Interogasi DNS – melihat mesin di domain sasaran
Onno W. Purbo
Sesudah melakukan network
enumeration menggunakan perintah “whois” langkah selanjutnya yang akan banyak
membantu mengidentifikasi semua domain yang berada di bawah organisasi sasaran
adalah dengan mengambil infomrasi Domain Name System (DNS). DNS pada dasarnya
sebuah basisdata yang terdistribusi yang melakukan pemetaan antara alamat IP
dengan nama domain & sebaliknya.
Jika DNS tidak dikonfigurasi
dengan baik (aman), maka akan sangat mungkin untuk melihat informasi tentang
organisasi di dalamnya. Salah satu kesalahan paling fatal yang sering dilakukan
oleh sistem administrator adalah mengijinkan pengguna internet yang tidak bisa
dipercaya untuk melakukan zone transfer.
Zone transfer adalah fasilitas di
DNS untuk mentransfer seluruh informasi tentang domain yang akan menjadi
sasaran tembak. Jika anda berhasil memperoleh informasi seluruh domain
tersebut, beberapa informasi yang akan
membantu anda adalah entry:
HINFO
– yang memberikan informasi tentang mesin
yang digunakan.
MX
– mesin perantara yang menerima e-mail untuk domain tersebut.
Selain beberapa informasi lainnya
tentang pemetaan alamat IP dengan hostname.
Salah satu cara yang mungkin agak
mudah untuk melakukan zone transfer, pada masa lalu, bisa dilakukan dengan
mudah menggunakan perangkat lunak nslookup dengan perintah ls. Hanya saja,
nslookup yang ada pada saat ini biasanya sudah tidak lagi dilengkapi dengan
perintah ls, karena sering di salahgunakan untuk melakukan zone transfer yang
diperlukan pada saat melalukan footprinting sebelum serangan di lakukan.
Alternatif lain yang dapat
digunakan adalah menggunakan software dig & host. Sebagai contoh, dibawah
ini adalah hasil interogasi DNS dari domain telkom.co.id mengunakan perintah
host –l –v –t any.
[root@gate
onno]# host -l -v -t any telkom.co.id
Trying
"telkom.co.id."
;;
->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40309
;;
flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 3, ADDITIONAL: 5
;;
QUESTION SECTION:
;telkom.co.id. IN ANY
;;
ANSWER SECTION:
telkom.co.id. 65237 IN
MX 5 in-mta1.telkom.co.id.
telkom.co.id. 65237 IN
MX 10 in-mta2.telkom.co.id.
telkom.co.id. 61859 IN
A 202.134.2.15
telkom.co.id. 79371 IN
NS ns3.telkom.co.id.
telkom.co.id. 79371 IN
NS ns1.telkom.co.id.
telkom.co.id. 79371 IN
NS ns2.telkom.co.id.
;;
AUTHORITY SECTION:
telkom.co.id. 79371 IN
NS ns3.telkom.co.id.
telkom.co.id. 79371 IN
NS ns1.telkom.co.id.
telkom.co.id. 79371 IN
NS ns2.telkom.co.id.
;;
ADDITIONAL SECTION:
in-mta1.telkom.co.id. 65237
IN A 202.134.0.196
in-mta2.telkom.co.id. 65237
IN A 202.134.0.197
ns1.telkom.co.id. 79371
IN A 202.134.0.155
ns2.telkom.co.id. 79371
IN A 202.134.2.5
ns3.telkom.co.id. 79371
IN A 202.134.1.10
Received
270 bytes from 202.159.33.2#53 in 883 ms
Atau
kalau anda ingin men-safe hasil interogasi-nya ke dalam file agar memudahkan
untuk mengevaluasi dikemudian hari, dapat di redirect menggunakan perintah >
[root@gate
onno]# host -l -v -t any telkom.co.id > zone_telkom.co.id
Kebetulan
tidak banyak informasi yang dapat diperoleh dari hasil query tentang
telkom.co.id. Ada beberapa entry MX, NS & A yang diperoleh dari query DNS
telkom.co.id. Beberapa inti informasi tersebut adalah:
- MX berisi informasi
tentang Mail Exchange, tempat e-mail dikirim ke domain tersebut.
- NS berisi informasi
tentang mesin yang berfungsi membawa semua informasi DNS domain
telkom.co.id.
- A adalah alamat IP dari
mesin yang dimaksud.
Dengan
minimalnya informasi, paling tidak yang kita ketahui bahwa:
- ada dua (2) mesin utama
yang berfungsi sebagai MX untuk domain telkom.co.id yaitu
in-mta1.telkom.co.id & in-mta2.telkom.co.id.
- Tampaknya mesin-mesin
utama telkom.co.id berada di alamat IP keluarga 20.134.0.x.
- Tampaknya keluarga
202.134.1.x & 202.134.2.x juga perlu di evaluasi karena ada beberapa
mesin penting di sana.
- Tidak ada informasi
HINFO, jadi kita tidak bisa melihat secara langsung mesin / sistem operasi
apa yang digunakan oleh Telkom.
Mungkin
akan menarik jika kita scan / petakan semua mesin yang berada di alamat IP
202.134.0.x s/d 202.134.2.x karena akan memperlihatkan semua mesin penting yang
akan mendukung kerja telkom.co.id termasuk anak-anak perusahaannya; kemungkinan
besar termasuk telkom.net.id, plasa.com dll.
Jika
kita ingin melihat alamat IP yang spesifik dapat juga dilakukan menggunakan
program host / dig, sebagai contoh disini diperlihatkan pada saat melakukan
query tentang www.telkom.co.id melalui
perintah dig.
[root@gate
onno]# dig www.telkom.co.id
;
<<>> DiG 9.1.1 <<>> www.telkom.co.id
;;
global options: printcmd
;;
Got answer:
;;
->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36787
;;
flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3
;;
QUESTION SECTION:
;www.telkom.co.id. IN A
;;
ANSWER SECTION:
www.telkom.co.id. 39899
IN A 202.134.2.15
;;
AUTHORITY SECTION:
telkom.co.id. 79239 IN
NS ns2.telkom.co.id.
telkom.co.id. 79239 IN
NS ns3.telkom.co.id.
telkom.co.id. 79239 IN
NS ns1.telkom.co.id.
;;
ADDITIONAL SECTION:
ns1.telkom.co.id. 79239
IN A 202.134.0.155
ns2.telkom.co.id. 79239
IN A 202.134.2.5
ns3.telkom.co.id. 79239 IN
A 202.134.1.10
;;
Query time: 303 msec
;;
SERVER: 202.159.33.2#53(202.159.33.2)
;;
WHEN: Fri Aug 10 08:07:42 2001
;;
MSG SIZE rcvd: 152
Dari informasi ini diperoleh
informasi bahwa www.telkom.co.id berada
dalam daerah alamat IP 202.134.2.x, jadi betul prediksi di atas bahwa
mesin-mesin di daerah 202.134.0.x s/d 202.134.2.x akan membawa beberapa mesin
penting untuk operasional telkom.co.id & berbagai anak perusahaan di
bawahnya.
|