DNS Poisoning dan Bagaimana Cara Mencegahnya

DNS Poisoning adalah kejahatan yang tidak disengaja dibuat atau situasi yang memberikan caching data ke server nama yang tidak berasal dari otoritatif Domain Name System (DNS) bersumber. Hal ini dapat terjadi melalui perancangan perangkat lunak yang tidak tepat, misconfiguration nama server, dan dirancang skenario jahat mengeksploitasi secara tradisional arsitektur terbuka dari sistem DNS. Setelah server DNS telah menerima non-otentik seperti data dan cache untuk meningkatkan kinerja di masa depan, itu dianggap diracuni, pengadaan non-otentik data ke klien dari server. 

Sebuah nama domain server menerjemahkan nama domain (misalnya, www.contoh.com) ke alamat IP internet yang digunakan untuk menghubungi host sumber daya internet. Jika sebuah DNS server diracuni, hal itu mungkin kembali alamat IP yang salah, pengalihan lalu lintas ke komputer attacker.

seorang attacker dapat mengirimkan data-data palsu mengenai sebuah
domain yang kemudian akan disimpan di cache sebuah server DNS, sehingga apabila server
tersebut menerima pertanyaan mengenai domain tersebut, server akan memberikan jawaban
yang salah. Patut dicatat, bahwa dalam serangan ini, data asli server DNS tidak mengalami perubahan sedikitpun. Perubahan data hanya terjadi pada cache server DNS tersebut.

Bagaimana cara mencegah DNS Poisoning ? 

Cara yang paling efektif dalam menghadapi serangan yang merubah DNS server adalah dengan
melakukan otentikasi host yang akan kita hubungi. Model otentikasi yang banyak digunakan saat ini adalah dengan mempergunakan digital certificate. Dengan digital certificate, seseorang dapat dengan yakin bahwa host yang dia akses adalah host yang sebenarnya.

BAGAIMANA MENCEGAH ARP ?

Mencegah ARP  bisa  dengan menggunakan program Xarp. XArp telah didesain dengan tujuan utama untuk mendeteksi serangan ARP. Ini adalah aplikasi yang khusus ditujukan bagi users maupun administrator. Mekanisme pendeteksian didasarkan pada dua teknik, yaitu Pemeriksaan modul dan Discoverers. Pemeriksaan modul akan melihat setiap ARP packet, memeriksa kebenaran dan validitas dalam hal database yang telah dibuat. Discoverers secara aktif akan memvalidasi pemetaan IP-MAC dan membantu mendeteksi penyerang yang aktif. XArp membantu pengguna untuk mendeteksi serangan ARP dan menjaga data - data pribadi mereka. Administrator dapat menggunakan XArp untuk memantau seluruh subnet untuk serangan ARP. Perbedaan tingkat keamanan dan penggunaan (Fine Tuning) yang benar memungkinkan pengguna secara efisien menggunakan XArp untuk mendeteksi ARP Attack.

atau pun bisa dengan menggunakan cara seperti ini,

Anda sudah melihat bagaimana komputer dengan sistem operasi terbaru sekalipun gengan mudahnya bisa tertipu dengan ARP (Poisoning) yang mengakibatkan komputer anda dengan sukarela mengirimkan datanya ke komputer attacker.hal ini dapat dicegah dengan implementasi port security pada switch, tetapi anda tidak bisa menggunakan switch biasa. Anda membutuhkan switch mmanageable atau switch yang bisa diatur dan biasanya switch semacam ini berkali-kali lipat harganya dibandingkan dengan switch biasa.Solusi lainnya adalah dengan mencegah ARP cache di komputer anda berubah. Solusinya gunakan ARP cache statik. Sebagai contoh, melakukan ping ke komputer 192.168.200.3 untuk mengetahui alamat MAC dari komputer tersebut.

c:\Documents and Setting\bule>ping 192.168.200.3
ping 192.168.200.3 with 32 bytes of data:
Reply from 192.168.200.3: bytes=32 time=4ms TTL=128
Reply from 192.168.200.3: bytes=32 time<1ms ttl="">
Reply from 192.168.200.3: bytes=32 time<1ms ttl="">
Reply from 192.168.200.3: bytes=32 timearp-a
interface: 192.168.200.1 —- 0×2v
internet address physical address type
192.168.200.3 00-0c-29-5a-2e-7b dynamic
Terlihat bahwa alamat IP 192.168.200.3 mempunyai alamat MAC 00-0c-29-5a-2e-7b dengan Type dynamic. Type dynamic menandakan komputer mempelajari alamat ini secara otomatis pada saat terjadi komunikasi dan akan menyimpannya dalam waktu yang terbatas.

