Apa itu DDoS kalau kamu sedang jadi “korban” dan semuanya terasa mendadak
Website yang biasanya ringan tiba-tiba lemot, lalu timeout, lalu benar-benar nggak bisa dibuka. Tim panik, pelanggan chat bertubi-tubi, iklan tetap jalan dan tetap “makan duit”, sementara dashboard server seperti lampu disko. Di momen kayak gini, pertanyaan yang paling sering muncul itu simpel: apa itu DDoS dan kenapa rasanya seperti diserbu semesta?
Dari pengalaman praktis di pengelolaan sistem (yang seringnya lebih mirip pemadaman kebakaran daripada rapat strategi), kami melihat DDoS itu jarang datang dengan “pengumuman”. Seringnya dia muncul saat jam ramai atau pas ada momentum: promo, rilis produk, pendaftaran event, atau publikasi berita yang bikin trafik naik. Di situ jebakannya: DDoS gampang banget dikira “lagi viral”, padahal yang datang bukan calon pembeli.
Definisi yang paling pas buat kami bukan yang akademis dulu, melainkan analogi: kamu punya restoran kecil dengan 20 kursi. Tiba-tiba ada 5.000 orang masuk bersamaan—bukan buat makan, tapi cuma buat berdiri di pintu, ngunci jalur, bikin pelanggan asli nggak bisa lewat. Itu inti DDoS: bukan mencuri data, tapi membunuh akses.
Secara formal, Cloudflare menyebut DDoS sebagai “upaya jahat untuk mengganggu lalu lintas normal” dengan cara membanjiri server/jaringan target. Kalimat itu pendek, tetapi terasa banget di lapangan: yang mati bukan hanya server, tetapi juga reputasi dan ritme kerja.
NIST (lembaga standar AS yang sering dijadikan rujukan keamanan) mendefinisikan denial of service sebagai “pencegahan akses yang sah ke sumber daya atau penundaan operasi yang kritis waktu.” Terjemahan nyatanya: pelanggan yang niat transaksi jadi gagal, admin yang mau login jadi nggak bisa, dan tim yang harusnya fokus growth malah fokus “napas dulu”.
Apa itu DDoS dari sisi teknis yang paling relevan buat orang bisnis
Kalau kamu pemilik bisnis, CTO, admin server, atau pengelola website kampus/instansi, kamu nggak butuh teori panjang tentang OSI model untuk mulai paham. Kamu butuh peta sederhana: DDoS itu permainan kapasitas—siapa yang kehabisan napas duluan.
Ada tiga “bottleneck” yang biasanya jadi titik roboh: bandwidth (pipa internet), perangkat jaringan (router/load balancer/firewall), dan resource aplikasi (CPU, memori, database, thread). DDoS tinggal pilih mau nyerang yang mana. Cloudflare sendiri membagi kategori besar serangan DDoS berdasarkan “lapisan” target, termasuk serangan jaringan (L3/L4) dan serangan aplikasi (L7).
Hal menariknya begini: serangan yang kelihatan “kecil” kadang lebih mematikan daripada yang kelihatan “besar”. Trafik raksasa memang bisa menenggelamkan pipa internet, tetapi serangan application-layer (L7) sering lebih menyakitkan karena traffic-nya mirip pengguna asli—bedanya, pola perilakunya nggak manusiawi.
Banyak orang mengira solusi DDoS selalu “upgrade server”. Realitanya, upgrade server itu seperti memperkuat pintu kamar tidur ketika yang diserang itu jalan raya menuju rumah. DDoS sering terjadi “di luar” server kamu: ISP, CDN, reverse proxy, atau jaringan yang menghubungkan kamu ke publik.
Yang juga sering terlewat: DDoS modern itu bukan cuma soal durasi panjang. Tren terbaru menunjukkan serangan bisa sangat besar tapi sangat singkat—cukup untuk bikin sistem auto-scale kacau, billing cloud membengkak, cache jadi tidak stabil, lalu efek domino muncul walau serangannya sudah berhenti. Cloudflare mencatat pada 2025 terjadi serangan pemecah rekor, termasuk yang mencapai 31,4 Tbps dan 14 Bpps, dengan banyak serangan yang “singkat tapi brutal.”
