Spoofing Domain Name Server (DNS) adalah serangan cyber di mana penyerang mengarahkan lalu lintas korban ke situs jahat (bukan alamat IP yang sah). Penyerang menggunakan peracunan cache DNS untuk mencegat lalu lintas Internet dan mencuri kredensial atau informasi rahasia. Keracunan cache DNS dan spoofing DNS adalah konsep yang identik, sering kali digunakan secara sinonim. Peretas ingin mengelabui pengguna agar memasukkan informasi pribadi di situs web yang tidak aman. Bagaimana dia bisa mencapai ini? Dengan meracuni cache DNS. Untuk melakukan ini, peretas memalsukan atau mengganti data DNS untuk situs tertentu, dan kemudian mengarahkan korban ke server penyerang, bukan ke server yang sah. Dengan demikian, peretas mencapai tujuannya, karena peluang luas terbuka di hadapannya: dia bisa melakukan serangan phishing , mencuri data, atau bahkan menginjeksi malware ke sistem korban.
Apa itu spoofing DNS dan keracunan cache?
Sebelum kita mulai berbicara tentang keracunan cache DNS, pertama-tama mari kita lihat apa itu DNS dan cache DNS. DNS adalah direktori alamat IP dan nama domain di seluruh dunia. Kita dapat mengatakan bahwa ini adalah semacam direktori telepon Internet. DNS menerjemahkan alamat yang mudah digunakan seperti varonis.com menjadi alamat IP seperti 92.168.1.169, yang digunakan oleh komputer untuk bekerja di jaringan. Cache DNS adalah sistem untuk menyimpan alamat di server DNS di seluruh dunia. Untuk mempercepat pemrosesan kueri DNS Anda, pengembang telah membuat sistem DNS terdistribusi. Setiap server menyimpan daftar catatan DNS yang diketahuinya, yang disebut cache. Jika server DNS yang paling dekat dengan Anda tidak memiliki alamat IP yang diinginkan, itu menanyakan server DNS upstream sampai alamat situs web yang Anda coba jangkau ditemukan.Server DNS Anda kemudian menyimpan entri baru ini di cache Anda untuk mendapatkan respons yang lebih cepat di lain waktu.
Contoh dan konsekuensi dari keracunan cache DNS
Konsep DNS tidak disesuaikan dengan spesifikasi Internet modern. Tentu saja, DNS telah berkembang dari waktu ke waktu, tetapi sekarang ini masih cukup untuk memiliki satu server DNS yang salah konfigurasi untuk membuat jutaan pengguna merasakan dampaknya. Contoh - serangan di WikiLeaksketika penyerang menggunakan peracunan cache DNS untuk mencegat lalu lintas, mengarahkannya ke situs tiruan mereka sendiri. Tujuan serangan ini adalah untuk mengalihkan lalu lintas dari WikiLeaks, dan ini mencapai beberapa keberhasilan. Keracunan cache DNS tidak mudah dideteksi oleh pengguna biasa. DNS saat ini dibangun di atas kepercayaan, dan ini adalah titik lemahnya. Orang-orang terlalu mempercayai DNS dan tidak pernah memeriksa apakah alamat di browser mereka cocok dengan yang mereka inginkan. Penyerang menggunakan kecerobohan dan kelalaian ini untuk mencuri kredensial dan informasi penting lainnya.
Bagaimana cara kerja DNS cache poisoning?
Meracuni cache DNS berarti bahwa server DNS yang paling dekat dengan Anda berisi catatan yang mengirim Anda ke alamat yang salah, yang biasanya dikendalikan oleh penyerang. Ada sejumlah teknik yang digunakan penyerang untuk meracuni cache DNS.
Mencegat Lalu Lintas LAN Menggunakan ARP Spoofing
Anda akan terkejut betapa rentannya jaringan lokal. Banyak administrator dapat yakin bahwa mereka telah memblokir semua akses yang mungkin, tetapi, seperti yang Anda ketahui, iblis ada dalam detailnya.
Salah satu masalah umum adalah karyawan yang bekerja dari jarak jauh . Bagaimana Anda bisa yakin bahwa jaringan Wi-Fi mereka diamankan? Peretas dapat memecahkan kata sandi Wi-Fi yang lemah dalam hitungan jam.
