Sesudahmelakukan network enumeration menggunakan perintah “whois” langkah selanjutnyayang akan banyak membantu mengidentifikasi semua domain yang berada di bawahorganisasi sasaran adalah dengan mengambil infomrasi Domain Name System (DNS).DNS pada dasarnya sebuah basisdata yang terdistribusi yang melakukan pemetaan antaraalamat IP dengan nama domain & sebaliknya.
JikaDNS tidak dikonfigurasi dengan baik (aman), maka akan sangat mungkin untukmelihat informasi tentang organisasi di dalamnya. Salah satu kesalahan palingfatal yang sering dilakukan oleh sistem administrator adalah mengijinkanpengguna internet yang tidak bisa dipercaya untuk melakukan zone transfer.
Zonetransfer adalah fasilitas di DNS untuk mentransfer seluruh informasi tentangdomain yang akan menjadi sasaran tembak. Jika anda berhasil memperoleh informasiseluruh domain tersebut, beberapainformasi yang akan membantu anda adalah entry:
HINFO – yang memberikan informasitentang mesin yang digunakan.
MX – mesin perantara yang menerimae-mail untuk domain tersebut.
Selainbeberapa informasi lainnya tentang pemetaan alamat IP dengan hostname.
Salahsatu cara yang mungkin agak mudah untuk melakukan zone transfer, pada masalalu, bisa dilakukan dengan mudah menggunakan perangkat lunak nslookup denganperintah ls. Hanya saja, nslookup yang ada pada saat ini biasanya sudah tidaklagi dilengkapi dengan perintah ls, karena sering di salahgunakan untukmelakukan zone transfer yang diperlukan pada saat melalukan footprintingsebelum serangan di lakukan.
Alternatiflain yang dapat digunakan adalah menggunakan software dig & host. Sebagaicontoh, dibawah ini adalah hasil interogasi DNS dari domain telkom.co.idmengunakan perintah host –l –v –t any.
[root@gate onno]# host -l -v -t any telkom.co.id
Trying "telkom.co.id."
;; ->>HEADER<<- opcode: QUERY, status:NOERROR, id: 40309
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY:3, ADDITIONAL: 5
;; QUESTION SECTION:
;telkom.co.id. IN ANY
;; ANSWER SECTION:
telkom.co.id. 65237 IN MX 5 in-mta1.telkom.co.id.
telkom.co.id. 65237 IN MX 10 in-mta2.telkom.co.id.
telkom.co.id. 61859 IN A 202.134.2.15
telkom.co.id. 79371 IN NS ns3.telkom.co.id.
telkom.co.id. 79371 IN NS ns1.telkom.co.id.
telkom.co.id. 79371 IN NS ns2.telkom.co.id.
;; AUTHORITY SECTION:
telkom.co.id. 79371 IN NS ns3.telkom.co.id.
telkom.co.id. 79371 IN NS ns1.telkom.co.id.
telkom.co.id. 79371 IN NS ns2.telkom.co.id.
;; ADDITIONAL SECTION:
in-mta1.telkom.co.id. 65237 IN A 202.134.0.196
in-mta2.telkom.co.id. 65237 IN A 202.134.0.197
ns1.telkom.co.id. 79371 IN A 202.134.0.155
ns2.telkom.co.id. 79371 IN A 202.134.2.5
ns3.telkom.co.id. 79371 IN A 202.134.1.10
Received 270 bytes from 202.159.33.2#53 in 883 ms
Atau kalau anda ingin men-safe hasil interogasi-nya ke dalam file agarmemudahkan untuk mengevaluasi dikemudian hari, dapat di redirect menggunakanperintah >
[root@gate onno]# host -l -v -t any telkom.co.id> zone_telkom.co.id
Kebetulan tidak banyak informasi yang dapat diperoleh dari hasil querytentang telkom.co.id. Ada beberapa entry MX, NS & A yang diperoleh dariquery DNS telkom.co.id. Beberapa inti informasi tersebut adalah:
- MX berisi informasi tentang Mail Exchange, tempat e-mail dikirim ke domain tersebut.
- NS berisi informasi tentang mesin yang berfungsi membawa semua informasi DNS domain telkom.co.id.
- A adalah alamat IP dari mesin yang dimaksud.
Dengan minimalnya informasi, paling tidak yang kita ketahui bahwa:
- ada dua (2) mesin utama yang berfungsi sebagai MX untuk domain telkom.co.id yaitu in-mta1.telkom.co.id & in-mta2.telkom.co.id.
- Tampaknya mesin-mesin utama telkom.co.id berada di alamat IP keluarga 20.134.0.x.
- Tampaknya keluarga 202.134.1.x & 202.134.2.x juga perlu di evaluasi karena ada beberapa mesin penting di sana.
- Tidak ada informasi HINFO, jadi kita tidak bisa melihat secara langsung mesin / sistem operasi apa yang digunakan oleh Telkom.
Mungkin akan menarik jika kita scan / petakan semua mesin yang beradadi alamat IP 202.134.0.x s/d 202.134.2.x karena akan memperlihatkan semua mesinpenting yang akan mendukung kerja telkom.co.id termasuk anak-anakperusahaannya; kemungkinan besar termasuk telkom.net.id, plasa.com dll.
Jika kita ingin melihat alamat IP yang spesifik dapat juga dilakukanmenggunakan program host / dig, sebagai contoh disini diperlihatkan pada saatmelakukan query tentang www.telkom.co.idmelalui perintah dig.
[root@gate onno]# dig www.telkom.co.id
; <<>> DiG 9.1.1 <<>>www.telkom.co.id
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status:NOERROR, id: 36787
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY:3, ADDITIONAL: 3
;; QUESTION SECTION:
;www.telkom.co.id. IN A
;; ANSWER SECTION:
www.telkom.co.id. 39899 IN A 202.134.2.15
;; AUTHORITY SECTION:
telkom.co.id. 79239 IN NS ns2.telkom.co.id.
telkom.co.id. 79239 IN NS ns3.telkom.co.id.
telkom.co.id. 79239 IN NS ns1.telkom.co.id.
;; ADDITIONAL SECTION:
ns1.telkom.co.id. 79239 IN A 202.134.0.155
ns2.telkom.co.id. 79239 IN A 202.134.2.5
ns3.telkom.co.id. 79239 IN A 202.134.1.10
;; Query time: 303 msec
;; SERVER: 202.159.33.2#53(202.159.33.2)
;; WHEN: Fri Aug 10 08:07:42 2001
;; MSG SIZE rcvd: 152
Dariinformasi ini diperoleh informasi bahwa www.telkom.co.id beradadalam daerah alamat IP 202.134.2.x, jadi betul prediksi di atas bahwamesin-mesin di daerah 202.134.0.x s/d 202.134.2.x akan membawa beberapa mesinpenting untuk operasional telkom.co.id & berbagai anak perusahaan dibawahnya.
Tidak ada komentar:
Posting Komentar