Serangan ICMP: Semua yang Perlu Anda Ketahui

Diterbitkan: 2023-09-19

Tidak mengherankan jika peretas berusaha keras menemukan kelemahan dalam segala hal, mulai dari perangkat lunak sederhana hingga protokol paling mendasar yang mendasari struktur Internet yang kita kenal. Sebagai salah satu komponen penting dari tumpukan protokol Internet, Internet Control Message Protocol bertindak sebagai pembawa pesan global, menyampaikan informasi penting tentang keadaan perangkat jaringan dan seluruh jaringan yang membentuk web di seluruh dunia.

Meskipun merupakan alat komunikasi yang sangat berharga, ICMP menjadi jalan potensial bagi penyerang untuk memanfaatkan kelemahan yang melekat pada desainnya. Dengan memanfaatkan kepercayaan yang ditempatkan perangkat jaringan dalam pesan ICMP, aktor jahat berupaya menghindari sistem keamanan yang diterapkan oleh host korban, menyebabkan gangguan pada operasi jaringan, yang pada akhirnya dapat mengakibatkan penolakan layanan.

Sebagai kelompok serangan penolakan layanan yang berbeda, serangan ICMP tidak lagi menjadi alat utama dalam kotak peralatan penyerang. Namun, mereka terus mendatangkan malapetaka pada bisnis online. Serangan banjir ping, serangan smurf, dan apa yang disebut ping kematian – semuanya merupakan variasi serangan ICMP berbeda yang masih dapat menimbulkan ancaman terhadap operasi jaringan di seluruh dunia.

Dalam panduan serangan ICMP ini, Anda akan mempelajari apa itu ICMP dan bagaimana peretas menggunakannya untuk menyebabkan penolakan layanan ke server dan seluruh jaringan. Kami akan menyelidiki mekanisme yang mendasari serangan ICMP untuk membekali Anda dengan pengetahuan dan alat yang diperlukan untuk melindungi bisnis Anda dari bahaya yang ditimbulkannya.

serangan icmp

Apa itu ICMP?

Internet Control Message Protocol, atau ICMP, adalah protokol jaringan yang digunakan oleh perangkat jaringan untuk mengkomunikasikan informasi operasional satu sama lain. Meskipun ICMP sering dianggap sebagai bagian dari protokol IP karena pesan-pesannya dibawa sebagai muatan IP, Internet Control Message Protocol terletak tepat di atas dan ditetapkan sebagai protokol lapisan atas dalam datagram IP. Namun, aktivitasnya masih terbatas pada lapisan ketiga rangkaian protokol Internet, yang dikenal sebagai Lapisan Jaringan.

Setiap pesan ICMP memiliki jenis dan bidang kode yang menentukan jenis informasi yang disampaikan dan tujuannya, serta bagian dari permintaan asli yang menyebabkan pesan tersebut dihasilkan. Misalnya, jika host tujuan tidak dapat dijangkau, router yang gagal meneruskan permintaan asli ke host tersebut akan menghasilkan pesan ICMP tipe tiga kode satu yang memberi tahu Anda bahwa ia tidak dapat menemukan jalur ke server yang Anda tentukan.

Untuk Apa ICMP Digunakan?

Seringkali, ICMP digunakan untuk menangani pelaporan kesalahan dalam situasi di mana jaringan tujuan atau sistem akhir gagal dijangkau. Pesan kesalahan seperti “Jaringan tujuan tidak dapat dijangkau” berasal dari ICMP dan akan ditampilkan kepada Anda jika permintaan Anda tidak pernah menyelesaikan perjalanan yang dimaksudkan. Karena pesan ICMP menyertakan sebagian dari permintaan awal, sistem akan dengan mudah memetakannya ke tujuan yang tepat.

Meskipun pelaporan kesalahan adalah salah satu aplikasi utama Internet Control Message Protocol, ICMP mendasari fungsi dua alat diagnostik jaringan mendasar – ping dan traceroute. Kedua utilitas tersebut banyak digunakan untuk menguji konektivitas jaringan dan menelusuri jalur untuk menghapus jaringan dan sistem akhir. Meskipun ping dan traceroute sering digunakan secara bergantian, metode operasionalnya berbeda secara signifikan.

Ping dan Traceroute

Ping mengirimkan serangkaian pesan ICMP dari jenis permintaan gema, mengharapkan balasan gema dari host tujuan. Jika setiap permintaan menerima respon, Ping akan melaporkan tidak ada paket yang hilang antara sistem sumber dan tujuan. Demikian pula, jika beberapa pesan tidak pernah mencapai tujuannya karena kemacetan jaringan, utilitas akan melaporkan paket tersebut sebagai hilang.

