Serangan DDoS: Jenis, Lapisan Model OSI, dan Cara Melindungi Infrastruktur Anda
Serangan Distributed Denial of Service (DDoS) tetap menjadi salah satu ancaman paling mengganggu dan mahal yang dihadapi bisnis online, aplikasi web, dan infrastruktur hosting saat ini. Baik Anda menjalankan situs e-commerce kecil atau mengelola server tingkat enterprise, memahami cara kerja serangan DDoS — dan bagaimana mereka memetakan ke lapisan OSI tertentu — adalah fondasi dari strategi pertahanan yang serius.
Dalam panduan komprehensif ini, kami merinci setiap jenis serangan DDoS utama, menjelaskan lapisan OSI mana yang ditargetkan masing-masing, menguraikan dampak dunia nyata pada bisnis Anda, dan memandu Anda melalui strategi mitigasi yang terbukti untuk menjaga layanan Anda tetap online.
Apa Itu Serangan DDoS?
Serangan Distributed Denial of Service (DDoS) adalah upaya terkoordinasi dan berbahaya untuk membanjiri server, jaringan, atau layanan target dengan volume lalu lintas atau permintaan yang menghabiskan sumber daya dalam jumlah besar — membuatnya tidak dapat merespons pengguna yang sah.
Berbeda dengan serangan DoS sederhana yang diluncurkan dari satu mesin, serangan DDoS memanfaatkan botnet: jaringan ribuan atau bahkan jutaan perangkat yang dikompromikan (komputer, perangkat IoT, server) yang secara bersamaan membanjiri target. Sifat terdistribusi membuat serangan ini jauh lebih sulit diblokir dan jauh lebih kuat.
Tujuan akhirnya sangat jelas: menghabiskan sumber daya target — bandwidth, CPU, memori, atau kapasitas koneksi — menyebabkan downtime, penurunan performa, dan gangguan layanan.
Model OSI: Mengapa Penting untuk Pertahanan DDoS
Model OSI (Open Systems Interconnection) adalah kerangka konseptual yang membagi komunikasi jaringan menjadi tujuh lapisan yang berbeda, masing-masing bertanggung jawab untuk fungsi tertentu. Serangan DDoS dirancang dengan sengaja untuk memanfaatkan kerentanan di lapisan tertentu, itulah mengapa memahami model ini penting untuk mendiagnosis dan mempertahankan diri dari serangan tersebut.
| Lapisan OSI | Nama | Fungsi |
|---|---|---|
| Lapisan 1 | Physical | Transmisi hardware data mentah |
| Lapisan 2 | Data Link | Transfer data node-ke-node |
| Lapisan 3 | Network | Routing dan pengalamatan IP |
| Lapisan 4 | Transport | Komunikasi end-to-end (TCP/UDP) |
| Lapisan 5 | Session | Manajemen sesi |
| Lapisan 6 | Presentation | Pemformatan data dan enkripsi |
| Lapisan 7 | Application | Protokol yang menghadap pengguna (HTTP, DNS, dll.) |
Serangan DDoS terutama menargetkan Lapisan 3, 4, dan 7, masing-masing memerlukan pendekatan deteksi dan mitigasi yang berbeda.
Jenis-Jenis Serangan DDoS Berdasarkan Lapisan OSI
1. Serangan Berbasis Volume — Lapisan 3 (Network Layer)
Serangan berbasis volume adalah yang paling sederhana dan sering kali terbesar dalam hal volume lalu lintas mentah. Tujuan utama mereka adalah mengisi bandwidth yang tersedia dari target atau infrastruktur jaringan yang menghubungkannya ke internet. Ukuran serangan biasanya diukur dalam gigabit per detik (Gbps) atau paket per detik (PPS).
ICMP Flood (Ping Flood)
Penyerang mengirimkan sejumlah besar paket ICMP Echo Request (ping) ke target. Server korban dipaksa memproses setiap permintaan dan mengirimkan balasan yang sesuai, mengonsumsi bandwidth masuk dan keluar serta siklus CPU. Ketika volume melebihi kapasitas server, lalu lintas yang sah sepenuhnya tersisihkan.
