Masih relevankah menggunakan HTTP Accelerator?

19 tahun yang lalu saya masih berkutat dengan squid.conf untuk mengoptimalkan koneksi Internet 64Kbps 1:4 demi menghidupkan 4 lab komputer dengan jumlah PC 20 sd 30 PC per Lab di sebuah perguruan tinggi swasta di Cirebon menggunakan Squid Web Proxy di tambah Dansguardian yang di jalankan di Server Linux , waktu itu belum ada facebook, youtube, Bigo dkk. situs detik dll masih nyaman di akses melalui http, berbeda jauh dengan kondisi saat ini dimana aplikasi Internet umumnya sangat menuntut datarate yang besar, saat ini untuk satu gadget saja minimal butuh 2mbps jika ingin youtube tidak buffering dan semua aplikasi berjalan dengan lancar.

Saat ini di era ecommerce/marketplace dan internet banking mayoritas telah menggunakan HTTPSecure yang menyulitkan untuk di cache seperti pada HTTP.

Kemarin saya chat dengan salah satu vendor alat yang fungsinya kurang lebih sebagai HTTP accelerator dan tidak untuk meng cache youtube, facebook dkk. Lalu mengklaim dari 1Gbps traffic Internet alatnya mampu menghemat sampai dengan 300mbps dan ybs menyampaikan untuk HTTPS tidak mungkin bisa di cache… ada benarnya karena untuk koneksi HTTPS diperlukan sertifikat SSL yang masing-masing situs berbeda dan ada expire datenya.

Oleh karena itu saya penasaran mau tau berapa besar sih traffic HTTP vs HTTPS di real traffic yang ada saat ini. jadi saya coba untuk menandai packet http dan https lalu saya buat graffic nya agar dapat diketahui utilisasi antara HTTP dan HTTPS dari pelanggan yang ada di beberapa router distribusi

adapun cara menandai (mark-packet) di router distribusi nya bisa di lihat pada script berikut ini:

/ip firewall mangle
add action=mark-connection chain=forward dst-port=80 \
new-connection-mark=http-con passthrough=yes protocol=tcp
add action=mark-connection chain=forward dst-port=80 \
new-connection-mark=http-con passthrough=yes protocol=udp
add action=mark-packet chain=forward connection-mark=http-con \
new-packet-mark=http-packet passthrough=no
add action=mark-connection chain=forward dst-port=443 \
new-connection-mark=https-con passthrough=yes protocol=tcp
add action=mark-connection chain=forward dst-port=443 \
new-connection-mark=https-con passthrough=yes protocol=udp
add action=mark-packet chain=forward connection-mark=https-con \
new-packet-mark=https-packet passthrough=no

lalu buat simple queue dan gunakan mark-packet yang telah dibuat pada /ip firewal mangle

/queue simple
add name=http-traffic packet-marks=http-packet \
queue=ethernet-default/ethernet-default target=""
add name=https-traffic packet-marks=https-packet \
queue=ethernet-default/ethernet-default target=""

Kemudian menggunakan tools graphing untuk membuat grafik utilisasi dari simple queue yang telah dibuat

/tool graphing queue
add simple-queue=http-traffic
add simple-queue=https-traffic

dan hasilnya dari tiga router distribusi yang ada diperoleh hasil sbb:

Dari Router distribusi #1: HTTP max in 128,27Mb, HTTPS max in 589,54Mb

Dari router distribusi #2 : HTTP max in 86,78Mb, HTTPS max in 427,60Mb

Dari router distribusi #3 : HTTP max in 38,49Mb, HTTPS max in 199,58Mb

Dari ke tiga router distribusi jika di jumlahkan maka total HTTP max in = 253,54Mb , HTTPS max in = 1.189,31Mb (1,2Gb) dari hasil monitoring beberapa jam di tiga router distribusi sepertinya sulit untuk bisa menghemat 300Mb dari 1Gb atau setara dengan 30% penghematan menggunakan HTTP Accelerator / Web Caching karena total traffic HTTP faktanya tinggal 17.57% (253,54Mb/(253,54Mb+1.189,31Mb)) dari total gabungan HTTP+HTTPS = 1.442,85Mb (1,4Gb)

Dengan melihat real traffic pelanggan dari ketiga router distribusi tersebut, saya simpulkan di jaman Internet Broadband yang didukung teknologi lastmile fiberoptic, LTE dan 5G maka pemanfaaatan web-cache/proxy seperti squid dkk sudah tidak relevan lagi, alih-alih menghemat datarate yang terjadi malah bottleneck atau bahkan singlepoint of failure.

