “specially/carefully crafted packet/request”, yang artinya paket yang dirancang khusus. Kenapa dirancang khusus? Sebab dalam paket itu mengandung sifat tertentu yang membuat server mati ketika mengolah paket khusus itu.
Mari kita perhatikan beberapa contoh vulnerability yang berakibat pada DoS attack:
§ Ping of Death ( CA-1996-26 )
Ini adalah jenis bug yang sudah sangat tua. Praktis sudah tidak ada lagi sistem yang vulnerable terhadap bug ini. Bug ini bila diexploit akan membuat server crash, freeze atau reboot.Serangan ini dilakukan dengan mengirimkan “specially crafted” paket berupa oversized ICMP packet, yaitu paket yang ukurannya di atas normal. Ketika server menerima dan memproses paket yang “aneh” ini, maka server akan crash, freeze atau reboot. Ini adalah contoh serangan DoS “one shot one kill” karena bisa merusak server hanya dengan satu tembakan saja.
§ MySQL IF Query DoS ( SA25188 )
Bug ini akan membuat mysql server menjadi crash hanya dengan mengirim sql khusus yang mengandung fungsi IF() contohnya: “SELECT id from example WHERE id IN(1, (SELECT IF(1=0,1,2/0)))”. Ini juga jenis serangan “one shot one kill”.
§ Cisco Global Site Selector DNS Request Denial of Service ( SA33429 )
Bug ini membuat DNS server Cisco mati dengan mengirimkan beberapa “specially crafted” paket request DNS dalam urutan tertentu.
Tiga contoh di atas kiranya cukup memberikan gambaran tentang bagaimana serangan DoS jenis ini dilakukan. Pada intinya adalah attacker memanfaatkan (baca:mengexploit) bug yang membuat server berhenti bekerja dan biasanya dilakukan sendirian secara remote dengan mengirimkan specially crafted packet.
DoS dengan Menyibukkan Server: Make Them As Busy As Possible!
Pada waktu menjelang lebaran kita sering merasa begitu sulit mengirim sms, bahkan sering terjadi gagal kirim. Begitu juga ketika berlangsung acara kuis di TV, mengelpon ke nomor untuk menjawab kuis terasa begitu sulit. Hal ini terjadi karena ada begitu banyak orang yang mengirim sms pada saat lebaran dan menelpon pada waktu kuis sehingga membuat jaringan telekomunikasi menjadi begitu sibuk sampai tidak bisa melayani pengguna lain. Peristiwa itu mirip dengan yang terjadi ketika sebuah server mendapat serangan denial of service. DoS yang terjadi pada peristiwa tersebut bukan jenis DoS yang mematikan server, namun jenis DoS yang menyibukkan server.
Jenis DoS ini bersifat sementara, server akan kembali normal bila attacker berhenti mengirimkan request yang membuat sibuk server.
DoS jenis ini terbagi lagi menjadi 2 jenis berdasarkan cara melakukan serangan:
§ Exploiting vulnerability: Menyerang dengan malicious request/packet
§ No vulnerability exploitation: Menyerang dengan normal request/packet
Membuat server sibuk dengan mengexploitasi vulnerability lebih cepat daripada tanpa mengeksploit vulnerability.
Make Server Busy by Exploiting Vulnerability
Dalam serangan DoS jenis ini, attacker memanfatkan bug yang membuat server berlebihan dalam menggunakan resource (cpu,memory,disk space dsb). Attacker akan mencari cara bagaimana agar membuat server bekerja ekstra keras (jauh lebih keras dari request normal) untuk melayani request dia. Biasanya serangan DoS jenis ini tidak berupa serangan “one shot one kill”. Serangan dilakukan dengan melakukan banyak request dengan setiap request membuat server mengonsumsi lebih banyak resource dari request yang normal.
Dalam hitungan matematika sederhana, bila attacker bisa membuat server bekerja selama 10 detik hanya untuk melayani dia (misal normalnya 0,1 detik), maka attacker bisa mengirimkan request 1.000x untuk membuat server melayani dia selama 10.000 detik (2,7 jam lebih) sehingga membuat pengguna lain tidak bisa menikmati layanan server.
Untuk lebih memahami DoS jenis ini, mari kita lihat contoh-contoh vulnerability yang bisa diexploit untuk melancarkan serangan DoS jenis ini:
§ TCP SYN Flood DoS
Ini adalah serangan DoS yang sudah sangat tua. Attacker menyerang dengan cara membanjiri server dengan malicious request berupa paket SYN dengan fake source IP address. SYN packet adalah paket dari client yang mengawali terbentuknya koneksi TCP/IP, setelah itu server akan membalas dengan SYN-ACK, dan dilengkapi dengan paket SYN-ACK-ACK dari client, tiga proses ini disebut three way handshake.
Triknya adalah pada fake source ip address pada paket SYN dari client. Akibatnya server akan mengirim SYN-ACK (step 2) ke ip address yang salah sehingga server juga tidak akan mendapatkan balasan SYN-ACK-ACK dari client. Padahal untuk setiap client yang mencoba membuka koneksi, server akan mengalokasikan resource seperti memori dan waktu untuk menunggu datangnya balasan ACK dari client. Dengan cara ini attacker menghabiskan resource server hanya untuk melayani request palsu dari attacker.
§ Apache mod_deflate DoS
Apache menggunakan mod_deflate untuk memampatkan file. Bila visitor meminta sebuah file, maka apache akan menggunakan mod_deflate untuk memampatkannya kemudian mengirimkan ke visitor tersebut. Namun bila di tengah proses pemampatan, visitor memutuskan koneksi TCP, Apache masih terus bekerja memampatkan file untuk visitor yang sebenarnya sudah tidak ada (sudah disconnect). Jadi bugnya adalah pada borosnya pemakaian resource cpu untuk memampatkan file untuk client yang sudah tidak ada.