Masalah lainnya adalah port Ethernet terbukadapat diakses oleh semua orang di koridor, lobi, dan tempat umum lainnya. Bayangkan saja: pengunjung dapat menghubungkan kabel Ethernet ke perangkat mereka untuk tampilan lobi. Bagaimana seorang peretas menggunakan akses ke jaringan lokal Anda yang diperoleh dengan salah satu cara di atas? Pertama, dia akan dapat membuat halaman phishing untuk mengumpulkan kredensial dan informasi berharga lainnya. Kemudian dia dapat meng-host situs ini baik di jaringan lokal atau di server jarak jauh, dan untuk ini dia hanya memerlukan satu baris kode Python. Peretas kemudian dapat mulai memata-matai jaringan menggunakan alat khusus seperti Betterrcap. Pada titik ini, peretas memeriksa jaringan dan melakukan pengintaian, tetapi lalu lintas masih melalui router.Penyerang kemudian dapat merusak Address Resolution Protocol (ARP) untuk mengubah struktur jaringan dari dalam. ARP digunakan oleh perangkat jaringan untuk mengaitkan alamat MAC perangkat dengan alamat IP di jaringan. Bettercap akan mengirim pesan, memaksa semua perangkat di jaringan untuk menganggap komputer peretas sebagai router. Dengan trik ini, seorang peretas akan dapat mencegat semua lalu lintas jaringan yang melewati router. Setelah lalu lintas dialihkan, penyerang dapat meluncurkan modul Bettercap untuk memalsukan DNS. Modul ini akan mencari permintaan apapun ke domain target dan mengirimkan respon palsu ke korban. Respons palsu berisi alamat IP komputer penyerang, mengarahkan semua permintaan ke situs target ke halaman phishing yang dibuat oleh penyerang. Peretas sekarang melihat lalu lintas yang ditujukan untuk perangkat lain di jaringan,mengumpulkan kredensial yang dimasukkan dan memasukkan unduhan berbahaya.
Jika peretas tidak dapat mengakses jaringan lokal, dia akan menggunakan salah satu serangan berikut.
Memalsukan jawaban dengan serangan ulang tahun
DNS tidak mengautentikasi respons ke kueri rekursif, jadi respons pertama di-cache. Penyerang menggunakan apa yang disebut paradoks ulang tahun untuk mencoba memprediksi dan mengirim tanggapan palsu kepada pemohon. Serangan ulang tahun menggunakan matematika dan teori probabilitas untuk memprediksi . Dalam kasus ini, penyerang mencoba menebak ID transaksi dari permintaan DNS Anda, dan jika berhasil, catatan DNS palsu sampai kepada Anda sebelum jawaban yang sah. Serangan ulang tahun tidak dijamin berhasil, tetapi pada akhirnya penyerang akan dapat menyimpan respons palsu ke dalam cache. Setelah serangan berhasil, peretas akan dapat melihat lalu lintas dari catatan DNS palsu hingga akhir siklus hidup (TTL) catatan DNS....
adalah variasi dari serangan ulang tahun. Dan Kaminsky, yang menemukan kerentanan ini, pertama kali mempresentasikannya di konferensi BlackHat pada tahun 2008. Inti dari eksploitasi adalah bahwa peretas pertama kali mengirim permintaan resolver DNS untuk domain yang tidak ada, misalnya fake.varonis.com. Setelah menerima permintaan seperti itu, DNS resolver mengalihkannya ke server nama yang berwenang untuk mendapatkan alamat IP dari subdomain palsu. Pada titik ini, penyerang membanjiri DNS resolver dengan sejumlah besar respons palsu dengan harapan salah satu respons palsu ini akan cocok dengan ID transaksi dari permintaan asli. Jika berhasil, peretas memalsukan alamat IP di cache server DNS, misalnya, seperti dalam contoh kami dengan varonis.com. Penyelesai akan terus menanggapi semua pemohon bahwa alamat IP varonis.com palsu itu asli,hingga data DNS kedaluwarsa.
DNS?
Bagaimana cara mendeteksi jika cache DNS diracuni? Untuk melakukan ini, Anda perlu memantau server DNS Anda untuk indikator kemungkinan serangan. Namun, tidak ada yang memiliki kekuatan komputasi untuk menangani volume permintaan DNS sebanyak itu. Solusi terbaik adalah menerapkan analitik keamanan data ke pemantauan DNS Anda. Ini akan membedakan perilaku DNS normal dari serangan jahat.
• Peningkatan mendadak dalam aktivitas DNS dari satu sumber terhadap satu domain menunjukkan potensi serangan ulang tahun.
• Peningkatan aktivitas DNS dari satu sumber, yang menanyakan server DNS Anda untuk beberapa nama domain tanpa rekursi, menunjukkan upaya untuk memilih catatan untuk keracunan berikutnya.
Sebagai tambahannya Pemantauan DNS juga harus memantau peristiwa Active Directory dan perilaku sistem file untuk mendeteksi aktivitas abnormal pada waktunya. Lebih baik lagi, gunakan analitik untuk menemukan hubungan antara ketiga vektor. Ini akan memberikan informasi kontekstual yang berharga untuk memperkuat strategi keamanan siber Anda.
Metode untuk melindungi dari keracunan cache DNS
Selain pemantauan dan analitik, Anda dapat membuat perubahan pada pengaturan server DNS:
- Batasi kueri rekursif untuk mencegah potensi keracunan cache yang ditargetkan.
- menyimpan hanya data yang terkait dengan domain yang diminta;
- membatasi tanggapan hanya untuk yang terkait dengan domain yang diminta;
- mewajibkan klien untuk menggunakan protokol HTTPS.
Pastikan Anda menggunakan perangkat lunak BIND dan DNS terbaru dan dengan demikian mendapatkan semua perbaikan kerentanan terbaru. Jika memungkinkan, misalnya dalam kasus pekerja jarak jauh, atur agar semua komputer jarak jauh terhubung melalui VPN. Ini akan melindungi lalu lintas dan permintaan DNS agar tidak diintai secara lokal. Selain itu, dorong karyawan untuk membuat kata sandi yang kuat untuk jaringan Wi-Fi guna mengurangi risiko juga.
Terakhir, gunakan kueri DNS terenkripsi. Modul Keamanan Layanan Nama Domain (DNSSEC)Adalah protokol DNS yang menggunakan kueri DNS bertanda tangan untuk mencegah spoofing. Saat menggunakan DNSSEC, penyelesai DNS perlu memverifikasi tanda tangan dengan server DNS resmi, yang memperlambat seluruh proses. Akibatnya, DNSSEC belum diterima secara luas.
DNS melalui HTTPS (DoH) dan DNS melalui TLS (DoT)adalah spesifikasi yang bersaing untuk versi DNS berikutnya dan, tidak seperti DNSSEC, dirancang untuk mengamankan kueri DNS tanpa mengorbankan kecepatan. Namun, solusi ini tidak ideal karena dapat memperlambat atau sama sekali tidak memungkinkan untuk memantau dan menganalisis DNS secara lokal. Penting untuk diperhatikan bahwa DoH dan DoT dapat melewati kontrol orang tua dan pemblokiran tingkat DNS lainnya yang diatur di jaringan. Terlepas dari itu, Cloudflare, Quad9, dan Google memiliki server DNS publik dengan dukungan DoT. Banyak klien baru mendukung standar modern ini, meskipun dukungan dinonaktifkan secara default. Anda dapat menemukan detail lebih lanjut tentang ini di posting kami tentang keamanan DNS .
Spoofing DNS menggantikan alamat IP sah situs dengan alamat IP komputer peretas. Sangat sulit untuk mendeteksi substitusi, karena dari sudut pandang pengguna akhir, dia memasukkan alamat situs web yang benar-benar normal di browser. Meski begitu, serangan seperti itu bisa dihentikan. Risiko dapat dikurangi dengan menggunakan pemantauan DNS, misalnya dari Varonis , serta standar enkripsi DNS over TLS (DoT).
Keracunan Cache: Pertanyaan yang Sering Diajukan
Lihat pertanyaan dan jawaban spoofing DNS yang umum.
Keracunan cache DNS dan spoofing cache DNS (spoofing) hal yang sama?
Ya, jenis serangan dunia maya yang sama disebut keracunan cache dan spoofing cache.
Bagaimana cara kerja DNS cache poisoning?
Keracunan cache menipu server DNS Anda untuk menyimpan catatan DNS palsu di dalamnya. Setelah itu, lalu lintas dialihkan ke server yang dipilih oleh peretas, tempat datanya dicuri.
Tindakan keamanan apa yang dapat diterapkan untuk melindungi dari keracunan cache DNS?
