Anda mungkin pernah mendengar spesialis keamanan siber menyebutkan bagaimana mereka menggunakan rekaman Sistem Nama Domain (DNS) untuk melacak penyerang atau bagaimana administrator situs web menggunakannya untuk mengelola properti web perusahaan mereka (misalnya, halaman web dan sebagainya). Namun, mungkin tidak semua orang tahu apa sebenarnya DNS itu, tempat penyimpanan rekaman DNS (misalnya, basis data DNS historis seperti ini), dan untuk apa data DNS digunakan. Artikel ini menjelaskan beberapa topik tersebut.
Apa itu Sistem Nama Domain?
DNS hampir selalu disebut sebagai buku telepon Internet. Mengapa? Karena menerjemahkan nama domain (misalnya, perusahaan)[.]com) menjadi alamat IP (misalnya, 1[.]255[.]3[.]253 atau 2001[:]0db8[:]85a3[:]0000[:]0000[:]8a2e[:]0370[:]7334). Dengan cara ini, pengguna yang ingin mengakses konten perusahaan[.]com dibawa ke halaman yang tepat.
Anda mungkin bertanya-tanya mengapa DNS diperlukan, dan jawabannya cukup sederhana. Manusia lebih mudah mengingat nama domain seperti perusahaan[.]com bukan alamat IP seperti 1[.]255[.]3[.]253 atau 2001[:]0db8[:]85a3[:]0000[:]0000[:]8a2e[:]0370[:]7334. Namun, peramban web menggunakan alamat IP untuk berinteraksi dengan komputer atau server. Dengan demikian, DNS bertindak sebagai penghubung antara manusia dan komputer sehingga keduanya mendapatkan apa yang mereka inginkan.
Apa itu Basis Data DNS Historis?
Mirip seperti buku telepon fisik yang didistribusikan ke semua pelanggan layanan telepon rumah di masa lalu, nama domain dan alamat IP terkaitnya perlu disimpan di suatu tempat sehingga pengguna diarahkan ke mana pun mereka ingin pergi di Web. Itulah DNS, yang merupakan semacam basis data. Namun, DNS berbeda dari basis data DNS historis yang ditawarkan berbagai vendor intelijen. Bagaimana caranya?
DNS berisi semua rekaman DNS terkini dari setiap nama domain. Sementara itu, basis data DNS historis mencatat semua alamat IP yang menjadi tujuan penyelesaian nama domain selama periode waktu tertentu, tergantung pada seberapa lama vendor tertentu telah menjelajahi Web untuk mendapatkan data DNS. Mari kita lihat contoh untuk memperjelas hal-hal tersebut.
Ucapkan nama perusahaan domain[.]com digunakan untuk menyelesaikan ke alamat IP 1[.]2[.]3[.]4. Perusahaan tersebut harus mengganti penyedia layanan internet (ISP) setelah 3 tahun, ketika kantornya pindah ke negara lain. Alamat IP barunya adalah 1[.]255[.]3[.]253. Sebuah database DNS historis yang telah mengumpulkan data selama beberapa tahun, oleh karena itu, akan memberikan pengguna dua alamat IP untuk perusahaan[.]com, yang mana 1[.]2[.]3[.]4 dan 1[.]255[.]3[.]Nomor telepon 253.
Sebagai ilustrasi, berikut adalah tangkapan layar entri dari database DNS historis:
Perhatikan jumlah alamat IP yang bervariasi di kolom paling kanan yang ditunjuk oleh setiap domain di kolom paling kiri. Tidak semua alamat IP tersebut adalah yang terbaru, beberapa mungkin sudah tidak digunakan lagi.
Data Apa yang Terkandung dalam Basis Data DNS Historis?
Basis data DNS historis untuk rekaman A (yaitu, yang menentukan resolusi domain dan IP) memiliki tiga kolom yang dijelaskan lebih rinci di bawah ini.
Nama domain
Kolom pertama berisi nama domain yang dikumpulkan selama periode tertentu (misalnya, harian, mingguan, bulanan, atau seiring waktu). Domain dalam basis data diakses oleh pengguna mana pun dalam periode waktu tersebut dan diselesaikan ke alamat IP yang ditunjukkan.
Dalam contoh entri database DNS ini, nama domainnya adalah anguillavillarental[.]kom.
Cap Waktu
Kolom kedua berisi tanggal dan waktu tertentu saat domain terakhir diakses. Data dinyatakan dalam format UNIX, yang dapat dengan mudah diubah menjadi stempel tanggal dan waktu yang dapat dibaca manusia di zona waktu pilihan Anda menggunakan konverter seperti Epoch Converter.