Attacker memanfaatkan kelemahan ini dengan meminta sebuah file yang berukuran besar, kemudian dalam waktu singkat memutuskan koneksi sehingga membuat server bekerja keras mempatkan file untuk visitor yang sudah tidak ada. Request ini diulang berkali-kali sampai server begitu sibuknya dan semua resource cpu habis.
Dua contoh vulnerability di atas cukup menjelaskan bagaimana serangan DoS jenis ini dilakukan. Pada intinya adalah dengan mengirim banyak malicious request/paket yang membuat server mengonsumsi resource lebih banyak dan lebih lama untuk setiap requestnya.
Make Server Busy Without Exploiting Vulnerability
Ini adalah jenis serangan yang mengandalkan pada kemampuan mengirimkan normal request sebanyak-banyaknya sehingga server menjadi sibuk. Perbedaan DoS jenis ini dengan DoS yang mengexploit vulnerability adalah pada requestnya. Request yang dikirimkan pada DoS jenis ini adalah request yang normal seperti yang dilakukan pengguna biasa, sehingga server tidak mengonsumsi resource berlebihan. Sedangkan DoS yang mengandalkan vulnerability mengirimkan specially crafted malicious request untuk membuat server mengonsumsi resource lebih banyak untuk melayani malicious request tersebut.
Normal request hanya membuat server mengonsumsi resource dalam jumlah biasa-biasa saja, tidak akan mengganggu kerja server secara keseluruhan. Diperlukan normal request dalam jumlah yang sangat banyak untuk membuat server terganggu kerjanya. Jadi agar serangan ini menjadi efektif, maka serangan harus dilakukan beramai-ramai dari banyak tempat, semakin banyak penyerang semakin bagus hasilnya. Serangan ini juga disebut dengan distributed DoS (DDoS) karena dilakukan dari banyak lokasi yang terdistribusi (tersebar).
Serangan
DDoS dilakukan dengan menggunakan komputer zombie atau robot. Zombie adalah
komputer yang sudah dikuasai attacker sehingga bisa dikendalikan dari jarak
jauh. Sekumpulan komputer zombie membentuk jaringan yang disebut bot-net.
Attacker mendapatkan banyak zombie dengan menyebarkan virus atau worm, setiap
komputer yang terinfeksi akan diinstall program yang membuat komputer bersedia
menjalankan perintah dari attacker.
Gambar di atas menjelaskan cara kerja DDoS.
Attacker memberi perintah kepada semua pasukannya untuk membuat request HTTP ke
sebuah website. Bila pasukan yang dikuasai attacker sangat besar, maka web
server akan dibanjiri request sehingga menjadi terlalu sibuk dan tidak bisa
diakses oleh pengguna yang sebenarnya (real visitor).
Serangan
jenis ini bisa dibilang belum ada obatnya yang ampuh karena attacker tidak meng-exploit bug atau
vulnerability apapun. Bila pada jenis DoS yang lain, serangan dapat dicegah
dengan melakukan patching atau update software, maka serangan ini tidak bisa
dihentikan dengan update atau patch.
Tambahan
Jika anda OP warnet yang mengunakan mikrotik sebagai router board mungkin anda bisa mencoba mengunakan firewall filter untuk meminimalisir terjadinya serangan DoS klik disini untuk melanjutkan
Firewall Filter Blok Virus dan Penyusup
Jaringan InternetSelamat Siang, saya Admin Whuss akan membagi info Firewall Filter Blok Virus dan Penyusup yang dapat mencegah ganguan internet untuk warnet . semoga postingan ini bermanfaat.
* Klik di sini jika anda mau mencopy paste isi blog saya
Atau setelah Select kalimat tekan Ctr+C
[admin@.............] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=drop protocol=tcp dst-port=135-139 log=no
log-prefix=""
1 chain=forward action=drop protocol=udp dst-port=135-139 log=no
log-prefix=""
2 chain=forward action=drop protocol=tcp dst-port=445 log=no log-prefix=""
3 chain=forward action=drop protocol=udp dst-port=445 log=no log-prefix=""
4 chain=forward action=drop protocol=tcp dst-port=593 log=no log-prefix=""
5 chain=forward action=drop protocol=tcp dst-port=4444 log=no log-prefix=""
6 chain=forward action=drop protocol=tcp dst-port=5554 log=no log-prefix=""
7 chain=forward action=drop protocol=tcp dst-port=9996 log=no log-prefix=""
8 chain=forward action=drop protocol=udp dst-port=995-999 log=no
log-prefix=""
9 chain=forward action=drop protocol=tcp dst-port=53 log=no log-prefix=""
10 chain=forward action=drop protocol=tcp dst-port=55 log=no log-prefix=""
11 ;;; hromgrafx
chain=virus action=drop protocol=tcp dst-port=1373 log=no log-prefix=""
12 ;;; cichlid
chain=virus action=drop protocol=tcp dst-port=1377 log=no log-prefix=""
13 ;;; Worm
chain=virus action=drop protocol=tcp dst-port=1433-1434 log=no
log-prefix=""
14 ;;; Worm
chain=virus action=drop protocol=tcp dst-port=4444 log=no log-prefix=""
15 ;;; Worm
chain=virus action=drop protocol=udp dst-port=4444 log=no log-prefix=""
16 chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""
17 chain=forward action=drop connection-state=invalid log=no log-prefix=""
18 chain=virus action=drop protocol=tcp dst-port=135-139 log=no log-prefix=">
19 chain=virus action=drop protocol=tcp dst-port=1433-1434 log=no
log-prefix=""
20 chain=virus action=drop protocol=tcp dst-port=445 log=no log-prefix=""
21 chain=virus action=drop protocol=udp dst-port=445 log=no log-prefix=""
22 chain=virus action=drop protocol=tcp dst-port=593 log=no log-prefix=""
23 chain=virus action=drop protocol=tcp dst-port=1024-1030 log=no
log-prefix=""
