Interogasi DNS ( Melihat Mesin di Domain Sasaran )

Sesudah melakukan network enumeration menggunakan perintah “whois” langkah selanjutnya yang akan banyak membantu mengidentifikasi semua domain yang berada di bawah organisasi sasaran adalah dengan mengambil infomrasi Domain Name System (DNS). DNS pada dasarnya sebuah basisdata yang terdistribusi yang melakukan pemetaan antara alamat IP dengan nama domain & sebaliknya.

Jika DNS tidak dikonfigurasi dengan baik (aman), maka akan sangat mungkin untuk melihat informasi tentang organisasi di dalamnya. Salah satu kesalahan paling fatal yang sering dilakukan oleh sistem administrator adalah mengijinkan pengguna internet yang tidak bisa dipercaya untuk melakukan zone transfer.

Zone transfer adalah fasilitas di DNS untuk mentransfer seluruh informasi tentang domain yang akan menjadi sasaran tembak. Jika anda berhasil memperoleh informasi seluruh domain tersebut,  beberapa informasi yang akan membantu anda adalah entry:

            HINFO – yang memberikan informasi tentang mesin  yang digunakan.

            MX – mesin perantara yang menerima e-mail untuk domain tersebut.

Selain beberapa informasi lainnya tentang pemetaan alamat IP dengan hostname.

Salah satu cara yang mungkin agak mudah untuk melakukan zone transfer, pada masa lalu, bisa dilakukan dengan mudah menggunakan perangkat lunak nslookup dengan perintah ls. Hanya saja, nslookup yang ada pada saat ini biasanya sudah tidak lagi dilengkapi dengan perintah ls, karena sering di salahgunakan untuk melakukan zone transfer yang diperlukan pada saat melalukan footprinting sebelum serangan di lakukan.

Alternatif lain yang dapat digunakan adalah menggunakan software dig & host. Sebagai contoh, dibawah ini adalah hasil interogasi DNS dari domain telkom.co.id mengunakan perintah host –l –v –t any.

[root@gate onno]# host -l -v -t any telkom.co.id

Trying "telkom.co.id."

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40309

;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 3, ADDITIONAL: 5

;; QUESTION SECTION:

;telkom.co.id.                  IN      ANY

;; ANSWER SECTION:

telkom.co.id.           65237   IN      MX      5 in-mta1.telkom.co.id.

telkom.co.id.           65237   IN      MX      10 in-mta2.telkom.co.id.

telkom.co.id.           61859   IN      A       202.134.2.15

telkom.co.id.           79371   IN      NS      ns3.telkom.co.id.

telkom.co.id.           79371   IN      NS      ns1.telkom.co.id.

telkom.co.id.           79371   IN      NS      ns2.telkom.co.id.

;; AUTHORITY SECTION:

telkom.co.id.           79371   IN      NS      ns3.telkom.co.id.

telkom.co.id.           79371   IN      NS      ns1.telkom.co.id.

telkom.co.id.           79371   IN      NS      ns2.telkom.co.id.

;; ADDITIONAL SECTION:

in-mta1.telkom.co.id.   65237   IN      A       202.134.0.196

in-mta2.telkom.co.id.   65237   IN      A       202.134.0.197

ns1.telkom.co.id.       79371   IN      A       202.134.0.155

ns2.telkom.co.id.       79371   IN      A       202.134.2.5

ns3.telkom.co.id.       79371   IN      A       202.134.1.10

Received 270 bytes from 202.159.33.2#53 in 883 ms

Atau kalau anda ingin men-safe hasil interogasi-nya ke dalam file agar memudahkan untuk mengevaluasi dikemudian hari, dapat di redirect menggunakan perintah >

[root@gate onno]# host -l -v -t any telkom.co.id > zone_telkom.co.id

Kebetulan tidak banyak informasi yang dapat diperoleh dari hasil query tentang telkom.co.id. Ada beberapa entry MX, NS & A yang diperoleh dari query DNS telkom.co.id. Beberapa inti informasi tersebut adalah:

• MX berisi informasi tentang Mail Exchange, tempat e-mail dikirim ke domain tersebut.
• NS berisi informasi tentang mesin yang berfungsi membawa semua informasi DNS domain telkom.co.id.
• A adalah alamat IP dari mesin yang dimaksud.

Dengan minimalnya informasi, paling tidak yang kita ketahui bahwa:

• ada dua (2) mesin utama yang berfungsi sebagai MX untuk domain telkom.co.id yaitu in-mta1.telkom.co.id & in-mta2.telkom.co.id.
• Tampaknya mesin-mesin utama telkom.co.id berada di alamat IP keluarga 20.134.0.x.
• Tampaknya keluarga 202.134.1.x & 202.134.2.x juga perlu di evaluasi karena ada beberapa mesin penting di sana.
• Tidak ada informasi HINFO, jadi kita tidak bisa melihat secara langsung mesin / sistem operasi apa yang digunakan oleh Telkom.

Mungkin akan menarik jika kita scan / petakan semua mesin yang berada di alamat IP 202.134.0.x s/d 202.134.2.x karena akan memperlihatkan semua mesin penting yang akan mendukung kerja telkom.co.id termasuk anak-anak perusahaannya; kemungkinan besar termasuk telkom.net.id, plasa.com dll.

Jika kita ingin melihat alamat IP yang spesifik dapat juga dilakukan menggunakan program host / dig, sebagai contoh disini diperlihatkan pada saat melakukan query tentang www.telkom.co.id melalui perintah dig.

[root@gate onno]# dig www.telkom.co.id

; <<>> DiG 9.1.1 <<>> www.telkom.co.id

;; global options:  printcmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36787

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3

;; QUESTION SECTION:

;www.telkom.co.id.              IN      A

;; ANSWER SECTION:

www.telkom.co.id.       39899   IN      A       202.134.2.15

;; AUTHORITY SECTION:

telkom.co.id.           79239   IN      NS      ns2.telkom.co.id.

telkom.co.id.           79239   IN      NS      ns3.telkom.co.id.

telkom.co.id.           79239   IN      NS      ns1.telkom.co.id.

;; ADDITIONAL SECTION:

ns1.telkom.co.id.       79239   IN      A       202.134.0.155

ns2.telkom.co.id.       79239   IN      A       202.134.2.5

ns3.telkom.co.id.       79239   IN      A       202.134.1.10

;; Query time: 303 msec

;; SERVER: 202.159.33.2#53(202.159.33.2)

;; WHEN: Fri Aug 10 08:07:42 2001

;; MSG SIZE  rcvd: 152

Dari informasi ini diperoleh informasi bahwa www.telkom.co.id berada dalam daerah alamat IP 202.134.2.x, jadi betul prediksi di atas bahwa mesin-mesin di daerah 202.134.0.x s/d 202.134.2.x akan membawa beberapa mesin penting untuk operasional telkom.co.id & berbagai anak perusahaan di bawahnya.