Cara Membuat Seluruh Dunia Mengirim Laporan Penyalahgunaan kepada Sahabat Dekat Anda

 (delroth.net)
1 poin oleh GN⁺ 2024-10-30 | 1 komentar | Bagikan ke WhatsApp

Pengantar

  • Tulisan ini membahas pengalaman pribadi terkait keamanan, jaringan, dan laporan penyalahgunaan.
  • Penulis menerima laporan bahwa servernya terinfeksi malware, tetapi setelah diselidiki ternyata tidak ada masalah.

Awal kejadian

  • Penulis menerima email dari Hetzner bahwa alamat IP miliknya menerima laporan penyalahgunaan.
  • Ditemukan upaya koneksi SSH yang tidak normal di server, tetapi sebenarnya yang terjadi bukan koneksi keluar dari server, melainkan pengiriman paket TCP reset dari luar ke server.

IP spoofing

  • Di internet, IP spoofing adalah tindakan mengirim paket dengan memalsukan alamat IP sumber.
  • BCP38 merekomendasikan agar hanya alamat IP yang diharapkan yang diizinkan saat meneruskan paket IP antarjaringan, tetapi tidak semua jaringan mematuhinya.

Dugaan motif

  • Penyerang memalsukan IP sumber dan mengirim permintaan koneksi ke port 22, sehingga memicu laporan penyalahgunaan otomatis.
  • Ini kemungkinan merupakan serangan yang menargetkan sebagian node di jaringan Tor.

Kaitan dengan Tor

  • Relay Tor berperan meneruskan lalu lintas yang dianonimkan dan tidak terhubung langsung ke internet eksternal.
  • Namun, sebagian pengguna internet tidak menyukai Tor dan mungkin ada upaya untuk menonaktifkannya.

Kesimpulan

  • Internet sudah bermasalah 25 tahun lalu, dan hingga kini masih tetap bermasalah.
  • IP spoofing masih menjadi masalah, dan aturan keamanan seperti BCP38 masih belum diterapkan dengan baik.
  • Jika Anda menerima laporan penyalahgunaan seperti ini, Anda akan mengetahui cara menjelaskan kepada penyedia hosting bahwa server Anda adalah korban.

# Ringkasan GN⁺

  • Tulisan ini membahas masalah keamanan yang berkaitan dengan IP spoofing serta menjelaskan hubungannya dengan jaringan Tor.
  • Menekankan pentingnya keamanan internet dan perlunya BCP38.
  • Proyek dengan fungsi serupa dapat mencakup berbagai alat jaringan keamanan.

Bacaan terkait

1 komentar

 
GN⁺ 2024-10-30
Komentar Hacker News

  • Masalah IP spoofing sulit diselesaikan karena pelaku jahat dan pengguna tak bersalah bisa memakai alasan yang sama

    • Internet sudah bermasalah sejak 25 tahun lalu, dan sampai sekarang masih belum terselesaikan
    • Masalah alamat IP yang dipalsukan masih tetap ada pada 2024, dan komunitas internet tidak memaksakan aturan keamanan untuk mengatasinya

  • Dulu pernah menerapkan aturan firewall dasar, tetapi masalah muncul karena paket yang dipalsukan

    • Menerima paket palsu dari IP tertentu, lalu menyesuaikan aturan firewall untuk mengatasinya
    • Penting mengoperasikan beberapa alamat IP, dan jika ISP menerapkan pemfilteran berbasis sumber maka pindah ke ISP lain

  • Jika menemukan penyedia transit yang tidak melakukan filtering BCP38, Anda bisa mengirim paket dengan source IP apa pun yang diinginkan

    • Asal-usul BCP38 bisa ditelusuri hingga 1998, tetapi masih ada penyedia jaringan yang belum menerapkannya
    • Untuk mencegah spoofing, perlu menolak trafik dari semua AS yang tidak menerapkan BCP38

  • Teori dari seseorang yang tidak menyukai relay Tor tampaknya tidak bernilai

    • Bisa jadi ini adalah upaya untuk menyingkirkan relay yang sah sambil menjalankan relay jahat

  • Ini mirip dengan swatting, karena bergantung pada otoritas yang mengambil tindakan serius terhadap sumber masalah yang belum terverifikasi

    • Bedanya, keluhan diajukan melalui pihak ketiga yang tidak terkait

  • Dulu pernah memindai reflektor DrDoS, dan penyedia cloud menerima banyak keluhan

    • Server yang mengirim paket pemindaian palsu tidak terdeteksi, dan bisa memindai internet berulang kali
    • Melacak sumber paket palsu itu memungkinkan, tetapi membutuhkan kerja sama dengan penyedia transit

  • Sistem seharusnya tidak otomatis melaporkan penyalahgunaan hanya untuk satu paket, dan hanya boleh melaporkan jika trafiknya sudah setingkat denial-of-service

    • Dalam kasus SSH, itu belum merupakan upaya koneksi yang valid sampai handshake terjadi

  • IP spoofing adalah masalah yang mirip dengan swatting, patent trolling, dan menjebak orang tak bersalah

    • Mekanisme perlindungan penyalahgunaan dipersenjatai untuk menyerang target yang tidak disukai
    • Otoritas menjadi titik lemah dan bisa dipersenjatai oleh pelaku jahat

  • Jika serangannya dibajak dengan mengirim paket ke semua orang, penyedia bisa kewalahan oleh email penyalahgunaan sehingga serangan tidak lagi efektif

    • Honeypot mungkin tidak mengirim email penyalahgunaan, atau penyedia bisa memfilternya