24 chain=virus action=drop protocol=tcp dst-port=1080 log=no log-prefix=""
25 chain=virus action=drop protocol=tcp dst-port=1214 log=no log-prefix=""
26 chain=virus action=drop protocol=tcp dst-port=1363 log=no log-prefix=""
27 chain=virus action=drop protocol=tcp dst-port=1364 log=no log-prefix=""
28 chain=virus action=drop protocol=tcp dst-port=1368 log=no log-prefix=""
29 chain=virus action=drop protocol=tcp dst-port=1373 log=no log-prefix=""
30 chain=virus action=drop protocol=tcp dst-port=1377 log=no log-prefix=""
31 chain=virus action=drop protocol=tcp dst-port=2745 log=no log-prefix=""
32 chain=virus action=drop protocol=tcp dst-port=2283 log=no log-prefix=""
33 chain=virus action=drop protocol=tcp dst-port=2535 log=no log-prefix=""
34 chain=virus action=drop protocol=tcp dst-port=2745 log=no log-prefix=""
35 chain=virus action=drop protocol=tcp dst-port=3127 log=no log-prefix=""
36 chain=virus action=drop protocol=tcp dst-port=3410 log=no log-prefix=""
37 chain=virus action=drop protocol=tcp dst-port=4444 log=no log-prefix=""
38 chain=virus action=drop protocol=udp dst-port=4444 log=no log-prefix=""
39 chain=virus action=drop protocol=tcp dst-port=5554 log=no log-prefix=""
40 chain=virus action=drop protocol=tcp dst-port=8866 log=no log-prefix=""
41 chain=virus action=drop protocol=tcp dst-port=9898 log=no log-prefix=""
42 chain=virus action=drop protocol=tcp dst-port=10080 log=no log-prefix=""
43 chain=virus action=drop protocol=tcp dst-port=12345 log=no log-prefix=""
44 chain=virus action=drop protocol=tcp dst-port=17300 log=no log-prefix=""
45 chain=virus action=drop protocol=tcp dst-port=27374 log=no log-prefix=""
46 chain=virus action=drop protocol=tcp dst-port=65506 log=no log-prefix=""
47 chain=forward action=jump jump-target=virus log=no log-prefix=""
48 chain=input action=drop connection-state=invalid log=no log-prefix=""
49 chain=input action=accept protocol=udp log=no log-prefix=""
50 chain=input action=accept protocol=icmp limit=50/5s,2 log=no log-prefix=">
51 chain=input action=drop protocol=icmp log=no log-prefix=""
52 chain=input action=accept protocol=tcp dst-port=21 log=no log-prefix=""
53 chain=input action=accept protocol=tcp dst-port=22 log=no log-prefix=""
54 chain=input action=accept protocol=tcp dst-port=23 log=no log-prefix=""
55 chain=input action=accept protocol=tcp dst-port=80 log=no log-prefix=""
56 chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""
57 chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""
58 chain=input action=accept protocol=tcp dst-port=23 log=no log-prefix=""
59 chain=input action=accept protocol=tcp dst-port=80 log=no log-prefix=""
60 chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""
61 chain=input action=add-src-to-address-list protocol=tcp address-list=DDOS
address-list-timeout=15s dst-port=1337 log=no log-prefix=""
62 chain=input action=add-src-to-address-list protocol=tcp
src-address-list=knock address-list=DDOS address-list-timeout=15m
dst-port=7331 log=no log-prefix=""
63 ;;; Port scanners to list
chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
64 ;;; SYN/FIN scan
chain=input action=add-src-to-address-list tcp-flags=fin,syn
protocol=tcp address-list=port scanners address-list-timeout=2w log=no
log-prefix=""
65 ;;; SYN/RST scan
chain=input action=add-src-to-address-list tcp-flags=syn,rst
protocol=tcp address-list=port scanners address-list-timeout=2w log=no
log-prefix=""
66 ;;; FIN/PSH/URG scan
chain=input action=add-src-to-address-list
tcp-flags=fin,psh,urg,!syn,!rst,!ack protocol=tcp
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
67 ;;; ALL/ALL scan
chain=input action=add-src-to-address-list
tcp-flags=fin,syn,rst,psh,ack,urg protocol=tcp
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
68 ;;; NMAP NULL scan
chain=input action=add-src-to-address-list
tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg protocol=tcp
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
69 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=61.213.183.1-61.213.183.254 dst-port=0-65535 log=no
log-prefix=""
70 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=67.195.134.1-67.195.134.254 dst-port=0-65535 log=no
log-prefix=""
71 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=68.142.233.1-68.142.233.254 dst-port=0-65535 log=no
log-prefix=""
72 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=68.180.217.1-68.180.217.254 dst-port=0-65535 log=no
log-prefix=""
73 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=203.84.204.1-203.84.204.254 dst-port=0-65535 log=no
log-prefix=""
74 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=69.63.176.1-69.63.176.254 dst-port=0-65535 log=no
log-prefix=""
75 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=69.63.181.1-69.63.181.254 dst-port=0-65535 log=no
log-prefix=""
76 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=63.245.209.1-63.245.209.254 dst-port=0-65535 log=no
log-prefix=""
77 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=63.245.213.1-63.245.213.254 dst-port=0-65535 log=no
log-prefix=""
78 chain=input action=jump jump-target=icmp protocol=icmp log=no
log-prefix=""
79 ;;; Limited Ping Flood
chain=icmp action=accept protocol=icmp icmp-options=0:0-255 limit=5,5
log=no log-prefix=""
