Domain Name System (DNS) Fuad Hadi Sulthoni ¹ʾ
Angga Debby Frayudha ²ʾ
1) Jurusan Teknik Informatika UIN, Malang 65144, email:
[email protected] 2) Jurusan Teknik Informatika UIN, Malang 65144,email:
[email protected] sejenisnya disebut sebagai cybersquatting. Bisnis yang terkait dengan Internet pun sering disebut bisnis Abstrack – Nama domain dapat dianggap “dotcom” karena nama domain yang digunakan sebagai identitas di Internet. Banyak hal teknis dan memiliki akhiran “.com”. Sayang sekali banyak non-teknis yang terkait dengan nama domain. Domain pelaku Internet yang belum mengerti masalah teknis Name System (DNS) adalah distribute database dari pengelolaan nama domain ini. Makalah ini system yang digunakan untuk pencarian nama menyajikan secara singkat aspek teknis dari nama komputer (name resolution) di jaringan yang domain. Untuk penjelasan yang lebih mendalam, mengunakan TCP/IP (Transmission Control pembaca dapat menggunakan refernsi [1, 2]. Protocol/Internet Protocol). DNS biasa digunakan Setiap komputer yang terhubung ke Internet pada aplikasi yang terhubung ke Internet seperti web (dengan menggunakan protokol TCP/IP) memiliki browser atau e-mail, dimana DNS membantu “alamat” atau nomor yang disebut nomor IP . Contoh memetakan host name sebuah komputer ke IP address. nomor IP adalah 167.205.21.82. Hubungan antar Selain digunakan di Internet, DNS juga dapat di komputer dilakukan dengan menggunakan nomor IP implementasikan ke private network atau intranet ini. Namun manusia memiliki kelemahan untuk dimana DNS memiliki keunggulan seperti: mengingat angka. Akan sulit diingat jika alamat email anda adalah nomor seperti
[email protected]. 1. Mudah, DNS sangat mudah karena user tidak lagi Untuk mempermudah pengelolaan, komputer direpotkan untuk mengingat IP address sebuah diberi nama yang mudah diingat. Sebagai contoh, komputer cukup host name (nama Komputer). nomor IP 167.205.21.82 dikenal dengan nama 2. Konsisten, IP address sebuah komputer bisa www.paume.itb.ac.id. Untuk mempermudah hal ini maka dibuatkan sebuah tabel yang melakukan berubah tapi host name tidak berubah. konversi antara nama dan nomor IP ini. Di sistem 3. Simple, user hanya menggunakan satu nama UNIX (yang banyak digunakan sebegai server di domain untuk mencari baik di Internet maupun di Internet) tabel ini disimpan dalam berkas /etc/hosts. Di bawah ini adalah contoh isi berkas tersebut. Intranet.. Kata Kunci: nama domain, name transmision control, internet protocol
resolution,
Kata Kunci: 1.
PENDAHULUAN
Pada mulanya nama domain (domain name) digunakanan hanya untuk mengindentifikasi komputer. Penggunaannya kemudian menjadi lebih intensif dan nama domain menjadi bagian dari identitas seseorang (seperti misalnya alamat email atau alamat situs web). Contoh untuk hal ini antara lain adalah amazon.com, Yahoo.com. Hal ini menyebabkan nama domain memiliki nilai bisnis sehingga mulai terjadilah jual beli dan bahkan bajak membajak nama domain. Aktivitas yang berhubungan dengan jual beli, bajak, mendaftarkan nama orang dan
203.130.229.21 siakad.uin-malang.ac.id 167.205.21.81 router 167.205.21.82 www.paume.itb.ac.id 167.205.21.83 mail-server 167.205.21.84 simov Dalam contoh di atas, komputer dengan nama “asimov” berasosiasi dengan nomor IP 167.205.21.84. Namun perlu diingat bahwa di tempat lain besar kemungkinan ada komputer atau server dengan nama yang sama. Pada mulanya tabel ini dikelola oleh IANA (agar tidak terjadi bentrok nama) dan didistribusikan secara periodik (melalui FTP). Akan tetapi dikarenakan jumlah hosts di Internet mulai bertambah dengan sangat cepat maka pengelolaan yang terpusat ini menjadi tidak cocok. Untuk itu
1
dibuat suatu sistem yang bernama Domain Name System (DNS).