Karakteristik utama: Mudah dieksekusi, sering digunakan sebagai layar asap untuk serangan simultan yang lebih canggih.
UDP Flood
Dalam UDP flood, penyerang mengirimkan volume besar paket User Datagram Protocol (UDP) ke port acak pada host target. Karena UDP tidak memiliki koneksi dan stateless, server target harus:
- Memeriksa apakah ada aplikasi yang mendengarkan pada port tujuan.
- Merespons dengan paket ICMP “Destination Unreachable” jika tidak ada aplikasi yang ditemukan.
Proses ini diulang jutaan kali per detik dengan cepat menghabiskan sumber daya server dan bandwidth yang tersedia.
Amplification Attacks (DNS/NTP Amplification)
Subtipe serangan volumetrik Lapisan 3 yang sangat berbahaya, amplification attacks memanfaatkan server yang dapat diakses publik (DNS resolvers, NTP servers, memcached instances) untuk mengalikan lalu lintas serangan. Penyerang memalsukan alamat IP korban dan mengirimkan permintaan kecil ke server ini, yang merespons dengan respons 10x hingga 100x lebih besar — semuanya diarahkan ke korban.
2. Serangan Protokol — Lapisan 4 (Transport Layer)
Serangan protokol memanfaatkan kelemahan dalam protokol komunikasi TCP/IP itu sendiri, bukan hanya membanjiri bandwidth. Mereka bertujuan untuk menghabiskan sumber daya sisi server seperti tabel status koneksi, tabel sesi firewall, dan kapasitas load balancer. Ukuran serangan diukur dalam paket per detik (PPS).
SYN Flood
SYN flood adalah salah satu teknik DDoS yang paling terkenal dan banyak digunakan. Ini memanfaatkan TCP three-way handshake:
- Klien mengirimkan paket SYN untuk memulai koneksi.
- Server merespons dengan SYN-ACK dan mengalokasikan sumber daya sambil menunggu ACK final.
- Dalam SYN flood, penyerang mengirimkan ribuan paket SYN — sering kali dengan IP sumber yang dipalsukan — tetapi tidak pernah menyelesaikan handshake.
Tabel koneksi server penuh dengan koneksi setengah terbuka, mencegahnya menerima koneksi baru yang sah. Ini adalah serangan yang sangat efektif bahkan pada volume lalu lintas yang relatif rendah.
Ping of Death
Serangan Ping of Death melibatkan pengiriman paket yang salah bentuk atau berukuran besar ke target. Spesifikasi IPv4 membatasi ukuran paket hingga 65.535 byte; ketika paket yang berukuran besar difragmentasi dan disatukan kembali, dapat menyebabkan buffer overflows, crash sistem, atau reboot pada sistem yang rentan. Meskipun sistem operasi modern sebagian besar telah diperbaiki terhadap Ping of Death klasik, varian terus bermunculan.
ACK Flood
Dalam ACK flood, penyerang mengirimkan volume besar paket TCP ACK ke target. Karena server tidak memiliki catatan paket SYN yang sesuai, server harus memproses masing-masing untuk menentukan bahwa paket tersebut tidak valid — mengonsumsi CPU dan memori dalam prosesnya.
3. Serangan Application Layer — Lapisan 7 (Application Layer)
Serangan application layer adalah yang paling canggih dan paling sulit dideteksi karena mereka sangat meniru perilaku pengguna yang sah. Daripada membanjiri bandwidth atau menghabiskan tabel koneksi, mereka menargetkan sumber daya komputasi aplikasi spesifik — web server, database, API, dan sistem login. Ukuran serangan diukur dalam permintaan per detik (RPS).
HTTP Flood
HTTP flood mengirimkan sejumlah besar permintaan HTTP GET atau POST yang tampak sah ke web server. Karena setiap permintaan tampak valid, pemblokiran berbasis IP sederhana tidak efektif. Server harus memproses setiap permintaan — menanyakan database, merender halaman, menjalankan skrip — hingga sepenuhnya kewalahan dan tidak dapat melayani pengguna nyata.