80 chain=icmp action=accept protocol=icmp icmp-options=3:3 limit=5,5 log=no
log-prefix=""
81 chain=icmp action=accept protocol=icmp icmp-options=3:4 limit=5,5 log=no
log-prefix=""
82 chain=icmp action=accept protocol=icmp icmp-options=8:0-255 limit=5,5
log=no log-prefix=""
83 chain=icmp action=accept protocol=icmp icmp-options=11:0-255 limit=5,5
log=no log-prefix=""
84 chain=icmp action=drop protocol=icmp log=no log-prefix=""
85 ;;; Flood protect
chain=input action=jump jump-target=SYN-Protect tcp-flags=syn
connection-state=new protocol=tcp log=no log-prefix=""
86 chain=SYN-Protect action=accept tcp-flags=syn connection-state=new
protocol=tcp limit=400,5 log=no log-prefix=""
87 chain=SYN-Protect action=drop tcp-flags=syn connection-state=new
protocol=tcp log=no log-prefix=""
88 ;;; Flood protect
chain=forward action=jump jump-target=SYN-Protect tcp-flags=syn
connection-state=new protocol=tcp log=no log-prefix=""
89 chain=input action=jump jump-target=SYN-Protect tcp-flags=syn
connection-state=new protocol=tcp log=no log-prefix=""
90 chain=SYN-Protect action=accept tcp-flags=syn connection-state=new
protocol=tcp limit=400,5 log=no log-prefix=""
91 chain=SYN-Protect action=drop tcp-flags=syn connection-state=new
protocol=tcp log=no log-prefix=""
92 ;;; drop port
chain=input action=drop connection-mark=drop-port log=no log-prefix=""
93 chain=forward action=drop connection-mark=drop-port log=no log-prefix=""
94 ;;; Block UltraSurf
chain=forward action=drop protocol=tcp src-address-list=UltraSurfUsers
dst-port=443 log=no log-prefix=""
95 ;;; allow
chain=forward action=accept connection-state=established log=no
log-prefix=""
96 ;;; allow
chain=forward action=accept connection-state=related log=no
log-prefix=""
97 chain=input action=accept tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
protocol=tcp log=no log-prefix=""
98 ;;; Allow
chain=input action=accept connection-state=established log=no
log-prefix=""
99 ;;; detect and drop port scan connections
chain=input action=drop protocol=tcp psd=21,3s,3,1 log=no log-prefix=""
100 ;;; detect DoS attack
chain=input action=add-src-to-address-list protocol=tcp
address-list=black_list address-list-timeout=1d connection-limit=10,32
log=no log-prefix=""
101 ;;; Accept established connections
chain=input action=accept connection-state=established log=no
log-prefix=""
102 ;;; Accept related connections
chain=input action=accept connection-state=related log=no log-prefix=""
103 ;;; Drop invalid connections
chain=input action=drop connection-state=invalid log=no log-prefix=""
104 ;;; UDP
chain=input action=accept protocol=udp log=no log-prefix=""
105 ;;; drop invalid connections
chain=forward action=drop connection-state=invalid log=no log-prefix=""
106 ;;; Allow limited pings
chain=input action=accept protocol=icmp limit=50/5s,2 log=no
log-prefix=""
107 ;;; Drop excess pings
chain=input action=drop protocol=icmp log=no log-prefix=""
108 ;;; Drop Blaster Worm
chain=virus action=drop protocol=tcp dst-port=135-139 log=no
log-prefix=""
109 ;;; Drop Messenger Worm
chain=virus action=drop protocol=udp dst-port=135-139 log=no
log-prefix=""
110 ;;; Drop Blaster Worm
chain=virus action=drop protocol=tcp dst-port=445 log=no log-prefix=""
111 ;;; Drop Blaster Worm
chain=virus action=drop protocol=udp dst-port=445 log=no log-prefix=""
112 ;;; ________
chain=virus action=drop protocol=tcp dst-port=593 log=no log-prefix=""
113 ;;; ________
chain=virus action=drop protocol=tcp dst-port=1024-1030 log=no
log-prefix=""
114 ;;; Drop MyDoom
chain=virus action=drop protocol=tcp dst-port=1080 log=no log-prefix=""
115 ;;; ________
chain=virus action=drop protocol=tcp dst-port=1214 log=no log-prefix=""
116 ;;; ndm requester
chain=virus action=drop protocol=tcp dst-port=1363 log=no log-prefix=""
117 ;;; ndm server
chain=virus action=drop protocol=tcp dst-port=1364 log=no log-prefix=""
118 ;;; screen cast
chain=virus action=drop protocol=tcp dst-port=1368 log=no log-prefix=""
119 ;;; hromgrafx
chain=virus action=drop protocol=tcp dst-port=1373 log=no log-prefix=""
120 ;;; cichlid
chain=virus action=drop protocol=tcp dst-port=1377 log=no log-prefix=""
121 ;;; Worm
chain=virus action=drop protocol=tcp dst-port=1433-1434 log=no
log-prefix=""
122 ;;; Bagle Virus
chain=virus action=drop protocol=tcp dst-port=2745 log=no log-prefix=""
123 ;;; Drop Dumaru.Y
chain=virus action=drop protocol=tcp dst-port=2283 log=no log-prefix=""
124 ;;; Drop Beagle
chain=virus action=drop protocol=tcp dst-port=2535 log=no log-prefix=""
125 ;;; Drop Beagle.C-K
chain=virus action=drop protocol=tcp dst-port=2745 log=no log-prefix=""
126 ;;; Drop MyDoom
chain=virus action=drop protocol=tcp dst-port=3127-3128 log=no
log-prefix=""
127 ;;; Drop Backdoor OptixPro
chain=virus action=drop protocol=tcp dst-port=3410 log=no log-prefix=""
128 ;;; Worm
chain=virus action=drop protocol=tcp dst-port=4444 log=no log-prefix=""
129 ;;; Worm
chain=virus action=drop protocol=udp dst-port=4444 log=no log-prefix=""
130 ;;; Drop Sasser
chain=virus action=drop protocol=tcp dst-port=5554 log=no log-prefix=""
131 ;;; Drop Beagle.B
chain=virus action=drop protocol=tcp dst-port=8866 log=no log-prefix=""
132 ;;; Drop Dabber.A-B
chain=virus action=drop protocol=tcp dst-port=9898 log=no log-prefix=""