2.
PEMBAHASAN
2.1 Common Uses 2.1.1 Hostname-to-Address Mapping Konversi antara nama host dan alamat IP adalah penggunaan paling umum untuk DNS. DNS dapat melakukan pencarian maju atau reverse lookup. Sebuah pencarian ke depan mengubah nama host ke alamat IP. Sebuah reverse lookup mengidentifikasi hostname dengan alamat IP. DNS (dan sistem resolusi nama lain) menyediakan many to many pemetaan antara nama host dan alamat. Sebuah alamat IP tunggal mungkin cocok dengan berbagai nama host, dan nama host tunggal dapat memetakan ke satu set alamat jaringan. Data struktur dikembalikan oleh gethostbyname dan gethostbyaddr menyediakan daftar alamat. 2.1.2 Naming Confusion Attack Vectors Banyak sistem pencarian menggunakan algoritma sederhana untuk menentukan kapan menggunakan gethostbyname dan kapan menggunakan gethostbyaddr. Algoritma sederhana menyebabkan eksploitasi sederhana. 2.1.2.1 Numerical Names Salah satu algoritma umum untuk menentukan lookup maju atau mundur yaitu memeriksa nama host untuk huruf. Jika nama host berisi satu huruf, maka sistem ini menggunakan gethostbyname. Jika tidak, maka gethostbyaddr yang digunakan. 2.1.2.2 Dotted Names Nama host dapat berisi huruf, angka, atau simbol saja. Karakter dot biasanya digunakan untuk segmen nama host yang terpisah (nama host, domain,
subdomain, dll). Sebagai contoh, nama host www.google.com berisi www segmen, google, dan com. Jika nama host tidak dapat diselesaikan, maka domain lokal ditambahkan dan lookup ini ulang. 2.1.3 Additional Data DNS adalah pilihan yang layak untuk menghubungkan semua jenis informasi meta dengan
hostname atau alamat IP. Informasi DNS mungkin berisi: HINFO: Catatan HINFO menyediakan informasi dalam bentuk teks host. Beberapa domain menggunakan ini untuk memasukkan deskripsi perusahaan, make komputer dan model, atau informasi kontak. NS: Kolom ini menentukan server nama otoritatif untuk resolusi nama host. Host yang berbeda mungkin memiliki catatan NS berbeda. TXT: Ini adalah kolom teks generik terkait dengan host tertentu. Isinya sewenang-wenang tetapi biasanya terbatas pada karakter ASCII yang dapat dicetak. 2.2 DNS Protocol 2.2.1 Packet Information Setiap paket DNS dimulai dengan identifier sesi sampai permintaan, dan setiap merespons menggunakan identifier sesi yang sama. Header paket berisi 2 byte untuk bendera dan kode kembali. Bendera menentukan jenis paket (permintaan atau balasan), jenis query (forward/standard, reverse / terbalik, atau status), dan apakah informasi yang otoritatif. Kode kembali menentukan jika query berhasil atau gagal. 2.2.2 Simple DNS Server Secara default, DNS adalah sebuah koneksi dan berjalan pada port 53/udp. Sebuah layanan DNS opsional pada port 53/TCP dapat digunakan untuk permintaan koneksi berorientasi. Sebuah server DNS menerima permintaan dasar dan memberikan balasan. 2.3 Distributed Architecture 2.3.1 Root Servers Tingkat akar DNS server adalah sumber utama untuk melakukan resolusi nama. Root server tidak menyimpan nama host, sebaliknya, sistem ini berisi pointer ke server nama lainnya. Misalnya, jika pengguna ingin untuk mencari nama host hen.chicken.coop maka root server akan mengarahkan query untuk domain tingkat atas (TLD) server yang mengelola domain kandang. Untuk reverse lookup, root server mempertahankan daftar subnet dan server yang mengelola subnet. 2.3.1 Top Level Domain Servers Nama host disajikan dalam format hirarkis. Setiap titik nama host menunjukkan tingkatan lain dalam hirarki. Sebagai contoh, www.ucsc.eduis
2