Satu kalimat yang kami pegang: DDoS bukan soal “server kuat”, tetapi soal “arsitektur tahan banting” dan “operasi yang siap menghadapi hal aneh”.
Tiga wajah DDoS yang paling sering bikin website tumbang
Agar nggak tersesat, kami biasanya mengajak tim melihat DDoS sebagai tiga “wajah”. Bukan untuk menakut-nakuti, tetapi supaya kamu tahu masalahnya ada di mana.
Wajah pertama: volumetrik. Ini yang paling gampang dibayangkan: banjir trafik untuk menghabiskan bandwidth. Di sini, masalah utamanya sering terjadi sebelum request menyentuh aplikasi kamu. Kamu bisa punya server paling kuat sedunia, tapi kalau pipa internet sudah penuh, tetap saja pelanggan tidak bisa masuk.
Wajah kedua: serangan protokol / jaringan. Targetnya perangkat jaringan atau mekanisme koneksi (misalnya menguras tabel koneksi). Gejalanya sering seperti “random”: kadang website bisa dibuka, kadang tidak, kadang layanan tertentu yang mati duluan.
Wajah ketiga: application-layer (L7). Ini yang sering bikin tim debat: “ini beneran serangan atau user lagi rame?” Cloudflare menjelaskan L7 DDoS menyerang lapisan aplikasi (misalnya HTTP) dan bisa menghabiskan resource server karena request terlihat normal tetapi dibuat masif dan berulang.
Supaya lebih kebayang, ini ringkasannya:
| Wajah DDoS | Target utama | Gejala khas di lapangan | Solusi yang biasanya efektif |
|---|---|---|---|
| Volumetrik | Bandwidth/pipa internet | Down total, ping tinggi, akses putus | CDN/DDoS scrubbing di edge, ISP filtering |
| Protokol/jaringan | Perangkat jaringan, state/connection | Intermiten, koneksi aneh, firewall kewalahan | Rate limit di edge, tuning perangkat jaringan, proteksi L3/L4 |
| Application-layer (L7) | Aplikasi, web server, DB | CPU naik, DB query numpuk, endpoint tertentu “diserbu” | WAF, rate limiting, caching, proteksi endpoint/API |
Kalau kamu perhatikan, banyak solusi “efektif” itu letaknya di depan: edge network, CDN, WAF, dan kontrol trafik. Bukan semata-mata “upgrade VM”.
Kenapa DDoS makin gila: data terbaru yang relevan buat 2026
Kami nggak suka menakut-nakuti, tapi data beberapa tahun terakhir memang bikin alis naik.
Cloudflare melaporkan pada Q3 2025 ada botnet besar (Aisuru) dengan estimasi 1–4 juta host terinfeksi, rutin menembakkan serangan hiper-volumetrik yang melewati 1 Tbps dan 1 Bpps, bahkan puncaknya mencapai 29,7 Tbps dan 14,1 Bpps. Ini bukan angka “hanya buat perusahaan besar”—dampaknya merembet karena infrastruktur internet itu saling terhubung.
Cloudflare versi bahasa Indonesia (Q2 2025) juga menyebut lonjakan besar: serangan hiper-volumetrik yang melampaui 100 juta paket per detik naik 592% dibanding kuartal sebelumnya, dan serangan HTTP DDoS di atas 1 juta request per detik mencapai total sekitar 20 juta (rata-rata hampir 220 ribu per hari). Angka ini penting karena menunjukkan skala kejadian, bukan cuma kasus viral sesaat.
Verizon DBIR 2025 (snapshot SMB) menulis bahwa pola Denial of Service termasuk pemimpin konsisten dalam pola insiden, dengan median ukuran serangan tumbuh lebih dari 200% sejak 2018 dan batas atas bps naik sekitar 1.000%. Buat kami, ini sinyal bahwa “serangan makin murah, pertahanan makin wajib”.