133 ;;; Drop Dumaru.Y
chain=virus action=drop protocol=tcp dst-port=10000 log=no log-prefix=""
134 ;;; Drop MyDoom.B
chain=virus action=drop protocol=tcp dst-port=10080 log=no log-prefix=""
135 ;;; Drop NetBus
chain=virus action=drop protocol=tcp dst-port=12345 log=no log-prefix=""
136 ;;; Drop Kuang2
chain=virus action=drop protocol=tcp dst-port=17300 log=no log-prefix=""
137 ;;; Drop SubSeven
chain=virus action=drop protocol=tcp dst-port=27374 log=no log-prefix=""
138 ;;; Drop PhatBot, Agobot, Gaobot
chain=virus action=drop protocol=tcp dst-port=65506 log=no log-prefix=""
139 ;;; jump to the virus chain
chain=forward action=jump jump-target=virus log=no log-prefix=""
140 ;;; Port scanners to list
chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
141 ;;; NMAP FIN Stealth scan
chain=input action=add-src-to-address-list
tcp-flags=fin,!syn,!rst,!psh,!ack,!urg protocol=tcp
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
142 ;;; SYN/FIN scan
chain=input action=add-src-to-address-list tcp-flags=fin,syn
protocol=tcp address-list=port scanners address-list-timeout=2w log=no
log-prefix=""
143 ;;; SYN/RST scan
chain=input action=add-src-to-address-list tcp-flags=syn,rst
protocol=tcp address-list=port scanners address-list-timeout=2w log=no
log-prefix=""
144 ;;; FIN/PSH/URG scan
chain=input action=add-src-to-address-list
tcp-flags=fin,psh,urg,!syn,!rst,!ack protocol=tcp
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
145 ;;; ALL/ALL scan
chain=input action=add-src-to-address-list
tcp-flags=fin,syn,rst,psh,ack,urg protocol=tcp
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
146 ;;; NMAP NULL scan
chain=input action=add-src-to-address-list
tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg protocol=tcp
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
147 ;;; dropping port scanners
chain=input action=drop src-address-list=port scanners log=no
log-prefix=""
148 ;;; drop ftp brute forcers
chain=input action=drop protocol=tcp src-address-list=ftp_blacklist
dst-port=21 log=no log-prefix=""
149 chain=output action=accept protocol=tcp content=530 Login incorrect
dst-limit=1/1m,9,dst-address/1m log=no log-prefix=""
150 chain=output action=add-dst-to-address-list protocol=tcp
address-list=ftp_blacklist address-list-timeout=3h
content=530 Login incorrect log=no log-prefix=""
151 ;;; drop ssh brute forcers
chain=input action=drop protocol=tcp src-address-list=ssh_blacklist
dst-port=22 log=no log-prefix=""
152 chain=input action=add-src-to-address-list connection-state=new
protocol=tcp src-address-list=ssh_stage3 address-list=ssh_blacklist
address-list-timeout=3d dst-port=22 log=no log-prefix=""
153 chain=input action=add-src-to-address-list connection-state=new
protocol=tcp src-address-list=ssh_stage2 address-list=ssh_stage3
address-list-timeout=1m dst-port=22 log=no log-prefix=""
154 chain=input action=add-src-to-address-list connection-state=new
protocol=tcp src-address-list=ssh_stage1 address-list=ssh_stage2
address-list-timeout=1m dst-port=22 log=no log-prefix=""
155 chain=input action=add-src-to-address-list connection-state=new
protocol=tcp address-list=ssh_stage1 address-list-timeout=1m dst-port=22
log=no log-prefix=""
156 ;;; drop ssh brute downstream
chain=forward action=drop protocol=tcp src-address-list=ssh_blacklist
dst-port=22 log=no log-prefix=""
157 ;;; Accept established connections
chain=input action=accept connection-state=established log=no
log-prefix=""
158 ;;; Accept related connections
chain=input action=accept connection-state=related log=no log-prefix=""
159 ;;; Drop invalid connections
chain=input action=drop connection-state=invalid log=no log-prefix=""
160 ;;; UDP
chain=input action=accept protocol=udp log=no log-prefix=""
161 ;;; drop invalid connections
chain=forward action=drop connection-state=invalid log=no log-prefix=""
162 ;;; Allow limited pings
chain=input action=accept protocol=icmp limit=50/5s,2 log=no
log-prefix=""
163 ;;; Drop excess pings
chain=input action=drop protocol=icmp log=no log-prefix=""
164 ;;; DROP PING REPLY
chain=input action=drop protocol=icmp src-address=!10.10.0.4 log=no
log-prefix=""
165 chain=forward action=drop layer7-protocol=ultrasurf log=no log-prefix="
* Klik di sini jika anda mau mencopy paste isi blog saya
Atau setelah Select kalimat tekan Ctr+C
[admin@.............] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=drop protocol=tcp dst-port=135-139 log=no
log-prefix=""
1 chain=forward action=drop protocol=udp dst-port=135-139 log=no
log-prefix=""
2 chain=forward action=drop protocol=tcp dst-port=445 log=no log-prefix=""
3 chain=forward action=drop protocol=udp dst-port=445 log=no log-prefix=""
4 chain=forward action=drop protocol=tcp dst-port=593 log=no log-prefix=""
5 chain=forward action=drop protocol=tcp dst-port=4444 log=no log-prefix=""
6 chain=forward action=drop protocol=tcp dst-port=5554 log=no log-prefix=""
7 chain=forward action=drop protocol=tcp dst-port=9996 log=no log-prefix=""
8 chain=forward action=drop protocol=udp dst-port=995-999 log=no
log-prefix=""
9 chain=forward action=drop protocol=tcp dst-port=53 log=no log-prefix=""
10 chain=forward action=drop protocol=tcp dst-port=55 log=no log-prefix=""
11 ;;; hromgrafx
chain=virus action=drop protocol=tcp dst-port=1373 log=no log-prefix=""
