Inilah yang terjadi dengan serangan penolakan layanan terdistribusi: selama bertahun-tahun, banjir berskala terabit adalah penyebab utamanya keamanan siber setara dengan badai seratus tahun.
Anda akan membacanya dalam laporan kejadian, mengangguk dengan serius, dan kembali mengkhawatirkannya ransomware. Tahun 2025 mengakhiri abstraksi nyaman itu.
Memimpin penelitian keamanan untuk Nokia Deepfield.
Serangan DDoS tingkat terabit kini menjadi kejadian sehari-hari di penyedia telekomunikasi besar. Bukan mingguan. Bukan “beberapa kali sebulan”. Sehari-hari. Serangan pertama yang melebihi 10 Tbps terjadi pada bulan September. Pada bulan Oktober, kami melacak insiden yang melebihi 30 Tbps.
Industri ini sudah bersiap untuk mencapai 100 Tbps: bukan sebagai batas teoritis, namun sebagai tonggak sejarah yang tak terelakkan. Apa yang berubah? Semuanya, ternyata.
Masalah lima menit
Mulailah dengan waktu. Pada tahun 2024, sekitar 44% kampanye DDoS selesai dalam waktu lima menit. Tahun ini, angka tersebut melonjak menjadi 78%, dan lebih dari sepertiganya diselesaikan dalam waktu kurang dari dua menit.
Jika sistem deteksi dan mitigasi Anda tidak dapat merespons pada saat itu jaringan edge dalam waktu enam puluh detik, Anda melakukan analisis pasca-insiden, bukan pertahanan.
Ini bukan berarti penyerang menjadi malas. Yang terjadi justru sebaliknya: kampanye telah diatur secara algoritmik, melewati vektor serangan lebih cepat daripada yang dapat ditanggapi oleh operator manusia.
Serangan otomatis tipikal mungkin dimulai dengan pengeboman karpet TCP, beralih ke banjir UDP ketika mendeteksi pengaktifan tindakan pencegahan, menambahkan beberapa amplifikasi DNS, lalu diakhiri dengan banjir SYN tingkat tinggi — semuanya dalam waktu tiga menit, setiap gelombang dikalibrasi ke ambang batas respons pembela.
Serangannya tidak hanya lebih cepat. Mereka lebih pintar. Sistem sekarang memantau perilaku pembela secara real-time, menyesuaikan parameter seperti algoritma perdagangan frekuensi tinggi yang merespons kondisi pasar. Saat mitigasi Anda dimulai, serangan akan berputar. Saat Anda beradaptasi, ia berputar lagi.
Panggilan itu datang dari dalam rumah
Pergeseran yang lebih mendasar melibatkan asal lalu lintas serangan. Botnet DDoS tradisional mengandalkan perangkat IoT yang disusupi: kamera, DVR, router dengan pelabuhan terbuka, dan meteran parkir sesekali.
Pada puncaknya, total populasi bot aktif di seluruh jaringan yang terfragmentasi ini mungkin mencapai satu juta perangkat, dan tidak ada satu pun botnet yang mengendalikan lebih dari sebagian kecil perangkat. Era itu sudah berakhir.
Jaringan proxy perumahan diam-diam telah mengumpulkan sesuatu yang jauh lebih besar: diperkirakan 100 hingga 200 juta titik akhir konsumen yang mampu mentransmisikan ulang lalu lintas sesuai perintah. Ini tidak diekspos server.
Itu adalah perangkat rumah biasa (kotak TV Android murah yang menjalankan firmware sumber terbuka tidak bersertifikat, ponsel dengan “gratis” VPN aplikasi, router rumah dengan pintu belakang) berada di belakang NAT, tidak terlihat oleh pemindaian eksternal.
Bagaimana ini bisa terjadi? Ikuti perekonomiannya. Perusahaan AI memerlukan kumpulan data yang sangat besar untuk pelatihan, dan web scraping dalam skala besar memerlukan penggunaan alamat IP yang terus berputar untuk menghindari deteksi.
Layanan proxy perumahan menyediakan hal tersebut: jutaan IP konsumen “bersih” yang terlihat seperti lalu lintas yang sah. Permintaan tersebut menciptakan pasar abu-abu yang berkembang pesat, dan para penjahat menyadari adanya peluang.
Ada pepatah tukang daging kuno: tout est bon dans le cochon, semua yang ada di dalam babi itu enak. Operator jaringan ini memperhatikan hal ini. Perangkat yang baru disusupi pertama-tama berfungsi sebagai pintu keluar proxy premium, menghasilkan pendapatan dari pelanggan sah yang memerlukan IP perumahan untuk web scraping, verifikasi iklan, atau riset pasar.
Setelah penggunaan berulang menurunkan skor reputasi IP, titik akhir yang sama akan bertransisi ke operasi DDoS untuk disewa. Setiap node dimonetisasi dua kali.
Skalanya sangat mencengangkan. Sekitar 4% koneksi internet rumah global kini tersedia sebagai infrastruktur serangan laten. Brasil sendiri menampung sekitar 25 juta node proxy.
Kapasitas bandwidth agregat jaringan-jaringan ini melebihi 100 Tbps – lebih dari yang dapat diserap oleh sebagian besar tulang punggung internet nasional. Dan peluncuran serat gigabit simetris terus memperburuk perhitungan: rata-rata bandwidth upstream per titik akhir yang dikompromikan meningkat 75% dari tahun ke tahun di Amerika Utara.
Apa artinya ini bagi para pembela HAM
Kenyataan yang tidak menyenangkan adalah bahwa pertahanan DDoS kemarin dirancang untuk serangan DDoS kemarin. Runbook manual dan jendela respons lima belas menit mengasumsikan serangan akan berlangsung cukup lama untuk memicu serangan tersebut. Ambang batas statis berasumsi bahwa penyerang tidak akan menyelidiki untuk menentukan dengan tepat di mana letak ambang batas tersebut.
Pertahanan modern memerlukan tiga hal yang secara historis ditolak oleh organisasi: otomatisasi, skala, dan integrasi intelijen. Otomatisasi diperlukan karena manusia tidak dapat menandingi kecepatan serangan algoritmik.
Skala karena banjir terabit memerlukan kapasitas penyerapan kelas terabit di tepi jaringan, bukan di pusat scrubbing yang jauh. Kecerdasan diperlukan karena mengidentifikasi lalu lintas serangan dari IP perumahan yang terlihat identik dengan pengguna yang sah memerlukan analisis perilaku, bukan daftar blokir sederhana.
Tren pengeboman karpet menambah kerumitan lain. Lebih dari setengah serangan sekarang menargetkan beberapa host secara bersamaan, menyebarkan lalu lintas ke seluruh rentang jaringan dibandingkan berfokus pada satu target.
Teknik ini melemahkan ambang deteksi per-host tradisional dan dapat membebani segmen jaringan bahkan ketika masing-masing host tetap berada di bawah tingkat kewaspadaan.
Jadi sekarang bagaimana?
Semua hal ini tidak dapat diatasi, namun hal ini memerlukan pengabaian asumsi-asumsi yang sudah berjalan dengan baik selama satu dekade. Jaringan harus berevolusi dari proses yang reaktif dan dijalankan secara manual menjadi arsitektur yang proaktif dan mampu mempertahankan diri: sistem yang dapat mendeteksi, memitigasi, dan beradaptasi tanpa menunggu campur tangan manusia.
Para penyerang sudah melakukan transisi itu. Pertanyaannya adalah berapa banyak pemain bertahan yang akan mengejar sebelum lompatan besar berikutnya.
Lihat daftar perlindungan DDoS terbaik kami.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