ENISA (lembaga keamanan siber Uni Eropa) bahkan bilang DoS menjadi “lebih mudah, lebih murah, dan lebih agresif” dalam beberapa tahun terakhir, dengan konflik geopolitik ikut “memompa” gelombang serangan. Di sisi sektor publik, laporan ENISA untuk administrasi publik EU (2024) menyebut DDoS menyumbang hampir dua pertiga insiden yang tercatat, banyak menimpa situs kementerian dan pemerintah kota.
Intinya: DDoS bukan isu “nanti saja kalau bisnis sudah besar”. DDoS itu isu availability—dan availability itu bagian dari kepercayaan.
Tanda-tanda DDoS yang sering dikira “server lagi capek” atau “lagi viral”
Banyak tim baru sadar diserang setelah pelanggan mulai komplain. Itu wajar, karena gejalanya mirip masalah performa biasa. Masalahnya, salah diagnosis bikin respons salah.
Gejala pertama yang paling sering kami lihat: lonjakan request yang nggak masuk akal ke satu endpoint. Cloudflare menyebut “surge ke satu halaman/endpoint” sebagai salah satu tanda penting. Ini sering terjadi pada halaman login, search, checkout, atau endpoint API tertentu.
Gejala kedua: pola waktu yang aneh. Trafik naik tiap 10 menit persis, atau selalu meledak di jam yang nggak relevan dengan perilaku manusia. Cloudflare menyinggung pola tidak alami seperti “spike tiap 10 menit”.
Gejala ketiga: profil pengunjung yang “seragam”. Banyak request dengan user-agent mirip, versi browser yang itu-itu saja, atau geolokasi yang tidak nyambung dengan audiens bisnis kamu. Ini bukan soal negara tertentu, tetapi soal pola.
Gejala keempat: resource aplikasi naik tanpa kenaikan transaksi. CPU 95%, DB connection penuh, tetapi order tidak bertambah. Ini biasanya tanda kamu sedang “membakar kayu bakar” untuk melayani sesuatu yang bukan pelanggan.
Gejala kelima: layer berbeda menunjukkan cerita berbeda. Grafik bandwidth mungkin tidak naik tinggi, tetapi request per detik (RPS) gila-gilaan. Atau sebaliknya: bandwidth naik tinggi, tetapi log aplikasi tidak banyak berubah karena request sudah “mati” di depan.
Kami biasanya pakai pertanyaan cepat untuk membedakan “viral beneran” vs “serangan”: apakah metrik bisnis ikut naik? Kalau trafik naik 10x tapi checkout tetap datar, kamu patut curiga.
9 cara mengurangi risiko DDoS sebelum kejadian (yang realistis buat tim kecil sampai menengah)
Kami sengaja menulis bagian ini dengan gaya “bisa dieksekusi”, bukan “sekadar nasihat”. Beberapa poin terasa teknis, tetapi tetap bisa dipahami dan dipecah jadi task.
Langkah pertama: pasang lapisan pelindung di depan origin. Banyak tim masih menaruh server “telanjang” langsung ke internet. Pola yang lebih aman adalah menempatkan origin di belakang CDN / reverse proxy / layanan proteksi DDoS, sehingga trafik buruk disaring sebelum menyentuh server kamu. ENISA juga mendorong portal kritikal berada di belakang CDN untuk ketahanan.
Langkah kedua: aktifkan rate limiting yang benar-benar masuk akal. OWASP menjelaskan rate limiting sebagai proses mengontrol laju trafik ke/dari server dan bisa diterapkan di level infrastruktur maupun aplikasi. Rate limit bukan buat “mengusir user”, tetapi buat mencegah satu sumber membanjiri request.
Langkah ketiga: bedakan perlakuan endpoint “mahal” dan “murah”. Endpoint yang memicu query database berat harus punya pagar lebih ketat dibanding halaman statis. Banyak DDoS L7 sengaja mengincar endpoint mahal karena biaya server kamu naik cepat.