12 ;;; cichlid
chain=virus action=drop protocol=tcp dst-port=1377 log=no log-prefix=""
13 ;;; Worm
chain=virus action=drop protocol=tcp dst-port=1433-1434 log=no
log-prefix=""
14 ;;; Worm
chain=virus action=drop protocol=tcp dst-port=4444 log=no log-prefix=""
15 ;;; Worm
chain=virus action=drop protocol=udp dst-port=4444 log=no log-prefix=""
16 chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""
17 chain=forward action=drop connection-state=invalid log=no log-prefix=""
18 chain=virus action=drop protocol=tcp dst-port=135-139 log=no log-prefix=">
19 chain=virus action=drop protocol=tcp dst-port=1433-1434 log=no
log-prefix=""
20 chain=virus action=drop protocol=tcp dst-port=445 log=no log-prefix=""
21 chain=virus action=drop protocol=udp dst-port=445 log=no log-prefix=""
22 chain=virus action=drop protocol=tcp dst-port=593 log=no log-prefix=""
23 chain=virus action=drop protocol=tcp dst-port=1024-1030 log=no
log-prefix=""
24 chain=virus action=drop protocol=tcp dst-port=1080 log=no log-prefix=""
25 chain=virus action=drop protocol=tcp dst-port=1214 log=no log-prefix=""
26 chain=virus action=drop protocol=tcp dst-port=1363 log=no log-prefix=""
27 chain=virus action=drop protocol=tcp dst-port=1364 log=no log-prefix=""
28 chain=virus action=drop protocol=tcp dst-port=1368 log=no log-prefix=""
29 chain=virus action=drop protocol=tcp dst-port=1373 log=no log-prefix=""
30 chain=virus action=drop protocol=tcp dst-port=1377 log=no log-prefix=""
31 chain=virus action=drop protocol=tcp dst-port=2745 log=no log-prefix=""
32 chain=virus action=drop protocol=tcp dst-port=2283 log=no log-prefix=""
33 chain=virus action=drop protocol=tcp dst-port=2535 log=no log-prefix=""
34 chain=virus action=drop protocol=tcp dst-port=2745 log=no log-prefix=""
35 chain=virus action=drop protocol=tcp dst-port=3127 log=no log-prefix=""
36 chain=virus action=drop protocol=tcp dst-port=3410 log=no log-prefix=""
37 chain=virus action=drop protocol=tcp dst-port=4444 log=no log-prefix=""
38 chain=virus action=drop protocol=udp dst-port=4444 log=no log-prefix=""
39 chain=virus action=drop protocol=tcp dst-port=5554 log=no log-prefix=""
40 chain=virus action=drop protocol=tcp dst-port=8866 log=no log-prefix=""
41 chain=virus action=drop protocol=tcp dst-port=9898 log=no log-prefix=""
42 chain=virus action=drop protocol=tcp dst-port=10080 log=no log-prefix=""
43 chain=virus action=drop protocol=tcp dst-port=12345 log=no log-prefix=""
44 chain=virus action=drop protocol=tcp dst-port=17300 log=no log-prefix=""
45 chain=virus action=drop protocol=tcp dst-port=27374 log=no log-prefix=""
46 chain=virus action=drop protocol=tcp dst-port=65506 log=no log-prefix=""
47 chain=forward action=jump jump-target=virus log=no log-prefix=""
48 chain=input action=drop connection-state=invalid log=no log-prefix=""
49 chain=input action=accept protocol=udp log=no log-prefix=""
50 chain=input action=accept protocol=icmp limit=50/5s,2 log=no log-prefix=">
51 chain=input action=drop protocol=icmp log=no log-prefix=""
52 chain=input action=accept protocol=tcp dst-port=21 log=no log-prefix=""
53 chain=input action=accept protocol=tcp dst-port=22 log=no log-prefix=""
54 chain=input action=accept protocol=tcp dst-port=23 log=no log-prefix=""
55 chain=input action=accept protocol=tcp dst-port=80 log=no log-prefix=""
56 chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""
57 chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""
58 chain=input action=accept protocol=tcp dst-port=23 log=no log-prefix=""
59 chain=input action=accept protocol=tcp dst-port=80 log=no log-prefix=""
60 chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""
61 chain=input action=add-src-to-address-list protocol=tcp address-list=DDOS
address-list-timeout=15s dst-port=1337 log=no log-prefix=""
62 chain=input action=add-src-to-address-list protocol=tcp
src-address-list=knock address-list=DDOS address-list-timeout=15m
dst-port=7331 log=no log-prefix=""
63 ;;; Port scanners to list
chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
64 ;;; SYN/FIN scan
chain=input action=add-src-to-address-list tcp-flags=fin,syn
protocol=tcp address-list=port scanners address-list-timeout=2w log=no
log-prefix=""
65 ;;; SYN/RST scan
chain=input action=add-src-to-address-list tcp-flags=syn,rst
protocol=tcp address-list=port scanners address-list-timeout=2w log=no
log-prefix=""
66 ;;; FIN/PSH/URG scan
chain=input action=add-src-to-address-list
tcp-flags=fin,psh,urg,!syn,!rst,!ack protocol=tcp
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
67 ;;; ALL/ALL scan
chain=input action=add-src-to-address-list
tcp-flags=fin,syn,rst,psh,ack,urg protocol=tcp
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
68 ;;; NMAP NULL scan
chain=input action=add-src-to-address-list
tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg protocol=tcp
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
69 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=61.213.183.1-61.213.183.254 dst-port=0-65535 log=no
log-prefix=""
70 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=67.195.134.1-67.195.134.254 dst-port=0-65535 log=no
log-prefix=""
71 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=68.142.233.1-68.142.233.254 dst-port=0-65535 log=no