Traceroute memiliki mekanisme yang lebih kompleks dan diciptakan untuk tujuan yang berbeda. Alih-alih mengirimkan permintaan gema ke host yang dituju, ia mengirimkan serangkaian paket IP yang akan kedaluwarsa setelah mencapai tujuan yang dituju. Dengan cara ini, router atau host penerima akan dipaksa untuk membuat pesan ICMP Time to Live (TTL) yang telah kedaluwarsa yang akan dikirim kembali ke sumbernya. Setelah menerima pesan respons ICMP untuk setiap paket asli, Traceroute akan memiliki nama switch paket yang membentuk rute ke host tujuan, beserta waktu yang dibutuhkan paket asli untuk mencapai masing-masing paket tersebut.

Apa yang Membuat ICMP Mudah Dieksploitasi?

Karena ICMP terbatas pada lapisan jaringan model Open Systems Interconnection (OSI), permintaannya tidak memerlukan koneksi yang harus dibuat sebelum dikirim, seperti halnya jabat tangan tiga arah yang diperkenalkan oleh TCP dan diperkuat oleh TLS dengan penggunaan sertifikat SSL/TLS. Hal ini memungkinkan untuk mengirim permintaan ping ke sistem apa pun, yang pada gilirannya membuatnya mudah untuk dieksploitasi.

Seperti yang Anda lihat, meskipun ICMP telah membuktikan dirinya sebagai komponen jaringan global yang sangat berharga, ICMP juga menarik perhatian penjahat dunia maya yang ingin menggunakannya untuk tujuan jahat. Aktor jahat mengeksploitasi kelemahan yang ada dalam implementasi ICMP untuk menyebabkan gangguan pada jaringan dan individu host. Dengan melakukan serangan ICMP, peretas mengubah ICMP dari alat diagnostik jaringan yang penting menjadi akar penyebab pemadaman jaringan.

Serangan ICMP sebagai Jenis Denial of Service (DoS) yang Kurang Berbahaya

Serangan ICMP mengeksploitasi kemampuan Internet Control Message Protocol untuk membanjiri jaringan dan perangkat yang ditargetkan dengan permintaan, menyebabkan apa yang disebut banjir bandwidth, suatu bentuk penolakan layanan (DoS) yang bertujuan untuk menguras kemampuan korban dalam menangani lalu lintas masuk. Serangan ICMP dapat didefinisikan sebagai serangan penolakan layanan yang menggunakan pesan ICMP sebagai alat utamanya untuk mengganggu operasi jaringan.

Serangan ICMP sering kali dianggap kurang berbahaya dan lebih mudah untuk dipertahankan dibandingkan kebanyakan jenis serangan penolakan layanan lainnya. Meskipun serangan ICMP masih dapat menyebabkan kerusakan yang signifikan, serangan ini biasanya lebih mudah dideteksi dan dimitigasi karena beberapa alasan:

  • Serangan ICMP fokus pada Lapisan Jaringan. ICMP beroperasi pada tingkat yang lebih rendah dari tumpukan protokol Internet, dan pesan ICMP membawa muatan yang lebih kecil dibandingkan dengan muatan data yang banyak digunakan dalam serangan penolakan layanan lainnya. Hal ini memudahkan untuk mengidentifikasi lalu lintas ICMP yang berbahaya.
  • Serangan ICMP menunjukkan pola yang berbeda. Pesan ICMP yang berbahaya sering kali menunjukkan pola yang berbeda, seperti membanjirnya permintaan gema dari pengirim yang sama atau pesan kesalahan tertentu.
  • Lalu lintas ICMP lebih mudah dibatasi. Administrator jaringan dapat membatasi atau bahkan menonaktifkan sepenuhnya lalu lintas ICMP masuk dan keluar, yang tidak akan menyebabkan gangguan nyata pada pengoperasian normal.

3 Jenis Utama Serangan ICMP

Tiga jenis utama serangan ICMP termasuk ping banjir, serangan Smurf, dan serangan ping kematian. Masing-masing pesan ICMP menggunakan mekanisme yang berbeda, namun perbedaan utamanya terletak pada jenis pesan ICMP yang digunakan penjahat dunia maya.

Seperti yang telah kita diskusikan, dengan pengecualian utilitas Ping yang menghasilkan permintaan gema dan mengarahkannya ke tujuan, pesan ICMP biasanya dihasilkan oleh sistem tujuan untuk memperingatkan sumber masalah tertentu. Dengan cara ini, alih-alih mengarahkan ledakan paket ICMP ke sistem korban, penyerang dapat menggunakan teknik yang lebih canggih, seperti menjadikan korban serangan sebagai penyerang di mata korban lain.

Mari kita lihat lebih dekat masing-masing dari tiga jenis serangan ICMP yang paling umum dan lihat bagaimana serangan tersebut menyebabkan gangguan besar-besaran pada Internet sebelum mekanisme pertahanan yang menonjol diperkenalkan secara luas.