Langkah keempat: kunci akses origin. Kalau kamu sudah pakai CDN/WAF, pastikan origin tidak bisa diakses publik langsung (misalnya dengan firewall rule atau allowlist IP dari provider). Ini mencegah bypass proteksi.
Langkah kelima: siapkan caching yang cerdas. Konten yang bisa di-cache jangan dipaksa selalu “masak ulang” di server. Caching itu bukan cuma soal cepat, tetapi soal tahan serangan.
Langkah keenam: monitor metrik yang tepat, bukan cuma “CPU”. Tambahkan pemantauan RPS, error rate (5xx/499), latency P95, jumlah koneksi, dan anomali per endpoint. Cloudflare menyarankan penggunaan analitik trafik untuk menemukan tanda-tanda DDoS.
Langkah ketujuh: buat “mode darurat”. Mode darurat bisa berupa: mematikan fitur berat sementara, menonaktifkan search internal, menurunkan kompleksitas halaman, atau memaksa cache lebih agresif. Ini bukan menyerah; ini strategi bertahan.
Langkah kedelapan: latih prosedur respons (mini-drill). Banyak tim punya tool, tetapi tidak punya refleks. Simulasikan skenario 30 menit: siapa menghubungi siapa, dashboard mana dibuka, keputusan apa yang boleh diambil cepat.
Langkah kesembilan: siapkan jalur komunikasi ke provider. Kontak ISP, hosting, CDN, dan vendor security harus siap pakai. DDoS sering menang di “waktu respons”, bukan sekadar teknologi.
Kalau kamu ingin memulai dari yang paling berdampak, kami biasanya mulai dari: “taruh di belakang proteksi”, “rate limit”, dan “kunci origin”. Tiga ini sering mengubah nasib.
Checklist 60 menit pertama saat serangan terjadi (biar tim nggak bergerak acak)
Menit pertama itu biasanya chaos. Orang mengira server down karena deploy, karena database, karena DNS, karena semuanya. Checklist ini kami susun biar kamu bisa menenangkan sistem, bukan menambah kebakaran.
Lima menit pertama: pastikan ini benar-benar masalah availability, bukan error aplikasi biasa. Cek status dari beberapa lokasi, cek synthetic monitoring, dan lihat error rate. Fokusnya: memastikan “apa yang rusak” sebelum menyentuh konfigurasi.
Menit 5–15: lihat pola trafik. Cari endpoint mana yang meledak, apakah request seragam, apakah geolokasi mencurigakan, apakah bandwidth saturasi. Cloudflare menyebut indikator seperti lonjakan endpoint tunggal, pola jam aneh, dan profil perilaku seragam.
Menit 15–30: aktifkan mitigasi cepat yang paling aman. Ini biasanya berupa rate limiting lebih ketat untuk endpoint tertentu, challenge/bot management (kalau ada), memperketat WAF rule, dan menaikkan caching untuk halaman yang bisa disajikan statis.
Menit 30–45: lindungi origin dari bypass. Banyak serangan gagal di edge lalu berusaha langsung ke IP origin. Pastikan firewall/ACL menutup akses publik ke origin, sehingga satu-satunya pintu masuk adalah melalui proteksi.
Menit 45–60: stabilkan layanan dan komunikasi. Beri update ke tim internal, pasang halaman status, dan kalau ini layanan publik, beri pengumuman singkat agar user tidak menerka-nerka. DDoS itu bukan cuma perang teknis, tetapi perang kepercayaan.
Bagian yang sering terlupa: catat perubahan yang kamu buat selama mitigasi. Perubahan darurat tanpa catatan sering jadi sumber insiden kedua setelah serangan selesai.
Memilih proteksi DDoS: jangan sampai salah belanja karena salah paham
Kami sering melihat orang membeli “proteksi DDoS” seperti membeli antivirus: pasang, lalu merasa aman. Kenyataannya lebih rumit, karena DDoS punya banyak bentuk, sedangkan produk biasanya unggul di sisi tertentu.