Bagi pembaca yang tertarik mengikuti training Mikrotik dasar MTCNA dengan Trainer Harijanto Pribadi silahkan isi data diri dan memilih jadwal melalui Formulir Online

Mikrotik Tools Packet Sniffer untuk mencari sumber pengirim ddos

masih ingat kasus DDoS yang saya ceritakan beberapa hari yang lalu? ternyata masih belum redah juga.

Akhirnya saya coba menggunakan “/tools packet sniffer” yang ada di Mikrotik

caranya /tools sniffer dan setting pada bagian general ceklist Only Headers dan Memory Scoll , tentukan File Name , misalnya kasih nama ddos1, File Limit biarkan defaultnya 1000

di bagian Filter pilih Interface yang akan di sniff, dalam contoh kasus saya akan menjalankan sniffer di vlan927, direction any (tx/rx) lalu klik Start ketika traffic flood terdeteksi di interface vlan927

ketika traffic flood di vlan927 terjadi dan Packet Sniffer running maka informasi packet sniffer akan di simpan di file ddos1

bisa di cek di menu File terdapat ddos1 dengan ukuran 1000KB , file ini harus di download ke notebook/komputer kita untuk selanjutnya di analisa menggunakan aplikasi WireShark, cara mendownloadnya cukup aktivkan service ftp di mikrotik dimana kita menjalakan Packet Sniffer.

Setelah di download kita bisa open file ddos1 menggunakan aplikasi WireShark

Hasilnya saya mendapatkan Mac-Address sumber Src: Vmware_a1:d8:04 (00:50:56:a1:d8:04)

Ternyata Mac Address tersebut digunakan oleh vm-webserver-1

Langkah selanjutnya saya mengisolir Network dari vm-webserver-1 tersebut untuk selanjutnya dilakukan pembersihan mallware/trojan di vmware tersebut.

dan hasilnya flood/ddos tersebut sudah redah, dengan demikian kita bisa memanfaatkan tools packet sniffer di mikrotik untuk melakukan analisa packet dan hasilnya bisa di analisa menggunakan aplikasi WireShark

Mencari Sumber Serangan DDoS (Distribute Denial of Service) / Flooding dari salah satu host/server yang berjalan di Vsphere Server

Hari ini saya harus mencari sumber DDoS/Flooding dari salah satu server yang running sebagai virtual-machine/host di Vsphere, kendalanya saat ini vlan vcenter dan host di dalam vsphere masih dalam satu vlan, sehingga investigasi harus dilakukan satu persatu di tiap host yang running di vsphere (server fisik), dimana terdapat 3 vsphere yang mejalankan banyak host/server di dalamnya. belajar dari pengalaman tersebut sebaiknya vlan/interface untuk managemen vsphere/vcenter dipisah dengan vlan/interface yang di assign ke host/server.

indikator terjadinya flooding adalah banyaknya traffic dari sumber ip address yang tidak valid (ip tidak aktiv atau blok ip tersebut tidak di assign pada vlan/interfafce yang ada, atau ip tersebut tidak ada mac-address pasangannya di table /ip arp print) , dalam kasus ini traffic mencapai hampir 900mbps sehingga semua transfer data dari dan ke port switch 1gbps yang digunakan server vsphere mengalami intermitten (kemacetan)

karena vlan927 adalah vlan server vsphere dan banyak host/server di dalamnya maka selanjutnya saya login ke vcenter/vsphere satu persatu, dan ditemukan di vsphere2 dari tab Monitor->Performance->Overview->Networks, tercatat traffic yang cukup tinggi mencapai 900mbps, artinya data history utilisasi network di vsphere2 setara dengan utilisasi vlan927 yang terbaca pada router mikrotik yang ditemui adanya anomaly traffic yang sangat tinggi kadang mencapai 900mbps tetapi traffic tersebut hanya diterima (RX) oleh vlan927 lalu tidak di teruskan (TX) ke interface lainnya

selanjutnya satu persatu host di vsphere2 di cek perihal Monitoring->Performance View:Network, dan di dapati host mrtg memiliki pola-traffic dan besar-traffic yang sama dengan pola traffic DDoS/flood tersebut dan setelah dilakukan scan clamav pada host mrtg ternyata ditemukan sebuah Trojan