Pemilik situs dapat melakukan pemantauan dan analitik untuk mendeteksi spoofing DNS. Anda juga dapat memperbarui server DNS Anda untuk menggunakan Modul Keamanan Sistem Nama Domain (DNSSEC) atau sistem enkripsi lain seperti DNS melalui HTTPS atau DNS melalui TLS. Penggunaan luas enkripsi ujung ke ujung penuh seperti HTTPS juga dapat mencegah spoofing DNS. Cloud Access Security Brokers (CASB) sangat berguna untuk tujuan ini. Pengguna akhir dapat membersihkan cache DNS yang berpotensi palsu dengan membersihkan cache DNS browser mereka secara berkala atau setelah tersambung ke jaringan publik yang tidak aman. Menggunakan VPN dapat melindungi dari spoofing DNS di jaringan lokal. Hindari tautan yang mencurigakan. Ini akan membantu menghindari risiko mencemari cache browser Anda.
Bagaimana Anda bisa memeriksa apakah Anda telah terkena serangan keracunan cache?
Setelah cache DNS diracuni, sulit untuk dideteksi. Taktik yang jauh lebih baik adalah memantau data Anda dan melindungi sistem Anda dari malware untuk melindungi diri Anda dari kebocoran data karena keracunan cache DNS. Kunjungi lab serangan siber interaktif kami untuk melihat bagaimana kami menggunakan pemantauan DNS untuk mendeteksi ancaman keamanan siber dunia nyata.
Bagaimana cara kerja komunikasi DNS?
Saat pengguna akhir memasukkan URL seperti Varonis.com ke browser mereka, hal berikut akan terjadi:
- Browser pertama-tama akan memeriksa cache lokalnya untuk data DNS yang sudah disimpan.
- Jika data ini hilang, ini akan menanyakan server DNS upstream, yang biasanya merupakan router Anda di jaringan lokal.
- DNS, , DNS, Google, Cloudflare Quad9.
- DNS- .
4.1. , DNS-, DNS « .com».
4.2. .com, « Varonis.com», URL.
4.3. « IP- Varonis.com», IP- . - Data DNS kemudian dikirim kembali ke rantai sampai mencapai perangkat pengguna akhir. Di sepanjang rute, masing-masing server DNS akan menuliskan respons yang diterima ke dalam cache-nya sendiri untuk digunakan lebih lanjut.
Bagaimana penyerang meracuni cache DNS?
Ada banyak cara untuk meracuni cache, dan berikut ini yang paling umum: memaksa korban untuk mengklik link berbahaya yang menggunakan kode yang disematkan untuk mengubah cache DNS di browser pengguna; Meretas server DNS lokal menggunakan "serangan perantara". Serangan perantara yang disebutkan di atas menggunakan spoofing Address Resolution Protocol (ARP) untuk mengarahkan permintaan DNS ke server DNS yang dikendalikan penyerang.
Apa itu Keracunan Cache DNS?
Keracunan cache DNS adalah tindakan mengganti entri dalam basis data DNS dengan alamat IP yang mengarah ke server jahat yang dikendalikan oleh penyerang.
Bagaimana DNS spoofing dilakukan?
Seorang hacker melakukan serangan spoofing DNS dengan mendapatkan akses dan mengubah cache DNS atau dengan mengarahkan permintaan DNS ke server DNS-nya sendiri.
Apa itu DNS Spoofing?
Spoofing DNS berarti bahwa URL yang dimasukkan pengguna ke browser, seperti varonis.com, sebenarnya tidak mengarah ke alamat IP resmi yang benar yang terkait dengan URL tersebut. Sebaliknya, pengguna dialihkan ke server jahat yang dikendalikan oleh peretas.
Mengapa DNS spoofing berbahaya?
Spoofing DNS berbahaya karena, pada dasarnya, Domain Name System (DNS) dipercaya dapat diandalkan, sehingga sering kali tidak dilindungi oleh jenis enkripsi apa pun. Ini mengarah pada fakta bahwa peretas dapat memalsukan catatan di cache DNS untuk pencurian data lebih lanjut, menyuntikkan malware, phishing, dan memblokir pembaruan.
Ancaman utama yang ditimbulkan oleh serangan spoofing DNS adalah pencurian data melalui halaman phishing. Selain itu, ada risiko malware masuk dengan kedok file yang dapat diunduh yang terlihat nyata. Selain itu, jika sistem diperbarui melalui Internet, penyerang dapat memblokir pembaruan dengan mengubah catatan DNS sehingga tidak mengarah ke situs yang diinginkan.