Bagaimana Cara Kerja Riwayat DNS?

Anda mungkin telah mendengar beberapa kali bahwa Domain Name System (DNS) adalah buku telepon Internet, karena menunjuk kami ke alamat virtual situs web. Tapi bagaimana dengan riwayat DNS? Lagi pula, tidak ada yang namanya buku telepon yang menyimpan nomor telepon dan alamat seseorang di masa lalu.

Untuk memahami cara kerja riwayat DNS, kita harus mulai dengan dasar-dasarnya dan mempelajari apa itu DNS.

Apa itu DNS?

DNS adalah sistem penamaan terdesentralisasi dan terorganisir untuk perangkat yang terhubung ke jaringan apa pun, termasuk Internet. Fungsi utamanya adalah menerjemahkan nama domain ke ekuivalen numeriknya, satu-satunya bahasa yang dipahami oleh komputer (yaitu, alamat Protokol Internet [IP]).

DNS memastikan bahwa semua nama domain dapat dicapai dengan menyelesaikannya ke alamat IP. Tidak masalah jika Anda mengetikkan situs web yang paling banyak dikunjungi atau yang baru dibuat di browser Anda, komputer Anda akan mengirim kueri DNS ke server DNS dan mendapatkan alamat IP situs web.

Batasan Data DNS

DNS dibuat pada hari-hari awal Internet ketika penggunaan globalnya masih belum terbayangkan. Ini hanya berkaitan dengan koneksi saat ini dan aktif dan tidak benar-benar memperhatikan alamat IP apa nama domain yang diselesaikan di masa lalu.

Tetapi ketika Internet meledak dan menjadi rumah tangga yang penting, kejahatan siber juga menjadi merajalela. Untuk alasan ini, para ahli menemukan kebutuhan untuk melihat ke dalamsejarah DNS , dan teknologi DNS pasif lahir.

Apa itu Riwayat DNS dan Bagaimana Cara Kerjanya?

Riwayat DNS merujuk ke data yang diperoleh dari database DNS pasif, tempat resolusi sebelumnya disimpan. Catatan DNS historis lainnya, seperti server dan server server pertukaran email (MX) dan server nama (NSs) juga dapat ditemukan di database.

Di antara wawasan yang bisa kita dapatkan dari riwayat DNS adalah:

Perubahan dalam resolusi alamat IP domain

NS sebelumnya yang digunakan oleh domain

Server MX domain yang digunakan di masa lalu

Melalui alat seperti Reverse IP Lookup yang glean data dari database DNS pasif, Anda juga dapat melihat nama domain yang pernah diselesaikan atau masih menyelesaikan ke alamat IP.

Untuk tujuan ilustrasi, mari kita cari domain yang diselesaikan ke 128[.] 199[.] 42[.] 106. Perhatikan bahwa alamat IP ini telah dilaporkan di AbuseIPDB lebih dari seribu kali untuk serangan brute-force. Alat pencarian IP terbalik mengembalikan ketiga domain ini yang diselesaikan ke alamat IP:

teamspeeder[.] Dengan

teamspeeder[.] Min

kaneki[.] Saya

Alamat IP lainnya mungkin tersambung ke ratusan domain dan subdomain, seperti Google 8[.] 8[.] 8[.] 8, yang mengembalikan ribuan nama domain.

Bagaimana Riwayat DNS Digunakan?

Database DNS pasif, di mana data DNS historis diperoleh, lahir dari kebutuhan untuk mengatasi beberapa batasan DNS. Dengan demikian, riwayat DNS digunakan untuk menyelidiki insiden cyber dan membantu memetakan jejak domain berbahaya.

Misalnya, kami memiliki dua alamat IP yang ditandai dalam kampanye malvertising Fobos—216[.] 58[.] 206[.] 78 dan 188[.] 225[.] 27[.] 122. Riwayat DNS menunjukkan bahwa nama domain ini telah diselesaikan ke alamat IP:

l4755b19[.] baru saja diinstalpanel[.] Dengan

rbt-m[.] Ru

lhr35s11-in-f14[.] 1e100[.] Bersih

mil07s08-in-f14[.] 1e100[.] Bersih

Berbagai subdomain dari justinstalledpanel[.] com telah terlihat dalam beberapa kampanye malware, yang dapat mengisyaratkan bahwa kelompok aktor ancaman yang sama bisa berada di belakang beberapa dari mereka. Domain itu sendiri telah dilaporkan untuk phishing, spamming, dan aktivitas berbahaya lainnya di VirusTotal.

Kesimpulan

DNS adalah bagian integral dari cara kerja Internet, sehingga dapat menggali riwayat DNS telah membuat Web lebih transparan. Meskipun kemampuannya relatif baru, DNS pasif memungkinkan tim keamanan siber untuk mengatasi aktivitas berbahaya. Selain itu, catatan DNS historis juga dapat membantu organisasi memulihkan data zona, saat data tersebut dimodifikasi secara tidak sengaja atau berbahaya.

Share :