Dengan demikian maka sumber serangan DDoS/Flood dari salah satu host/server di Vsphere telah ditemukan dan dapat dilakukan tindakan mitigasi yang diperlukan.

semoga bermanfaat bagi yang membaca artikel ini

Informasi Training Mikrotik oleh Trainer Harijanto Pribadi bisa di pantau melalui http://gurumikrotik.com/wp/2019/01/03/pendaftaran-training-mikrotik-dasar-mtcna/

Pendaftaran Training Mikrotik dasar MTCNA

PT. Dinamika Cipta Solusi (DCS) bekerja sama dengan dengan Mikrotik mengadakan pelatihan Mikrotik RouterOS dan Wireless, pelatihan ini bertujuan memberikan pengenalan dasar-dasar jaringan Internet (TCP/IP) menggunnakan perangkat Mikrotik Routerboard, peserta training akan memperoleh wawasan dan praktek langsung menggunakan fungsi-fungsi dasar RouterOS termasuk bagaimana mengkonfigurasi Mikrotik RouterOS sebagai server PPPoE, PPTP,L2TP,SSTP.

Pada setiap materi, akan diadakan praktek langsung menggunakan routerboard Mikrotik, untuk mencoba fitur-fitur yang sedang dibahas.
Pada akhir masa training akan diadakan ujian resmi dari Mikrotik.com, peserta yang lulus akan mendapatkan sertifikat dengan gelar MTCNA (Mikrotik Certified Network Associate)

Materi yang akan diberikan pada pelatihan ini meliputi:
• Pengenalan Mikrotik
• DHCP
• Bridging
• Routing
• Wireless
• Firewall
• QoS (simple queue bandwidth management)
• Tunnels (PPPoE, SSTP, PPTP) , contoh kasus penerapan PPPoE Server untuk ISP secara sederhana
• Tools untuk analisa dan monitoring jaringan

Fasilitas yang akan didapatkan oleh peserta:

  1. Makan siang setiap hari pelatihan
  2. Coffee Break pagi dan sore
  3. Ujian Resmi dari Mikrotik.com
  4. Sertifikat (jika lulus ujian)
  5. Gratis 1 buah Router Indoor
  6. Materi pelatihan
  7. Router Mikrotik untuk latihan, 1 router per peserta

Biaya Rp. 2,500,000 sudah termasuk pajak

Jadwal Training MTCNA:

  • 22 sd 24 Januari 2019 jam 09:00 sd 17:00 
  • 12 sd 14 Februari 2019 jam 09:00 sd 17:00
  • 12 sd 14 Maret 2019 jam 09:00 sd 17:00
  • 9 sd 11 April 2019 jam 09:00 sd 17:00

Yang tidak termasuk dalam harga pelatihan ini adalah :
• Biaya konsumsi selain disebutkan di atas
• Biaya akomodasi dan transportasi peserta ke tempat pelatihan

Setiap peserta wajib membawa laptop, dengan spesifikasi :
• WiFi ready
• 10/100 ethernet port ready
• 2 buah kabel UTP cat5 (2 meter)
• Operating system Windows XP atau yang lebih baru
(untuk pengguna Mackbook pastikan Mac OS X yang sudah terinstall wine utk menjalakan winbox.exe)

Alamat DCS Training Center (AFCWAVE):
Jl. Pangeran Jayakarta No.129 Blok D30, RT.7/RW.7, South Mangga Dua, Sawah Besar, Central Jakarta City, Jakarta 10730
https://goo.gl/maps/djNQPhcSf3U2

Pendaftaran
Tata cara pendaftaran:

  1. Seluruh proses pendaftaran training akan dilakukan melalui google form
  2. Pendaftar harus mengisi alamat email yang valid
  3. Setelah pendaftaran dilakukan, kami akan mengkonfirmasikan apakah masih tersedia tempat via email.
  4. Pembayaran harus dilakukan selambat-lambatnya 10 hari setelah konfirmasi ketersediaan tempat diberikan. Calon peserta yang tidak dapat melakukan pembayaran sampai batas yang ditentukan akan dibatalkan pendaftarannya dan dapat diisi oleh peserta lain.
  5. Pendaftaran Anda baru dianggap lengkap setelah kami menerima pembayaran.
  6. semua pertanyaan perihal pendaftaran bisa menghubungi 0819-5257-9860 atau email ke training@dcsindo.com

Daftar via google form berikut : https://goo.gl/forms/4BrtG1UYgQE4mVQp1