Anda yang menggunakan VPS, bisa jadi pernah mengalami dimana server sering down tiba-tiba padahal traffic webnya rendah. Hal ini bisa terjadi karena adanya serangan DOS/DDOS, mulai dari yang ringan hingga yang berat.
DOS singkatan dari Denial Of Service. Sedangkan DDOS adalah singkatan dari Distributed Denial Of Service. Model serangannya mirip, tapi jumlah pelakunya yang beda.
Sudah banyak kasus server website bermasalah / susah di akses atau bahkan tidak bisa di akses akibat terlalu banyak menerima paket kiriman data yg berlebihan (flooding) sehingga bandwidth jaringan jadi penuh atau server tidak mampu lagi menanganinya.
jadi umumnya ada 2 penyebab server jadi down / tidak bisa diakses :
1. Memang terlalu banyak pengunjung / pengakses ke server Anda yang tidak bisa ditangani oleh spesifikasi server Anda. Anda harus upgrade server untuk hal ini.
2. Adanya pengunjung yang sengaja mengirim paket request data sangat banyak dan sering dengan tujuan untuk menghabiskan resources server sehingga server jadi hang.
Untuk mengatasi poin yang kedua, mari ikuti tutorial berikut. Kali ini kita akan menggunakan alat yang sudah ada di linux, yaitu iptables dan netstat.
1. Login ke SSH, lalu ketik perintah berikut:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Perintah di atas akan menampilkan daftar IP pengujung dan jumlah koneksinya.
Pada tampilan di atas sebelah kiri menunjukan Jumlah koneksi dan sebelah kanan adalah IP yg mengakses.
2. Perhatikanlah tampilan tersebut. Koneksi standar pada webserver umumnya maksimal 20 koneksi per ip tiap detiknya. Jadi jika ada yang melebihi 30 koneksi, silahkan coba ketik perintah tadi setiap 5 detik. Jika ada 1 IP yang koneksinya tidak berubah atau semakin bertambah banyak, berarti ada masalah dengan IP ini.
Silahkan cek IP tersebut di http://whois.domaintools.com. Jika ternyata IP tersebut adalah IP server Anda sendiri, berarti tidak ada masalah. Tapi jika itu adalah IP yang mencurigakan, Anda harus mengambil tindakan.
Jika misal IP tersebut adalah milik google, berarti google sedang melakukan crawling / mengunjungi web Anda. IP google umumnya tidak berbahaya.
3. Jika IP tersebut mencurigakan, lakukanlah Block IP agar tidak bisa mengakses server anda, dengan cara:
iptables -A INPUT -s x.x.x.x -j DROP
iptables -A OUTPUT -s x.x.x.x -j DROP
x.x.x.x silahkan ganti dengan IP Address yg ingin anda blok.
4. Silahkan coba jalankan perintah nomer 1 tadi :
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Pastikan IP tadi sudah tidak akan tampil karena sudak di blok.
Untuk melihat Status IP yg sudah di blok tadi, anda bisa dengan cara ketik :
iptables -L -v -n –line-numbers
Maka akan tampil seperti ini misalnya:
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Chain INPUT (policy ACCEPT 1524K packets, 736M bytes)
num pkts bytes target prot opt in out source
1 8810 423K DROP all — * * x.x.x.x
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source
Chain OUTPUT (policy ACCEPT 1785K packets, 1034M bytes)
num pkts bytes target prot opt in out source
1 0 0 DROP all — * * x.x.x.x
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Terlihat bahwa IP yang tadi anda blok (x.x.x.x), dan IP tersebut terus berusaha mengirim paket. Perhatikan pada bagian Chain INPUT, jumlah paket akan terus bertambah dan nilai byte juga pasti bertambah.
5. Selesai
Serangan DOS dilakukan oleh 1 user. Trik di atas bukan solusi untuk mengatasi DDOS, karena DDOS user IPnya berjibun meskipun koneksinya masing-masing cuma 1-2.
1000 IP yang mengakses 1 halaman cukup bisa membuat server down. Itulah yang disebut dengan DDOS. Masih agak susah menanganinya, serahkan saja pada administrator jaringan di datacenter.
Semoga bermanfaat!
Sumber : https://www.facebook.com/notes/kopaci/cara-menangkal-serangan-ddosdos/189492557908074