Pengertian SYN Attack (Hacking part 3)

SYN flooding attack adalah istilah teknologi informasi dalam bahasa Inggris yang mengacu kepada salah satu jenis serangan Denial-of-service yang menggunakan paket-paket SYN.

Pada kondisi normal, aplikasi klien akan mengirimkan paket TCP SYN untuk mensinkronisasi paket pada aplikasi di server (penerima). Server (penerima) akan mengirimkan respond berupa acknowledgement paket TCP SYN ACK. Setelah paket TCP SYN ACK di terima dengan baik oleh klien (pengirim), maka klien (pengirim) akan mengirimkan paket ACK sebagai tanda transaksi pengiriman / penerimaan data akan di mulai.

Dalam serangan SYN flood (banjir paket SYN), klien akan membanjiri server dengan banyak paket TCP SYN. Setiap paket TCP SYN yang dikirim akan menyebabkan server menjawab dengan paket TCP SYN ACK.  Server (penerima) akan terus mencatat (membuat antrian backlog) untuk menunggu responds TCP ACK dari klien yang mengirimkan paket TCP SYN. Tempat antrian backlog ini tentunya terbatas & biasanya kecil di memori. Pada saat antrian backlog ini penuh, sistem tidak akan merespond paket TCP SYN lain yang masuk dalam bahasa sederhana-nya sistem tampak bengong / hang. Sialnya paket TCP SYN ACK yang masuk antrian backlog hanya akan dibuang dari backlog pada saat terjadi time out dari timer TCP yang menandakan tidak ada responds dari klien pengirim. Biasanya internal timer TCP ini di set cukup lama.

Kunci SYN attack adalah dengan membanjiri server dengan paket TCP SYN menggunakan alamat IP sumber (source) yang kacau. Akibatnya, karena alamat IP sumber (source) tersebut tidak ada, jelas tidak akan ada TCP ACK yang akan dikirim sebagai responds dari responds paket TCP SYN ACK. Dengan cara ini, server akan tampak seperti bengong & tidak memproses responds dalam waktu yang lama. Berbagai vendor komputer sekarang telah menambahkan pertahanan untuk SYN attack ini & juga programmer firewall juga menjamin bahwa firewall mereka tidak mengirimkan packet dengan alamat IP sumber (source) yang kacau.

Dan di dalam serangan SYN attack ini attacker akan mengirim data SYN dengan jumlah yang banyak dan akan di kirim ke port-port pada host yang ada dengan alamat atau isi data SYN yang tidak falid, sehingga host atau komputer yang menerima paket data tersebut menjadi bingung dan mengirim paket data SYN ACK yang tidak ada tujuannya disini mengakibatkan lost data SYN yang sangat banyak di dalam router dan menyebabkan router menjadi crash karena menunggu balasan dari komputer yang berada di dalam alamat SYN pertama kali.

Cara Attack:

1. Buka terminal atau CTRL+ALT+T
2. Kemudian ketiikan perintah sudo apt-get install hping3
3. Tunggu proses hingga selesai.
4. Untuk mengetahui fitur-fitur dari hping3 bisa dilihat dokumentasi dengan cara ketik man hping3 atau hping3 –help di terminal.

Untuk melakukan syn flood kita menggunakan hping3 yang sudah di install sebelumnya. Berikut cara melakukan syn flood.

1. Buka terminal.
2. Ketikkan perintah hping3 -I wlan0 -c 1000000 --faster -S 10.10.10.1

keterangan :
-I = menunjukan interface yang di gunakan untuk bergabung dengan jaringan
-c = cont paket yang akan dikirim, dalam arti besar paket yang akan dikirim 1000000 byte
--faster = kecepatan persecond 1000 data yang akan di kirim dalam jaringan tersebut
-S = source atau tujuan yang akan di kirim paket flooding ini

Pencegahan:

memblokir paket null
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

-A = menambahkan rulles..
-p = protokol
farewall mengambil semua packet  yang masuk yang di tandai dengan flag ALL NONE lalu meDrop nya.  Pola serangan menggunakan ini untuk mencoba dan melihat bagaimana kita mengkonfigurasi VPN dan mencari tahu kelemahan

dan berikutnya untuk untuk menolak serangan SYN attack

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
SYN-Flood-Attacks berarti serangannya membuka koneksi baru tapi dengan paket-paket yang kosong (ie. SYN, ACK,).
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP