DNS Poisoning adalah salah satu kesalahan dalam melakukan domain resolving yang diakibatkan oleh malicious application (malware,virus,worm) atau juga kesalahan aplikasi dalam konfigurasi name server, sehingga menyebabkan internet tidak bisa diakses secara normal karena permintaan resolve akan di rubah dan user akan di redirect menuju situs yang berbeda dengan situs yang sebenarnya , jika di dalam jaringan kita terkena DNS poisoning maka dapat diketahui dengan cara melakukan nslookup dan melihat authoritative DNS yang memberikan jawaban atas permintaan domain resolve, jika tidak sesuai dengan name server yang di berikan oleh ISP maka berhati-hatilah mungkin kita terkena DNS poisoning
Metode penyerangan ke nameserver dengan cara poisoning (memberikan racun) kepada nameserver yang memegang otoriti terhadap sebuah domain. Bagaimana cara memberikan racun kepada nameserver? dan bagaimana dampaknya?
Sebelum kita masuk dalam inti permasalahannya terlebih dahulu kita mengetahui bagaimana proses query terjadi ketika anda melakukan request terhadap sebuah domain. Setidaknya ada 3 nameserver yang akan dikontak ketika anda melakukan reqout domain yang anda inginkan. Ketiga nameserver itu adalah :
1. ISP nameserver
2. Root nameserver
3. Authoritation nameserver.
Misal dalam contoh begini, ketka anda menggunakan program nslookup untuk mencari ip dari domain google.com maka yang akan terjadi program nslookup akan mengirimkan quoery ke nameserver ISP untuk meminta nomor ip dari domain google.com. Selanjutnya nameserver ISP akan meminta petunjuk kepada nameserver induk untuk mencari dimana lokasi nameserver pemegang otoriti domain google.com. Ketika sudah menemukan nameserver pemegang otoriti pemegang domain tersebut, kemudian root nameserver akan membahas query nameserver ISP dengan mengirimkan nama nameserver pemegang otoriti domain. Disini nameserver ISP akan mengirimkan query ke nameserver pemegang query otoriti domain dan nameserver pemegang otoriti akan mengirimkan nomor ip dari google.com ke nameserver ISP Dan kemudian nameserver ISP akan mengirimkan nomor ip ke program nslookup.
Oke selanjutnya bagaimana kalau dalam konteks serangan ke nameserver yang sesungguhnya? Tentu sebelumnya kita akan pelajari terlebih dahulu kelemahan dari program DNS server, misal kita ambil contoh BIND (aplikasi DNS linux/UNIX). Didalam kerjanya BIND meng-generate multi query setiap domain yang sama dalam waktu yang sama juga.
Kesimpulannya seorang attacker bisa membelokkan alamat dari sebuah domain dengan menggunakan metode DNS poisoning dan coba anda bayangkan ketika nameserver diberikan fake information di nameserver yang akibatnya nameserver akan menerjemahkan bahwa domain itu adalah milik attacker atau penyerang. Akibatnya bisa anda perkirakan sendiri, setiap informasi yang dikirim ke domain tersebut akan masuk ke alamat IP attacker san apabila attacker tersebut telah memasang program spoofing yang terpasang dimesinnya berarti ini telah membantu attacker untuk mendapatkan informasi penting seperti login, password bahkan mungkin data-data rahasia.
Sebelum kita masuk dalam inti permasalahannya terlebih dahulu kita mengetahui bagaimana proses query terjadi ketika anda melakukan request terhadap sebuah domain. Setidaknya ada 3 nameserver yang akan dikontak ketika anda melakukan reqout domain yang anda inginkan. Ketiga nameserver itu adalah :
1. ISP nameserver
2. Root nameserver
3. Authoritation nameserver.
Misal dalam contoh begini, ketka anda menggunakan program nslookup untuk mencari ip dari domain google.com maka yang akan terjadi program nslookup akan mengirimkan quoery ke nameserver ISP untuk meminta nomor ip dari domain google.com. Selanjutnya nameserver ISP akan meminta petunjuk kepada nameserver induk untuk mencari dimana lokasi nameserver pemegang otoriti domain google.com. Ketika sudah menemukan nameserver pemegang otoriti pemegang domain tersebut, kemudian root nameserver akan membahas query nameserver ISP dengan mengirimkan nama nameserver pemegang otoriti domain. Disini nameserver ISP akan mengirimkan query ke nameserver pemegang query otoriti domain dan nameserver pemegang otoriti akan mengirimkan nomor ip dari google.com ke nameserver ISP Dan kemudian nameserver ISP akan mengirimkan nomor ip ke program nslookup.
Oke selanjutnya bagaimana kalau dalam konteks serangan ke nameserver yang sesungguhnya? Tentu sebelumnya kita akan pelajari terlebih dahulu kelemahan dari program DNS server, misal kita ambil contoh BIND (aplikasi DNS linux/UNIX). Didalam kerjanya BIND meng-generate multi query setiap domain yang sama dalam waktu yang sama juga.
Kesimpulannya seorang attacker bisa membelokkan alamat dari sebuah domain dengan menggunakan metode DNS poisoning dan coba anda bayangkan ketika nameserver diberikan fake information di nameserver yang akibatnya nameserver akan menerjemahkan bahwa domain itu adalah milik attacker atau penyerang. Akibatnya bisa anda perkirakan sendiri, setiap informasi yang dikirim ke domain tersebut akan masuk ke alamat IP attacker san apabila attacker tersebut telah memasang program spoofing yang terpasang dimesinnya berarti ini telah membantu attacker untuk mendapatkan informasi penting seperti login, password bahkan mungkin data-data rahasia.