Banjir Ping

Banjir ping adalah variasi serangan ICMP yang paling sederhana dan paling umum, di mana pelaku jahat mengarahkan permintaan gema dalam jumlah berlebihan ke sistem atau jaringan korban. Mensimulasikan aktivitas normal utilitas Ping, penjahat dunia maya menargetkan bandwidth host tujuan.

Dengan membanjirnya permintaan ICMP yang dikirim ke arah yang sama, tautan akses target menjadi tersumbat, sehingga menghalangi lalu lintas yang sah untuk sampai ke tujuan. Dan karena pesan balasan gema ICMP diharapkan untuk setiap permintaan gema, serangan banjir ping dapat menyebabkan peningkatan penggunaan CPU yang signifikan, yang dapat memperlambat sistem akhir, menyebabkan penolakan layanan penuh.

Sama seperti jenis DoS lainnya, pelaku kejahatan dapat menggunakan banyak host untuk melakukan serangan banjir ping, mengubahnya menjadi serangan penolakan layanan terdistribusi (DDoS). Penggunaan berbagai sumber serangan tidak hanya memperkuat efek serangan, namun juga membantu penyerang menghindari penemuan dan menyembunyikan identitasnya.

Serangan penolakan layanan terdistribusi biasanya memanfaatkan botnet – jaringan titik akhir yang disusupi dan perangkat jaringan yang dikendalikan oleh penyerang. Botnet dibuat dan diperluas dengan menginfeksi perangkat korban dengan jenis malware khusus yang memungkinkan pemilik botnet mengontrol sistem yang disusupi dari jarak jauh. Setelah diinstruksikan, perangkat yang terinfeksi akan mulai membanjiri target serangan banjir ping dengan pesan permintaan gema ICMP tanpa sepengetahuan atau persetujuan dari pemilik yang sah.

Salah satu serangan banjir ping berskala besar yang paling terkenal terjadi pada tahun 2002. Penjahat dunia maya memanfaatkan botnet untuk mengarahkan banyak pesan permintaan gema ICMP ke masing-masing dari tiga belas server nama root DNS. Untungnya, karena switch paket di belakang server nama telah dikonfigurasi untuk membuang semua pesan ping yang masuk, serangan tersebut tidak berdampak banyak pada pengalaman internet global.

Serangan Smurf

Serangan smurf mengubah korban menjadi penyerang dengan membuatnya seolah-olah permintaan gema ICMP berasal dari sumber yang berbeda. Dengan memalsukan alamat pengirim, penyerang mengarahkan sejumlah besar pesan ICMP ke jaringan atau jaringan perangkat dengan harapan respons gema membanjiri host korban sebenarnya – sistem yang ditentukan sebagai sumber dalam permintaan ping asli.

Serangan smurf pernah dianggap sebagai ancaman besar terhadap jaringan komputer karena potensi kehancurannya yang sangat besar. Namun, hingga saat ini, vektor serangan ini jarang digunakan dan umumnya dianggap sebagai kerentanan yang telah diatasi. Hal ini disebabkan oleh fakta bahwa sebagian besar filter paket akan secara otomatis membuang pesan ICMP ke alamat siaran, yang berarti pesan tersebut diarahkan ke semua perangkat di jaringan tujuan. Menetapkan aturan seperti itu akan mencegah jaringan digunakan dalam serangan penolakan layanan Smurf, yang secara efektif akan mengakhirinya.

Ping Kematian

Meskipun serangan ping banjir dan smurf dianggap sebagai serangan penolakan layanan berbasis volume, ping kematian adalah serangan kerentanan yang bertujuan membuat sistem korban tidak dapat beroperasi dengan mengirimkan pesan ICMP yang dibuat dengan baik ke tujuan. Serangan ICMP ini dianggap kurang lazim dibandingkan dua serangan DoS lainnya yang telah kita bahas sebelumnya. Namun, potensi kehancurannya paling besar.

Pesan ICMP dibawa dalam datagram IP, yang ukurannya terbatas. Mengirim pesan yang formatnya salah atau terlalu besar ke host dapat mengakibatkan kelebihan memori dan, berpotensi, crash sistem secara keseluruhan. Meski terdengar berbahaya, sebagian besar sistem modern dilengkapi dengan sarana yang memadai untuk mendeteksi anomali tersebut, sehingga mencegah pesan ICMP yang salah format mencapai tujuannya.

Bagaimana Mendeteksi dan Memitigasi Serangan ICMP?

Peretas tidak memilih situs web dan server mana yang akan dijadikan target, terutama dalam serangan DDoS skala besar. Jika Anda bertanya-tanya, “Mengapa peretas menyerang situs web saya?”, penting untuk diingat bahwa apa pun alasannya, memiliki pengetahuan untuk memitigasi serangan ICMP sangat penting untuk menjaga keamanan kehadiran online Anda.