GET floods biasanya menargetkan halaman yang berat sumber daya (hasil pencarian, daftar produk).
POST floods menargetkan formulir dan endpoint login, memaksa server memproses sejumlah besar data yang dikirimkan.
Slowloris
Slowloris adalah serangan yang unik dan tersembunyi yang memerlukan sangat sedikit bandwidth. Ini bekerja dengan:
- Membuka sejumlah besar koneksi ke web server target.
- Mengirimkan header permintaan HTTP yang sebagian, tidak lengkap — cukup untuk menjaga setiap koneksi tetap aktif.
- Secara berkala mengirimkan baris header tambahan untuk mencegah timeout.
Server membiarkan setiap koneksi tetap terbuka menunggu permintaan selesai, secara bertahap menghabiskan pool koneksi maksimumnya. Setelah pool penuh, tidak ada koneksi baru yang sah yang dapat diterima — secara efektif membawa server offline sambil menggunakan sumber daya penyerang minimal.
DNS Query Flood
Menargetkan infrastruktur DNS di Lapisan 7, penyerang mengirimkan volume besar permintaan pencarian DNS untuk nama domain yang tidak ada atau acak. Server DNS harus memproses setiap kueri, mengonsumsi CPU dan memori hingga tidak lagi dapat menyelesaikan permintaan yang sah — secara efektif memutuskan target dari internet.
SSL/TLS Exhaustion
Serangan ini memanfaatkan biaya komputasi handshake SSL/TLS. Membangun koneksi terenkripsi memerlukan sumber daya CPU yang signifikan di sisi server. Dengan memulai ribuan handshake SSL per detik tanpa menyelesaikannya, penyerang dapat membanjiri bahkan server yang dilengkapi dengan baik.
Dampak Dunia Nyata dari Serangan DDoS
Memahami mekanika teknis hanyalah setengah dari gambaran. Konsekuensi bisnis dari serangan DDoS yang berhasil dapat parah dan bertahan lama:
Downtime Layanan dan Kehilangan Pendapatan
Setiap menit situs web atau aplikasi Anda offline diterjemahkan langsung menjadi kehilangan pendapatan. Untuk platform e-commerce, produk SaaS, dan layanan online, bahkan beberapa jam downtime dapat menghabiskan ribuan atau puluhan ribu dolar — belum menghitung biaya tidak langsung dari churn pelanggan.
Peningkatan Biaya Operasional
Respons insiden darurat, penyediaan bandwidth tambahan, layanan mitigasi spesialis, dan lembur untuk staf IT semuanya bertambah dengan cepat selama dan setelah serangan DDoS.
Kerusakan Reputasi
Pelanggan dan mitra memperhatikan ketika layanan tidak berfungsi. Pemadaman yang berulang atau berkepanjangan mengikis kepercayaan, merusak reputasi merek, dan dapat mendorong pengguna secara permanen ke pesaing. Untuk bisnis di industri yang diatur, downtime juga dapat memicu pelanggaran kepatuhan dan penalti terkait.
Gangguan Keamanan (Serangan Smokescreen)
Beberapa serangan DDoS dirancang dengan sengaja sebagai pengalihan — membuat tim keamanan sibuk sementara penyerang secara bersamaan melaksanakan pelanggaran data, penyebaran ransomware, atau intrusi lain melalui vektor yang tidak dipantau.
Strategi Mitigasi DDoS: Panduan Praktis
Pertahanan DDoS yang efektif memerlukan pendekatan berlapis dan proaktif yang mengatasi ancaman di setiap level OSI. Tidak ada solusi tunggal yang cukup dengan sendirinya.
1. Pilih Infrastruktur yang Dibangun untuk Ketahanan
Fondasi hosting Anda sangat penting. Memilih penyedia yang menawarkan infrastruktur yang sadar DDoS dengan uplink jaringan berkapasitas tinggi, penyaringan tingkat hardware, dan konektivitas redundan adalah pertahanan lapis pertama.