Karena saat ini jaringan saya, saya anggap masih bebas dari Attacker dan alamat MAC ini bisa dipercaya, maka saya bisa meminta komputer saya agar membuat sebuah entrystatic yang mengatakan bahwa alamat IP 192.168.200.3 mempunyai alamat MAC 00-0c-29-5a-2e-7b. Dengan demikian entry ini tidak akan terhapus dan attacker tidak bisa merubahnya dengan serangan.

Untuk membuat entry static, anda bisa menjalankan perintah arp-s disertai dengan alamat IP dan MAC sbb:

c:\Documents and setting\bule>arp-s 192.168.200.3 00-oc-29-5a-2e-7b

Setelah menjalankan perintah arp-s, anda bisa kembali melihat isi ARP cache dengan menjalankan perintah arp-a seperti berikut:

c:\Documents and setting\bule>arp-a
interface: 192.168.200.1 — 0×2
internet address Physical address Type
192.168.200.3 00-0c-29-5a-2e-7b static

Terlihat bahwa Type entry yang ditampilkan sekarang bukanlah dynamic, namun static. Ini adalah kabar bagus. Bagaimana jika anda hendak menghapus suatu entry yang sudah tidak digunakan ? anda bisa menggunakannya dengan perintah arp-d disertai alamat IP.

APA ITU ARP ?

Apakah itu ARP?? ARP adalah Address Resolution Protocol (ARP) spoofing atau merupakan sebuah tehnik yang bertujan untuk menyerang ethernet atau wireless network dalam sebuah jaringan LAN & WIFI, dengan mengunakan teknik ARP Spoofing, ARP Poison Routingattacker/penyerang mampu menjadi gateway sementara sehingga mampu melakukan analisa data trafik Jaringan LAN & WIFI korban. Dengan mengunakan teknik ini maka attacker mampu mendapatkan password & email/ID, kartu kredit dan masih banyak yang lainnya. Teknik ini pula attacker mampu memutuskan jaringan LAN anda dengan cara kerja Denial of service attack sehingga mampu memutus jaringan LAN & Wifi korban. Serangan ini hanya dapat digunakan pada jaringan yang menggunakan ARP dan tidak menggunakan metode Address Resolution yang lain.

IP dan MAC (Media Access Control) address merupakan elemen dalam protokol ARP yang digunakan untuk pengalamatan dalam jaringan komputer. Ketika satu komputer masuk ke dalam jaringan, ia akan mengumumkan kehadirannya kepada semua komputer dalam jaringan (melakukan broadcast) melalui nomor IP dan MAC address-nya, atau sering disebut dengan istilah hardware address. Address Resolution Protocol Informasi tentang MAC address akan disimpan dalam keping RAM (Random Access Memory) dan sifatnya temporer dengan umurnya yang hanya dua menit, namun dapat diperbarui. Ruang simpan dalam RAM ini disebut ARP (Address Resolution Protocol) cache. ARP akan selalu memeriksa ARP cache. Jika ARP berhasil menemukan nomor IP tetapi tidak menemukan MAC address pasangannya, maka ARP akan mengirim request ke jaringan. Prinsip dari ARP adalah tidak boleh ada lebih dari satu nomor IP memakai satu MAC address yang sama. Jadi, kita tidak bisa menggunakan nomor IP yang sedang dipakai oleh komputer lain.

ARP Poison Routing tidak akan bisa dicegah oleh firewall apapun di komputer korban. dapat meyebabkan ARP Poison Routing denial of service (dos) pada salah satu / semua komputer pada network. Jika Anda tidak mengenal masalah apapun dalam TCP / IP konfigurasi, tentukanlah apakah komputer dapat terhubung ke komputer lainnya host pada TCP / IP jaringan.