Eksplorasi Deteksi Network Threat DDoS dengan Snort Ryu dan Mininet

Telematika.ORG
@telematika_org

Project Eksplorasi Network Threat (DDoS) pada SDN adalah suatu project eksplorasi yang ditujukan untuk menemukan suatu metode deteksi DDoS sebagai suatu Intrusion Detection System (IDS) yang dapat kompatibel apabila diintegrasikan dengan SDN Controller. Adapun SDN Controller yang digunakkan apda percobaan eksplorasi ini adalh Ryu Controller dengan Mininet untuk mensimulasikan jaringan SDN. Sedangkan untuk tools IDS yang digunakan adalah Snort yang dapat berfungsi sebagai packet monitoring dan alerting pada ryu. Adapun hasil eksplorasi adalah berhasil mendeteksi beberapa jenis serangan DDoS antara lain ICMP, TCP SYN dan UDP Flood. Kesimpulan yang dapat diambil adalah Snort mampu mengirimkan alert message pada ryu controller berdasarkan set of rules DDoS yang ditetapkan dan dengan disertakan IP dan MAC Address dari target dan penyerang. Saran untuk eksplorasi kedepan adalah untuk mengembangkan mekanisme deteksi serangan ddos lainnya atau mengembangkan fungsi Snort sebagai Intrusion Prevention System (IPS).

Di jaman modern, penggunaan SDN dapat meningkatkan efisiensi dalam mendesain, provisioning, serta mengelola suatu jaringan komputer. Hal tersebut bisa tercapai karena pada prinsipnya arsitektur SDN memisahkan control plane dan data plane. Selain kemudahan dalam melakukan perubahan, konsep tersebut memberi keuntungan tambahan dalam hal mendeteksi lalu lintas yang buruk karena lalu lintas jaringan yang terkait dengan perangkat di jaringan dapat dikumpulkan di satu tempat. Dengan segala kemudahan yang ditawarkan, sampai saat ini ancaman terbesar dari SDN adalah keamanan jaringan. Arsitektur terpusat dari SDN sangat rentan terhadap serangan siber seperti serangan Denial of Service (DoS). DoS termasuk salah satu serangan yang paling mengkhawatirkan karena dapat mengancam keseluruhan jaringan. Serangan DoS yang tidak di-handle dengan baik akan dengan mudah mencapai dan merusak controller pusat. Oleh karena itu penting untuk mengembangkan suatu metode deteksi untuk mencegah serangan DoS masuk sampai merusak controller pusat dan mengacaukan fungsi seluruh jaringan.

Denial of Service (DoS) merupakan suatu jenis serangan siber dengan mekanisme yaitu suatu user yang tidak sah membanjiri suatu host atau server yang menjadi target dengan sejumlah paket yang berbahaya sedemikian rupa sehingga menghambat layanan jaringan untuk user sah lainnya. Distributed DoS berarti penyerang mendistribusikan mekanisme pengiriman paket dari beberapa sumber sehingga sangat sulit untuk melacak apabila jumlah pendistribusiannya cukup banyak sehingga perlu suatu sistem terotomasi yang dapat secara otomatis mendeteksi dan merecord tiap alamat user pengirim paket DoS yang jumlahnya sangat banyak tersebut. Berikut adalah ilustrasi DDoS.

Sistem yang dibuat adalah suatu jaringan dengan arsitektur SDN dengan cara mengintegrasikan modul Ryu Controller, Topologi Mininet, dan IDS dari Snort. Sesuai dengan flowchart pada gambar 4, setelah semua kode untuk Ryu, Mininet, dan Snort selesai di-develop, mekanisme pendeteksian DDoS dimulai dengan menginisiasi Ryu sebagai controller utama jaringan SDN. Setelah Ryu sukses diinisiasi, berikutnya menginisiasi Mininet untuk membuat topologi jaringan untuk menjalankan skenario penyerangan dan pendeteksian berikutnya. Setelah mininet, barulah IDS dari Snort di-inisiasi. Setelah ketiga tools tersebut berhasil diinisiasi dan terintegrasi dengan baik, barulah skenario penyerangan dijalankan. Paket DDoS di-generate dengan Hping3 dan Htop digunakan untuk memonitoring dan mengetahui kondisi jaringan sebelum dan sesudah terkena DDoS. Mekanisme pendeteksian pada sistem yang penulis buat selesai saat Snort berhasil mendeteksi DDoS lalu melaporkannya ke Ryu.Topologi yang digunakan adalah simple single dengan node utama seperti attacker, server dan victim. Setiap node dan link memiliki limitasi terkait CPU dan Bandwidth agar representatif dengan real network. Adapun paket DDoS yang akan dideteksi dengan snort rules adalah ICMP, TCP SYN dan UDP Flood.

Berdasarkan hasil pengujian Integrasi Snort dengan Ryu dan Mininet berhasil dalam mendeteksi jenis serangan ICMP, TCP SYN dan UDP Flood yang dikirim attacker ke server. Adapun notifikasi yang muncul pada window dari Ryu controller adalah alert message dari snort serta informasi terkait IP dan MAC address dari Attacker dan Juga Victim (dalam hal ini server). Untuk jenis paket yang di-generate dengan IP spoofing (random source), Snort mampu mendeteksi setiap IP source yang berubah-ubah dalam setiap serangan. Selain itu dari segi performansi, diamati adanya peningkatan utilisasi CPU pada node yang diserang (server) dan terjadi perlambatan pada round trip time (RTT) pada percobaan ping normal dari node victim ke server. Sehingga dapat disimpulkan bahwa integrasi snort dengan mininet telah berhasil dan mampu melakukan pendeteksian terhadap jenis Serangan DDoS yaitu ICMP, TCP SYN dan UDP Flood. Saran untuk pengembangan kedepannya adalah dengan menambahkan fitur deteksi jenis serangan DDoS lainnya dan mengembangkan Snort sebagai IPS sehingga dapat memitigasi serangan DDoS bersama Ryu sebagai controller.