Dua puluh tahun yang lalu, internet hampir mengalami kehancuran total seperti yang telah kita lihat sejak komersialisasinya di tahun 1990-an. Muatan worm jaringan UDP yang hanya berukuran 376 byte, yang menargetkan port tujuan UDP 1434, secara agresif disebarkan ke semua host Microsoft SQL Server yang terhubung ke internet di seluruh dunia dalam hitungan menit. Dikenal sebagai worm SQL Slammer (meskipun nama Sapphire diusulkan di kalangan akademisi, nama ini tidak populer), worm ini menginfeksi 75 ribu server yang rentan di seluruh dunia. Gangguan signifikan yang ditimbulkannya menjadi berita internasional. Hal ini cukup untuk membuat banyak jaringan terhenti, dan mengganggu sistem point-of-sale kartu kredit ritel dan ATM di seluruh dunia (pada awal tahun 2003, banyak dari sistem ini sudah bergantung pada konektivitas internet untuk berfungsi).
SQL Slammer adalah yang terbaru dari serangkaian worm internet yang menyebar secara agresif seperti CodeRed dan NIMDA, yang dimaksudkan untuk mengkompromikan komputer yang rentan dan memasukkannya ke dalam botnet yang dapat digunakan untuk mengirim email spam, menyebarkan malware, dan meluncurkan serangan DDoS. Seperti Morris internet Worm yang asli pada tahun 1988, pembuat worm yang lebih baru ini tampaknya tidak menyadari bahwa mendesain worm ini untuk menyebar pada kecepatan jalur jaringan akan mengakibatkan serangan DDoS yang tidak disengaja terhadap jaringan yang terhubung dengannya – sehingga mengalahkan tujuan worm, yaitu untuk mengkompromikan sebanyak mungkin sistem.
bahwa perilisannya hampir pasti tidak disengaja; tampaknya pembuat worm sedang dalam proses mengoptimalkan algoritme penyebaran jaringan acak semu, dan mungkin bermaksud memasukkan penundaan penyebaran yang masuk akal di kemudian hari dalam proses pengembangan. Ada teori yang mengatakan bahwa pembuat worm (yang, harus kita ingat, adalah seorang penjahat yang berusaha secara ilegal mengkompromikan server yang rentan untuk tujuan jahat) secara tidak sengaja menyambungkan jaringan pengembangan pribadi ke jaringan yang terhubung ke internet, dan bahwa salinan worm yang berjalan di lingkungan pengembangan dapat melarikan diri ke alam bebas dan mulai menyebar ke seluruh internet global dengan kecepatan tinggi, menimbulkan malapetaka yang meluas di sepanjang jalan.
Dalam banyak hal, kerusakan tambahan yang tidak disengaja dari SQL Slammer merupakan serangan DDoS universal yang menurut banyak spesialis operasi keamanan suatu hari nanti akan terjadi. Dengan kata lain, lalu lintas internet yang mengganggu tidak ditujukan pada host atau jaringan tertentu, tetapi lebih merupakan serangan DDoS yang bebas untuk semua.
Pada tahun 2003, kader yang relatif kecil dari peserta yang berfokus pada keamanan di dalam komunitas operasional internet telah mengumpulkan sejumlah besar pengalaman dan keahlian dalam menangani ancaman yang muncul dari serangan DDoS yang disengaja. Banyak prinsip dan praktik terbaik saat ini (BCP) yang sedang dirumuskan dan disebarluaskan oleh para praktisi tersebut telah membantu internet dengan baik ketika SQL Slammer muncul ke permukaan. Netscout Arbor Sightline (dikenal sebagai Peakflow SP, pada saat itu) adalah kunci bagi operator jaringan di seluruh dunia untuk memahami dengan cepat apa yang sedang terjadi, dan kemudian bekerja bersama untuk membendung arus lalu lintas yang mengganggu dan memulihkan konektivitas internet di seluruh dunia.
Kita harus mempertimbangkan internet tahun 2003 dalam konteks sejarahnya. Keamanan internet tidak dipandang secara universal seperti pentingnya saat ini. Para insinyur jaringan sering berselisih dengan spesialis keamanan. Para pendorong paket jaringan pada umumnya menentang sebagian besar pengacau lalu lintas berbasis jaringan dan perangkat middlebox; kerumunan keamanan, terutama di lingkungan kampus dan perusahaan, pada umumnya menyukai semacam arsitektur berbasis izin, di mana perlindungan yang tidak sempurna dan pemusatan negara pada titik agregasi pada umumnya mengabaikan potensi masalah kerusakan akibat kelelahan negara dan kebijakan akses jaringan yang terlalu ketat.
Para insinyur jaringan berpendapat bahwa ancaman keamanan pada saat itu umumnya paling baik ditangani sedekat mungkin dengan asal mula lalu lintas yang bermasalah, yang biasanya berarti fokus pada praktik keamanan host dan aplikasi yang lebih baik. Namun, para spesialis keamanan membantah bahwa ini tidak praktis, dan bahwa kebijakan kontrol akses jaringan yang lebih ketat adalah jawabannya.
para insinyur jaringan bersikeras bahwa menerapkan dan menjaga kebijakan yang rumit untuk selalu diperbarui dalam skala besar tidaklah mungkin, dan mengacaukan internet akan menghasilkan konektivitas yang tidak dapat diandalkan dan pada akhirnya konvergensi semua lalu lintas akan dienkripsi, yang menghasilkan tantangan keamanan yang lebih besar. Dua dekade kemudian, terlihat jelas bahwa kedua kelompok tersebut ada benarnya.