log-prefix=""
72 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=68.180.217.1-68.180.217.254 dst-port=0-65535 log=no
log-prefix=""
73 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=203.84.204.1-203.84.204.254 dst-port=0-65535 log=no
log-prefix=""
74 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=69.63.176.1-69.63.176.254 dst-port=0-65535 log=no
log-prefix=""
75 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=69.63.181.1-69.63.181.254 dst-port=0-65535 log=no
log-prefix=""
76 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=63.245.209.1-63.245.209.254 dst-port=0-65535 log=no
log-prefix=""
77 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp
src-address=63.245.213.1-63.245.213.254 dst-port=0-65535 log=no
log-prefix=""
78 chain=input action=jump jump-target=icmp protocol=icmp log=no
log-prefix=""
79 ;;; Limited Ping Flood
chain=icmp action=accept protocol=icmp icmp-options=0:0-255 limit=5,5
log=no log-prefix=""
80 chain=icmp action=accept protocol=icmp icmp-options=3:3 limit=5,5 log=no
log-prefix=""
81 chain=icmp action=accept protocol=icmp icmp-options=3:4 limit=5,5 log=no
log-prefix=""
82 chain=icmp action=accept protocol=icmp icmp-options=8:0-255 limit=5,5
log=no log-prefix=""
83 chain=icmp action=accept protocol=icmp icmp-options=11:0-255 limit=5,5
log=no log-prefix=""
84 chain=icmp action=drop protocol=icmp log=no log-prefix=""
85 ;;; Flood protect
chain=input action=jump jump-target=SYN-Protect tcp-flags=syn
connection-state=new protocol=tcp log=no log-prefix=""
86 chain=SYN-Protect action=accept tcp-flags=syn connection-state=new
protocol=tcp limit=400,5 log=no log-prefix=""
87 chain=SYN-Protect action=drop tcp-flags=syn connection-state=new
protocol=tcp log=no log-prefix=""
88 ;;; Flood protect
chain=forward action=jump jump-target=SYN-Protect tcp-flags=syn
connection-state=new protocol=tcp log=no log-prefix=""
89 chain=input action=jump jump-target=SYN-Protect tcp-flags=syn
connection-state=new protocol=tcp log=no log-prefix=""
90 chain=SYN-Protect action=accept tcp-flags=syn connection-state=new
protocol=tcp limit=400,5 log=no log-prefix=""
91 chain=SYN-Protect action=drop tcp-flags=syn connection-state=new
protocol=tcp log=no log-prefix=""
92 ;;; drop port
chain=input action=drop connection-mark=drop-port log=no log-prefix=""
93 chain=forward action=drop connection-mark=drop-port log=no log-prefix=""
94 ;;; Block UltraSurf
chain=forward action=drop protocol=tcp src-address-list=UltraSurfUsers
dst-port=443 log=no log-prefix=""
95 ;;; allow
chain=forward action=accept connection-state=established log=no
log-prefix=""
96 ;;; allow
chain=forward action=accept connection-state=related log=no
log-prefix=""
97 chain=input action=accept tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
protocol=tcp log=no log-prefix=""
98 ;;; Allow
chain=input action=accept connection-state=established log=no
log-prefix=""
99 ;;; detect and drop port scan connections
chain=input action=drop protocol=tcp psd=21,3s,3,1 log=no log-prefix=""
100 ;;; detect DoS attack
chain=input action=add-src-to-address-list protocol=tcp
address-list=black_list address-list-timeout=1d connection-limit=10,32
log=no log-prefix=""
101 ;;; Accept established connections
chain=input action=accept connection-state=established log=no
log-prefix=""
102 ;;; Accept related connections
chain=input action=accept connection-state=related log=no log-prefix=""
103 ;;; Drop invalid connections
chain=input action=drop connection-state=invalid log=no log-prefix=""
104 ;;; UDP
chain=input action=accept protocol=udp log=no log-prefix=""
105 ;;; drop invalid connections
chain=forward action=drop connection-state=invalid log=no log-prefix=""
106 ;;; Allow limited pings
chain=input action=accept protocol=icmp limit=50/5s,2 log=no
log-prefix=""
107 ;;; Drop excess pings
chain=input action=drop protocol=icmp log=no log-prefix=""
108 ;;; Drop Blaster Worm
chain=virus action=drop protocol=tcp dst-port=135-139 log=no
log-prefix=""
109 ;;; Drop Messenger Worm
chain=virus action=drop protocol=udp dst-port=135-139 log=no
log-prefix=""
110 ;;; Drop Blaster Worm
chain=virus action=drop protocol=tcp dst-port=445 log=no log-prefix=""
111 ;;; Drop Blaster Worm
chain=virus action=drop protocol=udp dst-port=445 log=no log-prefix=""
112 ;;; ________
chain=virus action=drop protocol=tcp dst-port=593 log=no log-prefix=""
113 ;;; ________
chain=virus action=drop protocol=tcp dst-port=1024-1030 log=no
log-prefix=""
114 ;;; Drop MyDoom
chain=virus action=drop protocol=tcp dst-port=1080 log=no log-prefix=""
115 ;;; ________
chain=virus action=drop protocol=tcp dst-port=1214 log=no log-prefix=""
116 ;;; ndm requester
chain=virus action=drop protocol=tcp dst-port=1363 log=no log-prefix=""
117 ;;; ndm server
chain=virus action=drop protocol=tcp dst-port=1364 log=no log-prefix=""
118 ;;; screen cast
chain=virus action=drop protocol=tcp dst-port=1368 log=no log-prefix=""
119 ;;; hromgrafx
chain=virus action=drop protocol=tcp dst-port=1373 log=no log-prefix=""
120 ;;; cichlid
chain=virus action=drop protocol=tcp dst-port=1377 log=no log-prefix=""
121 ;;; Worm
chain=virus action=drop protocol=tcp dst-port=1433-1434 log=no
log-prefix=""
122 ;;; Bagle Virus
