DNS Cache Poisoning merupakan sebuah cara untuk menembus pertahanan
dengan cara menyampaikan informasi IP Address yang salah mengenai sebuah
host, dengan tujuan untuk mengalihkan lalu lintas paket data dari
tujuan yang sebenarnya. Cara ini banyak dipakai untuk menyerang
situs-situs e-commerce dan banking yang saat ini bisa dilakukan dengan
cara online dengan pengamanan Token. Teknik ini dapat membuat sebuah
server palsu tampil identik dengan dengan server online banking yang
asli. Oleh karena itu diperlukan digital cerficate untuk mengamankannya,
agar server palsu tidak dapat menangkap data otentifikasi dari nasabah
yang mengaksesnya. Jadi dapat disimpulkan cara kerja DNS (Domain Name
System) poisoning ini adalah dengan mengacaukan DNS Server asli agar
pengguna Internet terkelabui untuk mengakses web site palsu yang dibuat
benar-benar menyerupai aslinya tersebut, agar data dapat masuk ke server
palsu.
Cara mencegahnya :
Patch ! administrator warnet patch, admin ISP patch, admin sekolah patch, admin perusahaan patch. User biasa ?! satu cara paling aman adalah menggunakan setting DNS server yang terbukti aman, salah satunya Open DNS. Jika main ke warnet, pastikan setting konfigurasi dns server menggunakan ip opendns yaitu: 208.67.222.222 dan 208.67.220.220.
Metode Penyerangan DNS Poisoning :
Metode penyerangan ke nameserver dengan cara poisoning (memberikan racun) kepada nameserver yang memegang otoriti terhadap sebuah domain. Bagaimana cara memberikan racun kepada nameserver? dan bagaimana dampaknya?
Sebelum kita masuk dalam inti permasalahannya terlebih dahulu kita mengetahui bagaimana proses query terjadi ketika anda melakukan request terhadap sebuah domain. Setidaknya ada 3 nameserver yang akan dikontak ketika anda melakukan reqout domain yang anda inginkan. Ketiga nameserver itu adalah :
1. ISP nameserver
2. Root nameserver
3. Authoritation nameserver.
Misal dalam contoh begini, ketka anda menggunakan program nslookup untuk mencari ip dari domain google.com maka yang akan terjadi program nslookup akan mengirimkan quoery ke nameserver ISP untuk meminta nomor ip dari domain google.com. Selanjutnya nameserver ISP akan meminta petunjuk kepada nameserver induk untuk mencari dimana lokasi nameserver pemegang otoriti domain google.com. Ketika sudah menemukan nameserver pemegang otoriti pemegang domain tersebut, kemudian root nameserver akan membahas query nameserver ISP dengan mengirimkan nama nameserver pemegang otoriti domain. Disini nameserver ISP akan mengirimkan query ke nameserver pemegang query otoriti domain dan nameserver pemegang otoriti akan mengirimkan nomor ip dari google.com ke nameserver ISP Dan kemudian nameserver ISP akan mengirimkan nomor ip ke program nslookup.
Oke selanjutnya bagaimana kalau dalam konteks serangan ke nameserver yang sesungguhnya? Tentu sebelumnya kita akan pelajari terlebih dahulu kelemahan dari program DNS server, misal kita ambil contoh BIND (aplikasi DNS linux/UNIX). Didalam kerjanya BIND meng-generate multi query setiap domain yang sama dalam waktu yang sama juga.
Kesimpulannya seorang attacker bisa membelokkan alamat dari sebuah domain dengan menggunakan metode DNS poisoning dan coba anda bayangkan ketika nameserver diberikan fake information di nameserver yang akibatnya nameserver akan menerjemahkan bahwa domain itu adalah milik attacker atau penyerang. Akibatnya bisa anda perkirakan sendiri, setiap informasi yang dikirim ke domain tersebut akan masuk ke alamat IP attacker san apabila attacker tersebut telah memasang program spoofing yang terpasang dimesinnya berarti ini telah membantu attacker untuk mendapatkan informasi penting seperti login, password bahkan mungkin data-data rahasia.
Sebelum kita masuk dalam inti permasalahannya terlebih dahulu kita mengetahui bagaimana proses query terjadi ketika anda melakukan request terhadap sebuah domain. Setidaknya ada 3 nameserver yang akan dikontak ketika anda melakukan reqout domain yang anda inginkan. Ketiga nameserver itu adalah :
1. ISP nameserver
2. Root nameserver
3. Authoritation nameserver.
Misal dalam contoh begini, ketka anda menggunakan program nslookup untuk mencari ip dari domain google.com maka yang akan terjadi program nslookup akan mengirimkan quoery ke nameserver ISP untuk meminta nomor ip dari domain google.com. Selanjutnya nameserver ISP akan meminta petunjuk kepada nameserver induk untuk mencari dimana lokasi nameserver pemegang otoriti domain google.com. Ketika sudah menemukan nameserver pemegang otoriti pemegang domain tersebut, kemudian root nameserver akan membahas query nameserver ISP dengan mengirimkan nama nameserver pemegang otoriti domain. Disini nameserver ISP akan mengirimkan query ke nameserver pemegang query otoriti domain dan nameserver pemegang otoriti akan mengirimkan nomor ip dari google.com ke nameserver ISP Dan kemudian nameserver ISP akan mengirimkan nomor ip ke program nslookup.
Oke selanjutnya bagaimana kalau dalam konteks serangan ke nameserver yang sesungguhnya? Tentu sebelumnya kita akan pelajari terlebih dahulu kelemahan dari program DNS server, misal kita ambil contoh BIND (aplikasi DNS linux/UNIX). Didalam kerjanya BIND meng-generate multi query setiap domain yang sama dalam waktu yang sama juga.
Kesimpulannya seorang attacker bisa membelokkan alamat dari sebuah domain dengan menggunakan metode DNS poisoning dan coba anda bayangkan ketika nameserver diberikan fake information di nameserver yang akibatnya nameserver akan menerjemahkan bahwa domain itu adalah milik attacker atau penyerang. Akibatnya bisa anda perkirakan sendiri, setiap informasi yang dikirim ke domain tersebut akan masuk ke alamat IP attacker san apabila attacker tersebut telah memasang program spoofing yang terpasang dimesinnya berarti ini telah membantu attacker untuk mendapatkan informasi penting seperti login, password bahkan mungkin data-data rahasia.