Dalam contoh yang sama di atas, tanggal dan waktu adalah 1625204923. Jika dikonversi, hasilnya adalah 2 Juli 2023 5:48:43 AM GMT.
Alamat IP
Kolom ketiga mencantumkan semua alamat IP yang ditunjuk domain selama periode tertentu. Selalu ada setidaknya satu alamat IP di kolom ini karena semua perangkat yang terhubung ke Internet (bahkan komputer atau server yang menjadi host situs) memerlukannya.
Dalam contoh yang sama, untuk minggu yang berakhir pada 26 Juli 202, anguillavillarental[.]com diselesaikan menjadi tiga alamat IP:
3[.]129[.]36[.]197
3[.]130[.]59[.]139
3[.]135[.]153[.]232
Jenis catatan lainnya juga dapat tersedia sebagai bagian dari basis data DNS historis seperti catatan Basis Data Nama Kanonik (CNAME), penukar surat elektronik (MX), nameserver (NS), Awal Otoritas (SOA), dan TXT.
Apa Gunanya Data Basis Data DNS?
Data DNS sangat membantu dalam keamanan siber. Secara khusus, data ini memberikan manfaat berikut.
Perluasan Daftar IoC
Jika Anda seorang pemburu ancaman profesional, Anda dapat menggunakan data DNS untuk mengungkap asosiasi ancaman berdasarkan domain atau alamat IP. Jadi, jika Anda memiliki daftar indikator kompromi (IoC) yang berisi domain dan ingin memastikan Anda memblokir semua vektor ancaman yang mungkin, Anda dapat mencari domain tertentu dari basis data DNS dan memblokir semua alamat IP yang terhubung dengannya.
Katakanlah daftar IoC Anda berisi akun domain berbahaya-paypalinfo[.]com, database DNS akan memberi tahu Anda bahwa itu terhubung ke alamat IP 34[.]98[.]99[.]30.
Mengetahui bahwa, selain memblokir akses ke dan dari akun-paypalinfo[.]com, Anda juga harus memblokir akses ke dan dari 34[.]98[.]99[.]30. Anda juga dapat menggunakan NS berbahaya dari basis data NS sebagai titik awal untuk menambahkan artefak atau IoC ke daftar blokir Anda saat ini.
Peningkatan Solusi Keamanan Siber
Tidak banyak solusi anti-malware yang dapat menghubungkan properti web satu sama lain dengan akurasi 100%. Sama seperti cara Anda menggunakan basis data DNS untuk perburuan ancaman atau perluasan daftar IoC, Anda dapat memperluas kemampuan solusi keamanan siber Anda dengan mengintegrasikan data DNS ke dalamnya. Dengan begitu, solusi tersebut tidak hanya akan memblokir akses ke dan dari IoC, pada daftar yang Anda masukkan ke dalamnya, tetapi juga alamat IP yang terhubung (dengan domain) atau domain (dengan alamat IP). Itu akan meningkatkan pertahanan Anda terhadap semua jenis ancaman.
Manajemen Permukaan Serangan
Hampir sama seperti Anda menggunakan basis data DNS untuk memperluas daftar IoC, Anda juga dapat menggunakannya untuk memastikan semua properti digital Anda diamankan dengan baik. Anda dapat mencari semua domain atau alamat IP Anda di sana. Setelah mengidentifikasi semua aset Anda, Anda dapat memeriksa apakah semua catatan DNS domain sudah mutakhir dan mengarah ke alamat IP yang benar (artinya, pelaku ancaman tidak mengarahkan mereka ke alamat IP jahat yang berada di bawah kendali mereka).
Anda juga dapat memeriksa semua domain dan alamat IP Anda pada daftar blokir untuk memastikan tidak ada satu pun yang terdeteksi sebagai berbahaya. Jika ada yang terdeteksi, Anda dapat mengubah sumber daya ini untuk melindungi reputasi domain Anda.
Anda juga dapat memeriksa file umpan basis data DNS historis lainnya (CNAME, MX, NS, SOA, dan TXT) untuk menemukan semua properti web Anda (bahkan yang menggantung, terlupakan, atau tidak digunakan) sehingga Anda dapat memperbarui rekamannya untuk memastikan bahwa properti tersebut tidak menunjuk ke aset digital yang bukan milik Anda atau menonaktifkannya (menghapusnya secara permanen dari DNS) sehingga pelaku ancaman tidak dapat menggunakannya dalam serangan pengambilalihan domain.
Anda baru saja mempelajari tentang DNS dan basis data DNS serta kegunaan praktisnya. Meskipun pada dasarnya dibuat untuk tujuan keamanan siber, basis data DNS juga berguna untuk perlindungan merek dan pengumpulan intelijen pasar.