Sistem operasi yang paling populer di internet saat ini adalah Windows 2000 dan Windows XP. Jutaan sistem ini terhubung ke internet, tetapi banyak yang tidak memiliki perlindungan berbasis jaringan yang melindunginya dari lalu lintas yang tidak bersahabat, dan sebagian besar jarang (bahkan tidak pernah) ditambal. Praktis semua sistem ini memiliki perlindungan berbasis host yang relatif lemah terhadap eksploitasi jarak jauh. Kemampuan firewall (penyaringan paket) dasar Windows XP yang ada pada saat itu tidak diaktifkan secara default (hal ini akan muncul kemudian, dengan Windows Service Pack 2, di tahun 2004).
Sementara itu, bandwidth internet dan throughput yang tersedia untuk end-host meningkat secara dramatis. Kecepatan koneksi berbasis LAN standar di tahun 2003 adalah 100mb/detik Ethernet yang dialihkan, yang biasanya hanya satu kali lipat lebih lambat dari seluruh kapasitas transit internet di banyak organisasi. Ini berarti bahwa hanya dibutuhkan sejumlah kecil host untuk memenuhi banyak sambungan peering dan backbone ISP, belum lagi sambungan transit internet perusahaan. Pengguna rumahan di seluruh dunia juga berpindah dari dial-up ke modem kabel dan jaringan DSL yang berkecepatan lebih tinggi dan selalu aktif. Jumlah host yang relatif sedikit pada beberapa jaringan akses pada saat itu merupakan senjata ampuh untuk DDoS, atau mungkin worm yang menyebar dengan kecepatan tinggi.
Untuk mengilustrasikan hal ini, perlu dicatat bahwa hanya beberapa ribu bot berkemampuan DDoS yang mampu membuat beberapa contoh server root DNS tidak dapat diakses dalam serangan DDoS yang disengaja di tahun 2007.
Meskipun worm mulai menyebar dengan cepat di luar jam kerja, berita dan reaksi menyebar hampir sama cepatnya. Laporan awal dari operator jaringan mengidentifikasi masalah perutean internet berskala besar yang disebabkan oleh peering router yang menyerah pada banjirnya lalu lintas propagasi Slammer. Operator jaringan yang memiliki akses ke jenis visibilitas jaringan edge-to-edge yang disediakan oleh Arbor Sightline dapat dengan cepat mengklasifikasikan lalu lintas penyebaran worm yang berbahaya karena segera terdeteksi, diklasifikasikan, dan ditelusuri kembali, meskipun pada dasarnya itu adalah lalu lintas serangan DDoS menit-nol yang belum pernah menyebabkan masalah operasional apa pun. Rekomendasi konsensus adalah untuk segera menyaring semua trafik yang ditujukan untuk trafik UDP port 1434 di semua sisi jaringan.
Ada banyak laporan tentang ketidakstabilan jaringan dan masalah ketersediaan selama berjam-jam hingga filter paket jaringan UDP port 1434 digunakan secara luas, dan host yang terinfeksi dikarantina. Beberapa jaringan telah memfilter port tujuan UDP 1434 sebelum kedatangan worm, tetapi hal ini tidak terlalu umum. Banyak backbone jaringan besar dengan kapasitas berlimpah mampu bertahan menghadapi badai, tetapi karena banyak dari mereka yang terus meneruskan paket selama peristiwa penyebaran, bisa dikatakan bahwa mereka tidak terlalu membantu ISP yang lebih kecil dan jaringan perusahaan yang terhubung dengan mereka. Banyak operator jaringan menolak – dan masih menolak – permintaan untuk melakukan penyaringan trafik internet secara menyeluruh. Mengutip pernyataan umum dari jaringan penyedia, “Tugas kami adalah memindahkan paket yang diterima ke tujuan seefisien mungkin. Kami bukan penyedia firewall internet.” Meskipun demikian, dalam situasi ekstrim seperti ini, banyak jaringan besar yang menerapkan filter UDP port 1434 sementara di semua ujungnya, memberikan bantuan yang sangat dibutuhkan dari tsunami lalu lintas SQL Slammer ke rekan-rekan dan pelanggan mereka. Pada akhirnya, internet tidak sepenuhnya lumpuh. Namun, sejumlah besar jaringan besar meleleh, setidaknya untuk sementara waktu. Kami belum pernah melihat kejadian sebesar ini lagi sejak saat itu.
Kabar baiknya, komunitas operasional secara keseluruhan telah mendapatkan pelajaran berharga tentang pentingnya mendeteksi, mengklasifikasikan, dan menelusuri kembali lalu lintas serangan DDoS di bawah nol menit (baik disengaja maupun tidak disengaja) dengan Sightline. Dikombinasikan dengan kemampuan untuk memitigasi lalu lintas serangan dengan cepat dengan TMS dan AED, komunitas operasional telah menjadi efisien dalam menerapkan BCP infrastruktur jaringan untuk memastikan ketahanan jaringan, bahkan dalam kondisi kelebihan kapasitas.