chain=virus action=drop protocol=tcp dst-port=2745 log=no log-prefix=""
123 ;;; Drop Dumaru.Y
chain=virus action=drop protocol=tcp dst-port=2283 log=no log-prefix=""
124 ;;; Drop Beagle
chain=virus action=drop protocol=tcp dst-port=2535 log=no log-prefix=""
125 ;;; Drop Beagle.C-K
chain=virus action=drop protocol=tcp dst-port=2745 log=no log-prefix=""
126 ;;; Drop MyDoom
chain=virus action=drop protocol=tcp dst-port=3127-3128 log=no
log-prefix=""
127 ;;; Drop Backdoor OptixPro
chain=virus action=drop protocol=tcp dst-port=3410 log=no log-prefix=""
128 ;;; Worm
chain=virus action=drop protocol=tcp dst-port=4444 log=no log-prefix=""
129 ;;; Worm
chain=virus action=drop protocol=udp dst-port=4444 log=no log-prefix=""
130 ;;; Drop Sasser
chain=virus action=drop protocol=tcp dst-port=5554 log=no log-prefix=""
131 ;;; Drop Beagle.B
chain=virus action=drop protocol=tcp dst-port=8866 log=no log-prefix=""
132 ;;; Drop Dabber.A-B
chain=virus action=drop protocol=tcp dst-port=9898 log=no log-prefix=""
133 ;;; Drop Dumaru.Y
chain=virus action=drop protocol=tcp dst-port=10000 log=no log-prefix=""
134 ;;; Drop MyDoom.B
chain=virus action=drop protocol=tcp dst-port=10080 log=no log-prefix=""
135 ;;; Drop NetBus
chain=virus action=drop protocol=tcp dst-port=12345 log=no log-prefix=""
136 ;;; Drop Kuang2
chain=virus action=drop protocol=tcp dst-port=17300 log=no log-prefix=""
137 ;;; Drop SubSeven
chain=virus action=drop protocol=tcp dst-port=27374 log=no log-prefix=""
138 ;;; Drop PhatBot, Agobot, Gaobot
chain=virus action=drop protocol=tcp dst-port=65506 log=no log-prefix=""
139 ;;; jump to the virus chain
chain=forward action=jump jump-target=virus log=no log-prefix=""
140 ;;; Port scanners to list
chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
141 ;;; NMAP FIN Stealth scan
chain=input action=add-src-to-address-list
tcp-flags=fin,!syn,!rst,!psh,!ack,!urg protocol=tcp
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
142 ;;; SYN/FIN scan
chain=input action=add-src-to-address-list tcp-flags=fin,syn
protocol=tcp address-list=port scanners address-list-timeout=2w log=no
log-prefix=""
143 ;;; SYN/RST scan
chain=input action=add-src-to-address-list tcp-flags=syn,rst
protocol=tcp address-list=port scanners address-list-timeout=2w log=no
log-prefix=""
144 ;;; FIN/PSH/URG scan
chain=input action=add-src-to-address-list
tcp-flags=fin,psh,urg,!syn,!rst,!ack protocol=tcp
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
145 ;;; ALL/ALL scan
chain=input action=add-src-to-address-list
tcp-flags=fin,syn,rst,psh,ack,urg protocol=tcp
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
146 ;;; NMAP NULL scan
chain=input action=add-src-to-address-list
tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg protocol=tcp
address-list=port scanners address-list-timeout=2w log=no log-prefix=""
147 ;;; dropping port scanners
chain=input action=drop src-address-list=port scanners log=no
log-prefix=""
148 ;;; drop ftp brute forcers
chain=input action=drop protocol=tcp src-address-list=ftp_blacklist
dst-port=21 log=no log-prefix=""
149 chain=output action=accept protocol=tcp content=530 Login incorrect
dst-limit=1/1m,9,dst-address/1m log=no log-prefix=""
150 chain=output action=add-dst-to-address-list protocol=tcp
address-list=ftp_blacklist address-list-timeout=3h
content=530 Login incorrect log=no log-prefix=""
151 ;;; drop ssh brute forcers
chain=input action=drop protocol=tcp src-address-list=ssh_blacklist
dst-port=22 log=no log-prefix=""
152 chain=input action=add-src-to-address-list connection-state=new
protocol=tcp src-address-list=ssh_stage3 address-list=ssh_blacklist
address-list-timeout=3d dst-port=22 log=no log-prefix=""
153 chain=input action=add-src-to-address-list connection-state=new
protocol=tcp src-address-list=ssh_stage2 address-list=ssh_stage3
address-list-timeout=1m dst-port=22 log=no log-prefix=""
154 chain=input action=add-src-to-address-list connection-state=new
protocol=tcp src-address-list=ssh_stage1 address-list=ssh_stage2
address-list-timeout=1m dst-port=22 log=no log-prefix=""
155 chain=input action=add-src-to-address-list connection-state=new
protocol=tcp address-list=ssh_stage1 address-list-timeout=1m dst-port=22
log=no log-prefix=""
156 ;;; drop ssh brute downstream
chain=forward action=drop protocol=tcp src-address-list=ssh_blacklist
dst-port=22 log=no log-prefix=""
157 ;;; Accept established connections
chain=input action=accept connection-state=established log=no
log-prefix=""
158 ;;; Accept related connections
chain=input action=accept connection-state=related log=no log-prefix=""
159 ;;; Drop invalid connections
chain=input action=drop connection-state=invalid log=no log-prefix=""
160 ;;; UDP
chain=input action=accept protocol=udp log=no log-prefix=""
161 ;;; drop invalid connections
chain=forward action=drop connection-state=invalid log=no log-prefix=""
162 ;;; Allow limited pings
chain=input action=accept protocol=icmp limit=50/5s,2 log=no
log-prefix=""
163 ;;; Drop excess pings
chain=input action=drop protocol=icmp log=no log-prefix=""
164 ;;; DROP PING REPLY
chain=input action=drop protocol=icmp src-address=!10.10.0.4 log=no
log-prefix=""
165 chain=forward action=drop layer7-protocol=ultrasurf log=no log-prefix="
Subscribe to:
Posts (Atom)