IP traceback menggunakan pendekatan mekanisme berdasarkan probabilistic packet marking (PPM)[8].
Pada PPM setiap router secara probabilitas mendaftarkan informasi tentang jalur
lokal ke paket yang melaluinya sehingga node tujuan dapat merekonstruksi jalur
lengkap yang dilewati oleh paket dengan memeriksa tanda-tanda pada paket yang
diterima.
Ketika suatu router memutuskan menandai sebuah paket dengan probabilitas p, router akan menuliskan informasi pada bagian penanda, akibatnya tanda yang dibuat oleh upstream router akan terhapus. Agar PPM dapat bekerja. PPM mengijinkan korban untuk menentukan perkiraan lokasi sumber dari serangan tanpa memerlukan bantuan dari operator jaringan luar. Hal tersebut bahkan bisa dilakukan setelah serangan berakhir. Algoritma penanda dapat diimplementasikan tanpa menghasilkan overhead yang signifikan pada router jaringan. Algoritma penanda memiliki dua komponen, yaitu prosedur penanda yang dilakukan oleh router pada network dan prosedur rekonstruksi jalur yang diimplementasikan oleh korban. Skema dari IP Traceback dapat dilihat pada gambar 2.4 berikut ini.
Gambar 2.4 IP Traceback[6]
5.4 Center Track
Center Track adalah jaringan overlay
terdiri atas IP tunnel yang digunakan
secara selektif merouting kembali datagram langsung dari tepi router terluar ke router tracking
khusus[8]. IP tunnel dapat dibuat
pada jaringan IP yang tersedia. Router tracking dapat menentukan tepi router ingress dengan meneliti pada tunnel mana datagram tiba. Router tepi,
harus dapat melakukan input debugging.
Input debugging adalah kelengkapan
diagnosa yang akan memperlihatkan hop
sebelumnya ketika serangan datang dari atau melalui hop tersebut. Routing
dinamis yang dibuat menyebabkan hanya lalu lintas yang menuju korban saja yang
di routing melalui jaringan overlay. Tracking dilakukan dimulai pada router
terdekat dengan korban, lalu dilakukan dengan hop-by-hop.
Gambar 2.5 Contoh Center Track[6]
5.5 Sleepy Watermark Tracing
Sleepy Watermark Tracing (SWT) [9] dikembangkan untuk melakukan traceback menggunakan prinsip hubungan rantai. Metode ini dapat
digunakan untuk melacak serangan ketika penyerang menggunakan komputer yang
dikendalikan secara remote sebagai
mesin budak.
Arsitektur SWT terdiri dari dua
bagian, yaitu SWT guarded host dan SWT guarded gateway. IDS dan aplikasi watermark-enable pada SWT guarded host digunakan sebagai
komponen pendukung. IDS berfungsi sebagai inisiator dari SWT tracing. IDS berinteraksi dengan SWT subsistem melalui SWT guarded host dan mentriger watermark tracing ketika instrusi
terdeteksi.
Gambar 2.6 Guadian gateway dan
Guardian host[6]
Inti dari SWT terdiri dari tiga
komponen interaktif, yaitu Sleepy
Instrusion Response (SIR), Watermark
Correlation (WMC) dan Active Tracing
(AT). SIR menerima permintaan dari IDS, kemudian mengkoordinasikan active tracing dan menyimpan track informasi tracing dari instrusi. WMC menghubungkan incoming dan outgoing
koneksi melalui watermark. AT mengkoordinasi
beberapa bagian dalam jaringan untuk kolaborasi trace dari jalur incoming dan sumber dari instrusi. Gambar 2.7 memperlihatkan hubungan antara
ketiga komponen tersebut.
Gambar 2.7 Arsitektur SWT [9]
Secara default, sistem SWT tidak
aktif. Ketika IDS mendeteksi intrusi, IDS akan mentriger SWT tracing dengan cara menotifikasi SIR memakai informasi koneksi.
Berdasarkan permintaan dari IDS, SIR pertama kali akan mengaktifkan koneksi
intrusi untuk periode waktu tertentu. Kemudian SIR akan mentriger active tracing pada guardian gateway dengan mengirimkan notifikasi trace. Akhirnya, SIR
menotifkasi aplikasi WM enabled untuk
menginjeksi watermark yang diminta.
SIR juga menyimpan jejak dari informasi tracing
intrusi dengan mengembalikannya ke SWT
guardian gateway, dan apabila IDS meminta informasi tersebut, SIR akan
menyediakan informasi yang dibutuhkan.
Jika pada periode waktu tertentu
tidak ada informasi trace yang
dikembalikan ke SWT guardian gateway
atau tidak ada notifikasi lanjutan dari IDS, maka komponen respon intrusi akan
kembali tidak aktif. Injeksi watermark
hanya akan terjadi apabila ada intrusi yang terdeteksi dan hanya aplikasi
jaringan intruder yang akan menerima respon watermark.
Tidak ada komentar:
Posting Komentar