Thursday, June 11, 2026
Latest:
QnA

[ASK] Cara Handle DDOS Misalkan Pelaku 103.82.243.57

masmind

Pertanyaan dari https://trello.com/c/xgCV2uVx/1-cara-handel-ddos-network-contoh-pelaku-1038224357-dari-indetifikasi-pertama-kali-nuhun-bapak2

Identifikasi Awal

Untuk tahu pelaku siapa yang ddos sulit menebak dengan IP, biasanya kita pake behaviour yang un-usual, yaitu analisa dari network statistik yang tidak lazim.

Untuk incoming DDOS ke peering AS136170 bentuk apapun itu, sudah di filter dari CBN clean pipe automatically. Kalaupun ada serangan cukup besar, paling agak macet sedikit, lalu lancar lagi.

Untuk outgoing DDOS (dalam hal ini IP kita ada yg ke hack / compromised dan sending lebih dari 100 Mbps ke luar) nantinya ke record di un-usual behaviour network statistics PRTG. Akses PRTG ke https://prtg.idcloudhosting.com:4967/index.htm 

Dashboard PRTG

Ini adalah contoh Dashboard PRTG untuk Cyber 2.

Yang perlu diperhatikan dalam hal ini adalah network Internasional saja. Karena bandwidth internasional cukup critical karena lookup DNS dan resolver DNS menggunakan bandwidth internasional. Kita klik pada kolom (005) CBN INT.

Monitoring CBN INT

Kemudian pada sebelah kanan terdapat kolom grafik yang cukup besar bisa kita klik atau langsung saja klik sini untuk monitor CBN INT. Yang perlu kita monitoring adalah garis line berwarna merah (red) pada grafik. Untuk lebih memudahkan bisa kita un-ceklis semua opsi dan hanya ceklis pada opsi traffic out saja.

Ketika terjadi yang namanya ddos outgoing, pastinya grafik traffic out akan mengalami peningkatan secara signifikan. Biasanya ketika traffic out yang keluar menyentuh / hit lebih dari 200 Mbps atau di atas 300 Mbps (untuk CBN INT) biasanya ada sesuatu yang harus di curigai.

Cara mengetahui HOST NODE server mana yang melakukan sending bandwidth cukup besar bisa di cek dengan cara klik kolom rack datacenter yang ada. Kita harus cek satu-persatu tiap kolom rack di bawah ini. Misalnya kita mau cek NF3-01-07, tinggal klik NF3-01-07.

Kemudian pada kolom Graph akan terlihat statistik terakhir pemakaian tiap server. Dari situ kita bisa cek dan lihat server mana yang mengalami un-usual behaviour network dan bisa take action dari sana.

Customer VPS

Jika ada HOST NODE yang outgoing traffic di atas 200 Mbps atau bahkan di atas 300 Mbps maka bisa jadi salah satu VPS dalam host node tersebut adalah biang keroknya. Misalnya ssdvps03.idcloudhosting.com outgoing traffic di atas 300 Mbps kemudian ketika di cek usage networknya ke IP internasional (bukan network exabytes). Kita bisa menggunakan tcpdump untuk tahu VPS mana yang berulah.

TCPDUMP

Login ke ssdvps03 kemudian monitor packet size interface br0.

tcpdump -eenni br0

Kemudian lihat statistik pada kolom Mac Address. Biasanya ketika dalam 2-5 detik mac address yang muncul dominan selalu sama (berderet) ketika monitoring br0, berarti kemungkinan besar VPS tersebut compromised.

Suspend VPS

Ketika tahu VPS mana yang mengakibatkan network spike outgoing, lakukan Suspend terhadap VPS yang bersangkutan. Jangan lupa sertakan note di solusvm & whmcs mengapa bisa ter-suspend. Kemudian dari sini bisa ikuti alur SOP yang ada seperti record di gdocs, fu cust, dsb. Kemudian monitor selama beberapa saat apakah statistic CBN INT sudah mengalami penurunan.

Leave a Reply

Your email address will not be published. Required fields are marked *