Mitigasi serangan ICMP, khususnya dalam kasus banjir ping, tidak berbeda dengan mitigasi jenis serangan penolakan layanan lainnya. Kuncinya adalah mengidentifikasi lalu lintas berbahaya dan memblokir sumbernya, sehingga secara efektif menolak akses penyerang ke server.

Namun, Anda jarang perlu mengamati dan menganalisis lalu lintas jaringan secara manual karena sebagian besar solusi keamanan, mulai dari filter paket stateless tradisional hingga sistem deteksi intrusi (IDS) tingkat lanjut dikonfigurasikan untuk membatasi lalu lintas ICMP dan secara efektif memitigasi serangan ICMP. Karena kemajuan solusi keamanan modern, banjir ping dan jenis serangan ICMP lainnya tidak lagi menjadi ancaman besar bagi server dan situs web.

Bagaimana Cara Bertahan Terhadap Serangan ICMP?

Strategi pertahanan yang efektif terhadap serangan ICMP dimulai dengan penerapan aturan penyaringan paket yang kuat, yang mencakup pembatasan laju atau bahkan penonaktifan sepenuhnya lalu lintas ICMP masuk dan keluar. Meskipun memblokir semua pesan ICMP untuk masuk dan keluar server akan membuat pelacakan rute ke server tidak mungkin dilakukan dan permintaan ping dapat mencapainya, hal ini tidak akan berpengaruh banyak pada operasi server dan situs web.

Seringkali, lalu lintas ICMP keluar dibatasi oleh firewall perangkat lunak secara default, jadi kemungkinan besar penyedia hosting Anda telah melakukannya untuk Anda. Semua solusi hosting terkelola sepenuhnya yang ditawarkan oleh LiquidWeb dan Nexcess dilengkapi dengan aturan firewall yang kuat yang memerlukan sedikit atau tanpa penyesuaian untuk bertahan dari serangan ICMP.

Secara umum, jika Anda ingin server Anda dapat ditemukan di jaringan global oleh utilitas Ping dan Traceroute, Anda dapat memilih untuk membatasi tingkat permintaan ping masuk dan keluar. Konfigurasi default yang dimiliki sebagian besar firewall perangkat lunak adalah membatasi jumlah permintaan gema ICMP yang masuk menjadi satu per detik untuk setiap alamat IP, yang merupakan titik awal yang baik.

Cara terbaik untuk mempertahankan server Anda dari banjir ping dan serangan ICMP lainnya adalah dengan menggunakan Jaringan Pengiriman Konten (CDN). CND modern menerapkan aturan firewall yang kuat dan melakukan pemeriksaan paket mendalam, sehingga secara signifikan mengurangi jumlah permintaan berbahaya yang mencapai server Anda. Dalam kasus serangan ICMP, bahkan rangkaian aturan firewall default yang diterapkan oleh CDN akan membantu mempertahankan diri secara efektif dari serangan ICMP.

Lindungi Situs WordPress Anda Dengan iThemes Security Pro

Dengan memanfaatkan penerapan Internet Control Message di tumpukan protokol, penjahat dunia maya dapat mengubah komponen fundamental Internet menjadi senjata berbahaya yang digunakan untuk mendatangkan malapetaka pada bisnis dan individu. Serangan ICMP seperti serangan ping banjir atau smurf bertujuan menyebabkan penolakan layanan dengan membebani host target atau perangkat jaringan dengan pesan ICMP yang besar dan berbahaya. Memanfaatkan botnet dan memalsukan alamat sumber membantu peretas membuat serangan ICMP menjadi lebih efektif dan secara signifikan meningkatkan potensi kehancurannya.

Untungnya, serangan ICMP tidak lagi menjadi ancaman besar terhadap situs web dan server karena solusi keamanan modern menyediakan mekanisme pertahanan hebat yang membantu mencegah dan memitigasi banjir ping. Serangan ICMP dianggap kurang berbahaya dibandingkan serangan penolakan layanan (DoS) lainnya yang menargetkan lapisan aplikasi tumpukan protokol.

iThemes Security Pro dan BackupBuddy memastikan Anda selangkah lebih maju dari ancaman keamanan siber dengan menjaga WordPress Anda tetap terlindungi setiap saat. Dengan jadwal pencadangan yang fleksibel dan pemulihan sekali klik, Anda dapat yakin bahwa salinan bersih situs WordPress Anda disimpan dengan aman di lokasi terpencil, di tempat yang tidak dapat dijangkau oleh peretas. Perlindungan brute force tingkat lanjut, autentikasi multifaktor, pemantauan integritas file, dan pemindaian kerentanan akan secara signifikan mengurangi permukaan serangan dan membantu Anda memitigasi ancaman apa pun dengan mudah.