dimana www sebagai tuan rumah dan domain ucsc adalah domain tingkat atas (TLD) edu. Perpanjangan terakhir pada semua host hostname yang memenuhi syarat individu dengan domain penuh menunjukkan TLD. Di Internet, semua nama host yang memenuhi syarat mengandung TLD dari pilihan yang terbatas. Jenis TLD biasanya menentukan untuk mengetik domain. 2.3.1 Primary and Secondary Servers DNS primer server dimiliki dan dikelola oleh domain tertentu. Server ini memberikan balasan otoritatif untuk resolusi nama host dalam domain. Sebagai contoh, ibm.comis domain dikelola oleh satu set IBM milik server nama seperti ns.watson.ibm.comand ns.austin.ibm.com. Serverserver nama dapat menyelesaikan semua nama host dalam domain mereka. Server nama sekunder memberikan tanggapan berwibawa tapi mungkin tidak secara langsung dimiliki atau dikelola oleh domain. Server sekunder menerima update berkala dari server primer. Pembaruan ini, atau transfer zona, orang dilakukan melalui koneksi TCP. Semua informasi otoritatif dari SD tersebut dipindahkan ke sekunder. 2.4 Direct Risks 2.4.1 Unauthenticated Responses DNS menggunakan pengidentifikasi sesi untuk mencocokkan permintaan dengan balasan, tetapi identifier sesi tidak memberikan otentikasi (Gambar 17.2). Seorang penyerang yang mengamati sebuah permintaan DNS bisa membina DNS reply. Jawaban palsu termasuk identifier sesi yang diamati. Hasilnya adalah respon yang tidak berkepentingan yang muncul otentik. Penyerang bisa mengatur bendera otoritatif dalam paket, menghapus ragu akan akurasi data tersebut. Pemohon menerima jawabannya dan menerima respon yang tidak berkepentingan. Hasilnya adalah seorang penyerang yang dapat mengontrol pencarian nama host dan akibatnya redirect koneksi korban. 2.4.2 DNS Cache Poisoning Sedangkan respon yang tidak berkepentingan menargetkan pemohon, DNS Cache Poisoning menargetkan semua jenis caching DNS server. Seorang penyerang mengamati sebuah permintaan DNS dan menghasilkan DNS reply ditempa. Jawabannya muncul berwibawa dan berisi nilai cache yang batas waktu yang lama. Sebuah server DNS
diracuni akan memberikan data palsu untuk setiap permintaan data. Meskipun penyerang dapat menghasilkan DNS reply palsu, mereka tidak dapat dengan mudah mencegah server DNS yang valid untuk menjawab. Caching server mungkin membuang entri cache ketika beberapa balasan diterima dengan nilai-nilai yang berbeda. Hal ini untuk mencegah penyebaran informasi yang tercemar (tapi berdampak pada kinerja cache). 2.4.3 Corrupt DNS Packets Protokol DNS menentukan ukuran data untuk permintaan dan balasan. Beberapa implementasi DNS yang tidak benar yaitu memeriksa batas-batas data. Sebuah paket dapat mengklaim memiliki data lebih dari itu yang sebenarnya mengandung atau mungkin tidak mengandung cukup data. Ini dapat mengakibatkan buffer overflows dan underflows. Dan yang terpenting menyebabkan Paket DNS mengalami corrupt (tidak lengkap). 2.5 Technical Risks Meskipun DNS langsung berisiko dengan protokol, teknis risiko didasarkan pada masalah konfigurasi. Kemampuan untuk mempengaruhi atau mengubah DNS Data server langsung mengarah ke kompromi DNS. Risiko teknis termasuk domain pembajakan DNS, pembajakan server, update duration, dan DDNS. 2.5.1 Domain Pembajakan DNS Setiap pemilik dari sebuah server DNS dapat mengkonfigurasi server untuk bertindak sebagai sumber utama untuk domain apapun. 2.5.2 Server Pembajakan DNS Server DNS dapat dibajak. Server dibajak dapat dikonfigurasi untuk memberikan yang berbeda antara informasi tuan rumah atau cakupan nama host baru. 2.5.2.1 Sistem Kompromi DNS 2.5.2.2 DNS IP Pembajakan 2.5.3 Dynamic DNS
3
The Dynamic Host Configuration Protocol (DHCP) [RFC2131] umumnya digunakan untuk menetapkan informasi jaringan pada host pada jaringan lokal. DHCP menyediakan host baru dengan alamat default jaringan, gateway, dan DNS informasi server.
