Apa yang harus untuk melawan serangan DNS yang diracuni (poisoning)?

Ada banyak aktifitas eksploitasi dan jutaan virus yang mampu menembus pertahanan dari sebuah jaringan. Dan salah satunya adalah kesulitan dalam mendeteksi peracunan DNS–sering  disebut sebagai DNS poisoning/spoofing, DNS hijacking, DNS cache poisoning atau DNS redirection.

Apa si penyakit digital ini dan bagaimana kita melindungi jaringan dari serangan tersebut?

Mengapa DNS Poisoning?

Domain Name System (DNS) setara dengan direktori telepon internet. Setiap website memiliki sebuah nama domain unik yang digunakan untuk mengidentifikasi lokasinya di internet. Serangan terhadap DNS merupakan kejahatan siber yang menyelidiki server-server demi mencari kelemahan untuk diekploitasi. Mereka mampu mengubah coding maupun informasi lainnya.

Sederhananya, serangan DNS poisoning merusak server DNS. Jadi, pengunjung yang mencoba mengunjungi sebuah website secara diam-diam akan diarahkan ke alamat IP yang salah di belakang proses komunikasi dengan server. Pengunjung mungkin saja mengetik “google.com” pada browser, namun mereka malah diarahkan ke server yang dijalankan oleh Hacker.

Gejala utama DNS yang terkena serangan poisoning adalah penurunan traffic website yang begitu mendadak dan tidak dapat dijelaskan. Meskipun traffic website tidak selalu stabil, jika mendapati pengurangan pengunjung yang tiba-tiba pada situs maka perlu dilakukan investigasi mendalam. Caranya, Anda bisa mencari tahu dengan berpura-pura mengunjungi situs Anda sendiri dengan menggunakan pc lain dan menggunakan VPN untuk mengganti lokasi Anda. Apabila malah diarahkan ke sebuah website yang tidak dikenal, peluang DNS Anda terkena serangan poisoning tidak diragukan lagi dan cache DNS Anda telah dirusak.

Eksploitasi DNS Membahayakan Website

Tidak seperti serangan DDos (Direct Denial Service) yang mengirimkan tumpukan permintaan pada server sehingga overload, DNS poisoning ini menurunkan traffic situs Anda. Apabila seseorang terpikat terhadap situs palsu tersebut, segala macam keajahatan bisa timbul terjadi.

Eksploitasi DNS bisa menyebar dari server ke server, memberikan dampak ke banyak pengguna. Itu semua dikarenakan kinerja alamat IP dan DNS. Nama domain dapat dibaca dengan mudah oleh manusia. Ketika url diketik pada address bar sebuah browser, akan mengirimkan permintaan ke server dan mengembalikan alamat IP numerik yang kemudian hanya bisa dibaca oleh komputer.

Sebab Internet Service Provider menangani jutaan permintaan dan alamat IP, itu semua disimpan di dalam cache yang sama sampai permintaan diarahkan ke rute lokasi yang diminta. Selain ke server dan ISP yang Anda gunakan untuk mengakses internet, router Anda bertindak sebagai tipe server DNS yang menyimpan informasi dari server yang terhubung ke ISP Anda.

Hal itu banyak memiliki potensi serangan dan poin masuk untuk mengamankan. Secara teori, satu-satunya cara untuk menghentikan lingkaran serangan adalah membersihkan secara serentak setiap cache pada DNS, ISP dan router bisnis/personal. Perbaikan yang paling mungkin dilakukan adalah bagi server DNS yang paling hulu dengan record data rusak dan menghamburkan data yang benar ke sisanya.

Contoh terbaru dampak eksploitasi ini adalah serangan pada server MyEtherWwallet tahun lalu. Kejahatan siber ini melibatkan pembajakan terhadap domain perusahaan crypto dan mengalihkan pemegang akun ke website phising, dimana para korban ditipu untuk memberikan security key dompet digital mereka dan mentrasnfer uang ke akun pembajak. Pembajak berhasil mendapatkan $160,000 dalam currency crypto Ethereum sebelum kasus diketahui.

Apa yang membuat kasus eksploitasi ini menjadi sulit dideteksi adalah karena mereka beraksi dari sisi pengguna. Pemegang akun asli tidak mengetahuinya jika domainnya telah dibajak dan mereka dialihkan begitu saja ke website fiksi. Pemilik website tidak akan menotis sampai mereka menemukan masalah dengan metris mereka.

Mencegah Serangan DNS Poisoning

Mencegah serangan DNS adalah hal penting bagi dua kelompok: Pengguna yang ingin menghindari dampak spoofing dan sysadmin yang ingin melindungi situs dari jenis serangan ini.

Pada kesempatan ini, PusatSSL akan memberikan metode untuk menghindari DNS Poisoning dari dua sudut pandang di atas:

  1. Pencegahan bagi Sysadmin

Mari kita lihat dari sisi sysadmin untuk yang pertama. Karena sangat sulit bagi pemilik website dan administrator untuk mendeteksi DNS poisoning sampai setelahnya banyak kerusakan yang diselesaikan dan eksploitasi mampu menyebar ke setiap DNS yang terkait setelah peluncuran, pencegahan adalah jalan yang terbaik.

