Freebsd Hardening : Konfigurasi Sysctl.Conf

Sudah dua hari ini server mengalami serangan DOS TCP SYN FLOOD, dan kemarin sempat nge-drop sebentar. Syukurlah tidak hingga beberapa jam server kembali up. Penyebab pastinya tidak tahu, tapi serangan mulai tiba ketika aku merubah settingan file /etc/hosts.allow dengan menambaahkan baris :

All : All : Allow

Settingan ini aku maksudkan untuk memperbolehkan saluran ssh dari IP mana saja, alasannya ialah settingan sebelumnya hanya ip-ip tertentu saja yang diperbolehkan saluran ke server, alasannya ialah koneksi speedy telkom selalu berubah-ubah sehingga sering menyulitkan aku untuk saluran ssh ke server. Tapi kemudian hal ini malah menjadi bumerang bagi server saya, yang menjadikan munculnya serangan tersebut. Tidak usang sesudah aku menutup baris diatas, serangan mereda dan server kembali bisa diakses.

Hikmahnya, aku menjadi harus lebih hati-hati lagi.  Selain itu Saya jadi mengenal sedikit mengenai TCP SYN Flood. Meskipun sering Saya mengajarkan mengenai Three Way Handshake koneksi TCP tapi gres kali ini Saya menyadari kegunaan lain dari pengiriman paket SYN.

Secara sederhana  penyerangan TCP SYN Flood ialah mengirimkan paket SYN secara besar-besaran dalam waktu yang bersamaan sehingga membanjiri koneksi sasaran dan menjadikan sasaran tersebut tidak lagi bisa mendapatkan koneksi baru. Paket SYN yang dikirimkan oleh penyerang telah mempunyai IP source address yang telah dimodifikasi (biasanya palsu), sehingga pada ketika komputer sasaran mengirimkan SYN + ACK, untuk merespon paket SYN yang dikirimkan oleh penyerang akan mengirimkan ke alamat palsu dan MENUNGGU ACK dari IP address palsu tersebut. Proses ini akan menjadikan antrian, dan penggunaan buffer menjadi penuh sehingga tidak bisa mendapatkan koneksi baru.

Untuk mengatasi serangan TCP SYN Flood ini, aku melaksanakan tweak konfigurasi server FreeBSD aku pada sysctl.conf berikut baris konfigurasi yang aku tambahkan untuk mengatasi serangan TCP SYN Flood dan beberapa serangan yang lainnya, diambil dari sini  :

compat.linux.osrelease=2.6.16
net.inet.icmp.icmplim=10
net.inet.icmp.maskrepl=0
net.inet.icmp.drop_redirect=1
net.icmp.bmcastechno=0
net.inet.tcp.icmp_may_rst=10
net.inet.tcp.drop_synfin=1
#kern.ipc.somaxconn=65536
net.inet.ip.fw.one_pass=0
kern.ipc.nmbclusters=32768
kern.maxfiles=65536
net.inet.ip.stealth=0
net.inet.tcp.rfc1323=1
net.inet.tcp.blackhole=2
net.inet.tcp.blackhole=1
net.inet.ip.rtexpire=2
net.inet.ip.rtminexpire=2
net.inet.ip.rtmaxcache=256
net.inet.ip.accept_sourceroute=0
net.inet.ip.sourceroute=0
net.link.ether.inet.log_arp_wrong_iface=0
kern.ps_showallprocs=0
kern.ps_argsopen=0
kern.randompid=348

Anda punya pengalaman mengenai serangan TCP SYN Flood ini? atau tipe serangan lain dan bagaimana cara mengatasinya?

ref :

1. http://tools.ietf.org/html/draft-ietf-tcpm-syn-flood-04


2. http://ejlp.blogspot.com/2008/02/serangan-tcp-syn-flood.html


3. http://id.wikipedia.org/wiki/SYN_flooding_attack

Sumber http://jasait.com

Share this post