Jika Anda menjalankan aplikasi yang penting untuk bisnis, pertimbangkan untuk upgrade ke paket VPS Hosting atau solusi Dedicated Servers yang menyediakan sumber daya khusus, kontrol lebih besar atas konfigurasi jaringan, dan kemampuan untuk menerapkan aturan firewall khusus — semua keuntungan penting saat sedang diserang.
2. Terapkan Penyaringan Lalu Lintas dan Firewall
Terapkan firewall stateful dan sistem deteksi/pencegahan intrusi (IDS/IPS) untuk memeriksa lalu lintas masuk dan secara otomatis menghapus paket yang cocok dengan tanda tangan serangan yang diketahui. Konfigurasikan aturan untuk:
- Memblokir lalu lintas dari rentang IP dan ASN yang diketahui berbahaya.
- Menghapus paket yang salah bentuk dan status protokol yang tidak valid.
- Membatasi lalu lintas ICMP dan UDP untuk kasus penggunaan yang sah.
- Menerapkan validasi status TCP yang ketat untuk mengatasi banjir SYN.
3. Terapkan Pembatasan Laju
Pembatasan laju mengontrol berapa banyak permintaan yang dapat dibuat oleh satu alamat IP atau koneksi dalam jendela waktu yang ditentukan. Ini sangat efektif terhadap serangan Layer 7 seperti banjir HTTP dan banjir kueri DNS. Terapkan pembatasan laju di berbagai level:
- Level server web (NGINX, Apache)
- Level firewall aplikasi (aturan WAF)
- Level CDN/edge (Cloudflare, Akamai)
4. Terapkan Web Application Firewall (WAF)
WAF beroperasi di Layer 7 dan dapat membedakan antara pengguna yang sah dan lalu lintas serangan berdasarkan analisis perilaku, pola permintaan, dan penilaian reputasi. Ini sangat efektif terhadap banjir HTTP, Slowloris, dan eksploitasi khusus aplikasi.
5. Gunakan Difusi Jaringan Anycast
Perutean anycast mendistribusikan lalu lintas masuk di seluruh beberapa pusat data yang tersebar secara geografis. Alih-alih semua lalu lintas serangan mengenai satu server, lalu lintas tersebut tersebar di seluruh jaringan — mengurangi dampaknya dan membuat serangan volumetrik jauh lebih tidak efektif.
6. Terapkan Redundansi dan Penyeimbangan Beban
Mendistribusikan aplikasi Anda di seluruh beberapa server dan wilayah geografis menggunakan penyeimbang beban memastikan bahwa bahkan jika satu node kewalahan, yang lain terus melayani pengguna yang sah. Arsitektur ini juga meningkatkan kinerja dan ketersediaan dalam kondisi normal.
7. Manfaatkan Layanan Perlindungan DDoS Khusus
Untuk bisnis yang menghadapi ancaman DDoS yang serius atau berkelanjutan, layanan mitigasi DDoS khusus (seperti Cloudflare Magic Transit, Radware, atau Imperva) menyediakan pembersihan lalu lintas yang selalu aktif — membersihkan lalu lintas berbahaya sebelum pernah mencapai infrastruktur Anda.
8. Amankan Infrastruktur DNS Anda
Karena DNS adalah target DDoS yang sering, pastikan penyedia DNS Anda menawarkan infrastruktur yang tahan DDoS dengan perutean anycast dan pembatasan laju. Pertimbangkan untuk menggunakan DNSSEC untuk mencegah spoofing DNS dan serangan cache poisoning yang dapat memperburuk kerusakan DDoS.
9. Jaga Sertifikat SSL Tetap Valid dan Dikonfigurasi dengan Benar
Sertifikat SSL yang kedaluwarsa atau dikonfigurasi dengan salah dapat menciptakan kerentanan yang dimanfaatkan penyerang. Mempertahankan Sertifikat SSL yang valid memastikan koneksi terenkripsi ditangani secara efisien dan mengurangi paparan terhadap serangan kelelahan SSL.
10. Kembangkan dan Uji Rencana Respons Insiden
Memiliki rencana respons DDoS yang terdokumentasi dan teruji secara dramatis mengurangi waktu untuk mengurangi serangan. Rencana Anda harus mencakup:
- Jalur eskalasi yang jelas dan daftar kontak.