Proteksi yang paling umum adalah kombinasi CDN + WAF + mitigasi DDoS. Ini biasanya cocok untuk website publik, e-commerce, landing page kampanye, portal instansi, dan API yang terbuka. ENISA secara eksplisit menyebut penggunaan CDN untuk meningkatkan ketahanan portal yang sering jadi target.
Ada juga pendekatan “scrubbing” (pembersihan trafik) di level jaringan/ISP. Ini relevan kalau kamu punya layanan yang bandwidth-nya besar atau kamu mengelola infrastruktur yang tidak mudah diproxy (misalnya layanan tertentu di luar HTTP). Intinya: trafik dialihkan dulu, dibersihkan, baru diteruskan.
Pilihan ketiga adalah kombinasi arsitektur: multi-region, load balancing, autoscale, serta pemisahan komponen. Ini bukan pengganti mitigasi, tetapi penguat. Cloudflare menekankan kebutuhan strategi multifaset: proteksi, visibilitas, dan network hygiene.
Kami biasanya menyarankan memilih berdasarkan pertanyaan praktis: “Serangan yang kamu takutkan itu mematikan pipa, mematikan perangkat jaringan, atau mematikan aplikasi?” Jawaban itu menentukan belanja.
Kesalahan umum: membeli paket mahal lalu origin dibiarkan terbuka. Itu seperti memasang pintu baja di depan, tetapi jendela belakang tetap kebuka.
Kesalahan klasik saat menghadapi DDoS (biar kamu nggak mengulang drama yang sama)
Kesalahan pertama: menganggap DDoS itu selalu soal “bandwidth besar”. Serangan L7 bisa mematikan tanpa membuat bandwidth terlihat ekstrem.
Kesalahan kedua: fokus ke server, lupa ke jalur masuk. Upgrade CPU itu bagus, tetapi banyak kasus jatuhnya di edge atau perangkat jaringan.
Kesalahan ketiga: tidak punya baseline. Tanpa tahu trafik normal, kamu sulit membedakan “promo berhasil” vs “serangan”. Baseline itu pondasi observability.
Kesalahan keempat: mengaktifkan aturan agresif tanpa memikirkan dampak ke user asli. Rate limit yang terlalu ketat bisa jadi serangan kedua—dari kamu sendiri ke pelanggan. OWASP menekankan rate limiting bisa berbasis IP, geolokasi, dan lain-lain; artinya kamu bisa buat lebih presisi, bukan memukul rata.
Kesalahan kelima: mengabaikan konteks dunia nyata. ENISA menyoroti hubungan DoS dengan gelombang kelompok baru dan konteks konflik; artinya target bisa berubah cepat karena momentum. Sistem kamu perlu siap menghadapi “hari buruk” yang tidak terjadwal.
Kalau bagian ini terasa “wah, banyak juga”, kabar baiknya: kamu tidak harus sempurna. Kamu hanya perlu satu level lebih siap daripada kemarin.
Penutup: “Apa itu DDoS” akhirnya bukan pertanyaan, tapi checklist kesiapan
DDoS itu cara brutal untuk bilang: layanan kamu belum cukup tahan banting. Itu menyebalkan, tetapi juga memberi sinyal jelas tentang prioritas teknis yang sering tertunda.
Kabar baiknya, ketahanan terhadap DDoS tidak selalu identik dengan biaya besar. Banyak peningkatan bisa dimulai dari desain akses: taruh di belakang proteksi, kunci origin, rapikan rate limiting, dan kuatkan caching.
Data terbaru menunjukkan skala dan frekuensi DDoS terus naik, termasuk serangan hiper-volumetrik yang memecahkan rekor di 2025. Jadi, menunda persiapan itu seperti menunda pasang hydrant karena “semoga nggak kebakaran”.
Kalau kamu butuh bantuan audit ringan, penataan arsitektur, atau implementasi proteksi yang cocok untuk kondisi bisnis kamu (bukan yang “pokoknya mahal”), kamu bisa cek bengkelweb.com.
Kamu juga bisa langsung WhatsApp kami di 082144468588 untuk diskusi kebutuhan dan prioritas paling masuk akal dari sisi biaya vs risiko.