Gado-Gado Layanan DNS

Sebuah domain name terdiri dari satu atau beberapa bagian, yang biasa disebut label, yang dikonkatenasi ke dalam nama, seperti http://www.example.com. Label yang paling kanan adalah top-level domain, kalau contohnya http://www.example.com, maka top-level domainnya adalah com. Hirarki menyebutkan bahwa label kiri adalah subdomain dari label di sebelah kanannya. Label example adalah subdomain dari domain com dan label www merupakan subdomain example.com.

Pelevelan ini bisa sampai 127 level. Setiap label boleh mengandung sampai 63 karakter dan nama domain yang lengkap tidak boleh melebihi 253 karakter. Hostname adalah domain name yang berasosiasi dengan satu alamat IP. http://www.example.com adalah hostname sedangkan com bukan hostname.

Fungsi dari DNS adalah menerjemahkan nama komputer ke IP address (memetakan/ DNS arch ). Client DNS disebut dengan resolvers dan DNS server disebut dengan name servers. Resolvers atau client mengirimkan permintaan ke name server berupa queries. Name server akan memproses dengan cara mencek ke local database DNS, menghubungi name server lainnya atau akan mengirimkan message failure jika ternyata permintaan dari client tidak ditemukan. Proses tersebut disebut dengan Forward Lookup Query, yaitu permintaan dari client dengan cara memetakan nama komputer (host) ke IP address ( Tanenbaum). Resolvers mengirimkan queries ke name server. Name server mengecek ke local database, atau menghubungi name server lainnya, jika ditemukan akan diberitahukan ke resolvers jika tidak akan mengirimkan failure message.

Resolvers menghubungi host yang dituju dengan menggunakan IP address yang diberikan name server.Secara ringkas masalah utama dalam DNS adalah kurangnya atau tidak adanya autentikasi dan pengecekan integritas data. Minimnya autentikasi membuat penyerang dapat melakukan spoofing terhadap pesan DNS untuk menciptakan serangan yang lebih variatif lagi. Penyerang juga bisa mencuri dan memodifikasi pesan dalam transmisi karena kurangnya pengecekan integritas.

Pada bagian ini kita akan melihat bagaimana konsep serangan di protokol DNS yang tidak dibuat dengan keamanan yang memadai, dapat dimanfaatkan untuk mengumpulkan informasi dari jaringan target ( PowerDNS/admin / Gregg).

Information Gathering : Sebelum melakukan serangan ke sebuah mesin atau jaringan, banyak hacker atau attacker yang berusaha mengumpulkan informasi terlebih dahulu tentang mesin/jaringan yang akan mereka serang. DNS bisa menyediakan informasi yang penitng tentang target jaringan dan hostnya. Jika DNS jaringan tidak dikonfigurasi dengan baik maka informasi, seperti skema pengalamatan bisa didapatkan. Salah satu konfigurasi tidak aman adalah saat DNS mengizinkan seseorang untuk melakukan zone transfer.

Zone transfer dapat digunakan untuk mengambil database DNS dan melihatnya. Dengan semua informasi yang ada di dalam database tersebut, penyerang dapat mengetahui banyak hal tentang jaringan yang menggunakan domain tersebut.

DNS Cache Poisoning: Klien DNS dan cache server keduanya memberikan respon dalam periode waktu tertentu dengan tujuan meningkatkan performansi dan mengurangi trafik jaringan. Jika seseorang dapat melakukan spoof terhadap salah satu respon untuk DNS request, maka dia mungkin bisa mengkontaminasi cache DNS dengan record yang salah. Proses ini biasa disebut cache poisoning .

Dengan melakukan poisoning, seseorang dapat mengarahkan situs ke host yang berbahaya, yang nantinya bisa merusak komputer klien. Untuk mencegah terjadinya cache poisoning adalah dengan menggunakan ID transaksi dan port sumber yang dirandom. Tanpa nilai yang tepat untuk ID dan nomor port ini, maka seseorang tidak dapat melakukan spoof yang akan meracuni cache. Akan tetapi, mengandalkan ID transaksi dan port saja untuk autentikasi tenryata tidak benar-benar aman. Walau serangan ini kelihatannya tidak mungkin, namun ada beberapa celah yang ditemukan di server DNS yang membuatnya menjadi mudah lagi. Beberapa versi BIND menggunakan ID transaksi yang tidak benar-benar random, dan ada versi BIND lainnya yang menggunakan ID sekuensial. Akibatnya masih banyak server DNS di luar dan di dalam yang rentan terhadap serangan ini. Sebuah utility bernama Domain Name Server Address (DNSA), tersedia dari http://packetfactory.net/projects/dnsa/, bisa digunakan untuk melakukan serangan DNScache poisoning ini.

DNS Cache Snooping: Serangan lainnya terhadap DNS yang ditemukan adalah DNS cache snooping, yaitu proses melihat apakah sebuah resource record tertentu ada di dalam cache. Cache snooping bisa digunakan untuk menentukan situs/host, siapa klien dan penggunanya, dan informasi lain yang berguna bagi penyerang. Bisa juga digunakan untuk melihat software yang digunakan sebuah host dari resource record yang berisi alamat update software.

Metodenya bisa dengan cara mengirim request non-rekursif ke server DNS tentang resource record. Jika record ada di cache, server akan memberikan jawabannya dalam query. Cache snooping bisa dilakukan juga dengan mengirimkan request rekursif lalu menganalisis TTL yang dikembalikan query dan jumlah waktu yang diperlukan server untuk merespo.

Denial of service (DoS): Attacker melakukan request secara terus menerus ke DNS server hingga membanjiri trafik. Hal ini mengakibatkan server DNS tidak dapat melayani domain yang sah atau domain down tidak dapat diakses (cloudflare ).

Resource record: merupakan informasi dasar yang dimiliki oleh sistem domain name. Setiap record terdiri dari lima tuple: Domain name |Time to live|Class|Type|Value|

Domain Name adalah nama domain yang benar dan tercatat. Time_to_live menunjukkan waktu hidup domain tersebut. Domain yang selalu hidup biasa diberi nilai 86400. Class adalah record yang menyimpan nilai IN untuk hostname, alamat IP, dan server. Type menunjukkan pada jenis record. Type ini digunakan untuk mendapatkan value atau peran sebuah domain name.

Type	Definisi	Value
SOA	Start of Authority	Parameter untuk zona ini
A	Alamat IP sebuah host	Integer 32 bit
MX	Mail exchange	Prioritas
NS	Name server	Nama server untuk domain ini
CNAME	Canonical name	Domain name
PTR	Pointer	Alias untuk alamat IP
HINFO	Host description	CPU dan OS dalam ASCII
TXT	Teks	Teks ASCII yang tidak diketahui

Iintelligent DNS | Honeypot | Netsec

Share this post