- Template aturan firewall yang telah dikonfigurasi sebelumnya untuk jenis serangan umum.
- Hubungan dengan penyedia hulu untuk null-routing darurat atau pembersihan lalu lintas.
- Prosedur tinjauan pasca-insiden untuk meningkatkan pertahanan.
Ringkasan Serangan DDoS: Lapisan OSI Sekilas
| Jenis Serangan | Lapisan OSI | Sumber Daya Target | Unit Pengukuran |
|---|---|---|---|
| ICMP Flood | Layer 3 — Network | Bandwidth | Gbps |
| UDP Flood | Layer 3 — Network | Bandwidth / CPU | Gbps / PPS |
| DNS/NTP Amplification | Layer 3 — Network | Bandwidth | Gbps |
| SYN Flood | Layer 4 — Transport | Tabel koneksi | PPS |
| ACK Flood | Layer 4 — Transport | CPU / Tabel state | PPS |
| Ping of Death | Layer 4 — Transport | Stabilitas sistem | PPS |
| HTTP Flood | Layer 7 — Application | CPU server web | RPS |
| Slowloris | Layer 7 — Application | Pool koneksi | Connections |
| DNS Query Flood | Layer 7 — Application | CPU server DNS | RPS |
| SSL Exhaustion | Layer 7 — Application | CPU (operasi crypto) | Handshakes/sec |
Membangun Lingkungan Hosting yang Tahan terhadap DDoS
Pertahanan jangka panjang yang paling efektif terhadap serangan DDoS dimulai dengan memilih infrastruktur yang tepat. Berikut adalah cara AlexHost dapat membantu:
- VPS Hosting — Server virtual terisolasi dengan sumber daya khusus, akses root penuh, dan kemampuan untuk menerapkan aturan firewall khusus dan konfigurasi jaringan yang disesuaikan dengan persyaratan keamanan Anda.
- Dedicated Servers — Performa maksimal dan kontrol untuk aplikasi lalu lintas tinggi yang memerlukan tingkat ketahanan DDoS tertinggi dan perlindungan jaringan khusus.
- VPS Control Panels — Antarmuka manajemen intuitif yang memudahkan pemantauan pola lalu lintas, konfigurasi aturan keamanan, dan respons cepat terhadap anomali.
- SSL Certificates — Jaga koneksi terenkripsi Anda tetap aman dan dikonfigurasi dengan benar untuk meminimalkan permukaan serangan berbasis SSL.
- Shared Web Hosting — Untuk proyek yang lebih kecil, infrastruktur shared hosting AlexHost mencakup perlindungan tingkat jaringan yang memberikan baseline keamanan yang solid tanpa kompleksitas mengelola server Anda sendiri.
Kesimpulan
Serangan DDoS adalah ancaman yang persisten dan terus berkembang yang tidak dapat diabaikan oleh bisnis online mana pun. Dengan memahami bagaimana berbagai jenis serangan menargetkan lapisan OSI tertentu — dari banjir bandwidth mentah di Layer 3, hingga eksploitasi protokol di Layer 4, hingga serangan tingkat aplikasi yang canggih di Layer 7 — Anda mendapatkan pengetahuan yang diperlukan untuk membangun strategi pertahanan yang benar-benar komprehensif.
Perlindungan yang efektif tidak pernah menjadi solusi tunggal. Ini adalah kombinasi dari infrastruktur yang tangguh, penyaringan lalu lintas cerdas, pembatasan laju, redundansi, dan pemantauan proaktif — semuanya bekerja bersama untuk menjaga layanan Anda tetap online saat penyerang menyerang.
Berinvestasi dalam infrastruktur hosting yang tepat adalah fondasi dari pertahanan itu. Jelajahi rangkaian solusi hosting AlexHost untuk menemukan yang tepat untuk kebutuhan keamanan dan kinerja Anda — dan pastikan bisnis Anda tetap online, apa pun yang terjadi.
untuk semua layanan hosting