 

  • Memilih Platform dengan Bijak

Pilih lah platform hosting dan sistem manajemen konten yang aman. Jika Anda tidak memiliki budget cukup untuk memiliki server dedicated, pastikan kembali kalau hosting yang Anda pilih sudah memenuhi standar enkripsi terbaru, perlindungan kebocoran DNS, otentikasi SSL dan sistem penyimpanan yang komprehensif. Jika Anda menggunakan wordpress sebagai CMS, ikuti prosedur keamanan dasarnya seperti 2FA (otentikasi 2 faktor) dan pembaharuan software regular.

 

  • Server DNS Selalu Up to Date

Selain memilih platform hosting yang benar untuk kebutuhakn keamanan, Anda harus selalu menjaga server DNS up to date. Terlepas Anda menjalankan Bind, MicrosoftDNS atau server lainnya, versi terbaru akan selalu memiliki perbaikan keamanan sama seperti standar keamanan HSTS, DNSSec, Response Rate Limiting (RRL) untuk mengusir serangan DNS.

 

  • Menggunakan DNSSec

Satu hal penting yang Anda bisa lakukan untuk melindungi dari serangan DNS Poisoning adalah dengan menggunakan DNSSec, yang sangat berpengaruh untuk menghindari serangan tersebut. Standarnya sudah dikuatkan belakangan tahun ini dengan fitur khusus yang didesain untuk mencegah serangan semacam ini. Dengan memverifikasi root domain (maksudnya Signing the Root) kapan pun saat pengguna mencoba untuk mengakses web.

 

  • Audit Terhadap Zona Anda

Banyak server DNS privat dimuat dengan domain subdomain percobaan lama yang tidak diurus lagi. Dan domain tersebut siap dieksploitasi. Anda bisa memantau seluruh zona server, termasuk yang disembunyikan atau yang terlupakan–sama halnya alamat IP dengan menggunakan tool seperti Securoty Trails. Tool tipe ini mengizinkan Anda untuk menangkap kemungkinan adanya kerentanan dan mencegah serangan sebelum serangan terjadi.

 

  • Pertimbangkan Penggunaan HTTPS

Dengan HSTS, Anda bisa memaksa browser untuk selalu memuat website Anda dengan HTTPS. Hal ini akan membantu Anda menghindari DNS poisoning dengan satu kunci jawaban: seorang Hacker yang membuat versi palsu website Anda tidak mungkin bisa mendapatkan sertifikat SSL/TLS yang dipercaya untuk domainnya. Ini berarti, saat pengunjung dialihkan ke website palsu si Hacker, mereka akan menerima peringatan keamanan berbahaya dari browser.

 

  1. Pencegahan bagi End User

Pengguna harus selalu berhati-hati terhadap bahaya DNS yang dialihkan, karena tipe serangan ini bisa menipu Anda untuk memberikan informasi sensitif ke dalam situs palsu. Berikut beberapa cara yang dapat Anda lakukan sebagai bentuk pencegahan:

 

  • Tutupi Versi Bind Anda

Hacker biasanya melacak kelemahan umum dalam beberapa generasi platform yang biasa digunakan. Kemudian mereka menggunakan informasi tersebut untuk menembus jaringan maupun platform yang menggunakan versi tertentu. Dengan menyembunyikan versi software, Anda bisa menyulitkan Hacker untuk menajalankan aksi DNS poisoning. Jika Anda menggunakan servis populer Linux-Based DNS, menutupi versi Bind merupakan ide bagus.

Jika Bind merupakan software DNS, yang dibutuhkan bagi Hacker untuk memperoleh versi berapa yang Anda gunakan adalah dengan melakukan kueri jarak jauh menggunakan kode ini: dig @ns1.server.com –c CH –t txt version.bind

Yang mana akan memberikan jawaban seperti di bawah ini (jika versi Bind tidak disembunyikan):

ANSWER SECTION:

VERSION.BIND. 0 CH TXT “name 9.8.2…

Untuk menyembunyikan informasi ini, buka file /etc/named.conf dan cari opsi blok konfigurasi { … }. Anda akan menemukan baris kalimat version “BIND”;

Ubah baris tersebut menjadi version “Forbidden”; lalu simpan dan tutup file tersebut. Anda akan perlu merestart Bind untuk dapat menetapkan perubahan.

 

  • Periksa Browser

Satu cara yang cepat untuk mengetahui apakah DNS Anda dibajak atau tidak adalah dengan memeriksa nama bisnis Anda pada detail sertifikat SSL/TLS website Anda. Kemampuan untuk melihat nama perusahaan pada address bar juga bisa dijadikan opsi kedua jika Anda menggunakan sertifikat SSL/TLS EV.

Nama domain adalah cerminan brand bisnis Anda dalam internet. Melindunginya dari serangan  DNS poisoning harus menjadi prioritas utama. Tujuan PusatSSL adalah memberikan Anda solusi yang dapat ditindaklanjuti dan menjaga Anda dari kejahatan siber berikutnya di waktu mendatang yang berpotensi merugikan maupun merusak reputasi perusahaan.

PusatSSL Customer Support

Kontak Customer Support Kami

Kami siap membantu dan menyelesaikan permasalahan Sertifikat SSL/TLS Anda

PAYMENT

Metode Pembayaran di PusatSSL

ISO CERTIFIED

SSL USED