2.6 Social Risks Server DNS memiliki langsung risiko dan serangan teknis, tetapi ada metode lain untuk mengorbankan sebuah host atau domain. Risiko ini menargetkan faktor manusia. Risiko sosial untuk DNS meliputi nama host, nama penyelesaian otomatis, rekayasa sosial, dan domain pembaharuan. 2.6.1 Similar Nama host 2.6.2 Penyelesaian Nama Otomatis 2.6.3 Social Engineering 2.6.3 Domain Renewals
rahasia informasi-klien yang hanya tahu untuk meminta informasi akan menerimanya. 2.8.1 Mitigasi Ancaman Langsung Perawatan dasar dan segmentasi jaringan dapat membatasi dampak langsung dari ancaman: Patch: Eksploitasi dan perangkat tambahan untuk DNS server yang dirilis secara teratur. DNS server dan platform tuan rumah mereka harus secara teratur ditambal dan dipertahankan. Domain Internal dan Eksternal terpisah: server DNS harus dipisahkan.Jaringan yang besar harus mempertimbangkan membagi server antara segmen jaringan internal. 2.8.1 Mitigasi Ancaman Langsung Risiko teknis memerlukan langkah-langkah pencegahan untuk jaringan, host, dan lingkungan setempat: Harden Server: Membatasi jumlah proses diakses dari jarak jauh batasjumlah vektor serangan potensial. Server Hardened memiliki ancaman rendah profil dari serangan teknis. Contoh Firewall
2.6.4 Serangan Sosial lain 168
KESIMPULAN
2.7 Reconnaissance and Exploitation DNS memungkinkan penyerang untuk mendapatkan informasi tentang target potensial. Pengintaian tentang sebuah domain dapat berasal dari nama host, zona transfer, daftar host, dan bidang DNS. Mengetahui informasi tentang host secara langsung dapat menyebabkan risiko dieksploitasi dan pengintaian. Seiring dengan eksploitasi dan pengumpulan informasi, DNS juga dapat digunakan untuk menyembunyikan informasi.
DNS adalah hasil pengembangan dari metode pencarian host name terhadap IP address di Internet. Pada DNS client (resolver) mengirimkan queries ke Name Server (DNS). Name Server akan menerima permintaan dan memetakan nama komputer ke IP. address Domain Name Space adalah pengelompokan secara hirarki yang terbagi atas root-level domains, top-level domains, second-level domains, dan host names. Dari pembahasan diatas kita dapat mengetahui kelemahan-kelemahan DNS sehingga kita tau bagaimana mengoptimalkan kemanan DNS kita.
2.7.1 Nama host 2.7.2 Zona transfer 2.8 Mitigation Options Setiap bagian dari informasi DNS berhubungan dengan field tipe 2-byte. NS, MX, dan TXT adalah tiga dari 65.536 nilai yang mungkin (mereka adalah 2, 15, dan 16, masing-masing) [RFC1035]. Karena jenis baru dapat didefinisikan di masa depan, banyak DNS server memungkinkan caching jenis bidang yang tidak diketahui. Bidang ini tidak terdefinisi dapat digunakan untuk menyimpan
Bahan Bacaan 1. Cricket Liu, Paul Albitz, Mike Loukides, “DNS and BIND”, O’Reilly and Assoc., 1998. 2. Jon Postel, “RFC 1591: Domain Name System Structure and Delegation”, 1994.
4
