DETEKSI DNS TUNNELING DENGAN ELASTICSEARCH

Abstract

Protokol Domain Name System (DNS) merupakan media yang cukup populer yang digunakan oleh malware untuk melakukan command and control dalam mengendalikan komputer korban, teknik ini dinamakan sebagai DNS tunneling. Selain itu DNS tunneling juga dapat digunakan untuk bypass captive portal hotspot di tempat umum, dan memperburuk kualitas jaringan, namun yang lebih berbahaya adalah eksfiltrasi data melalui protokol DNS, protokol DNS yang seharusnya digunakan untuk mentranslasikan nama domain, dipergunakan untuk mengirimkan data, inilah kelemahan yang dimanfaatkan oleh penyerang untuk mengelabui Administrator jaringan. Pendekatan yang kami lakukan untuk permasalahan ini adalah dengan melakukan traffic analysis menggunakan unique hostname sebagai indicator of compromise dengan tool Elasticsearch untuk membantu Administrator jaringan dalam mengamankan jaringan dari DNS tunneling. Dalam penelitian ini kami melakukan empat simulasi, yakni simulasi tanpa DNS tunneling, simulasi menggunakan tool Iodine, simulasi menggunakan tool Dnscat2, dan simulasi menggunakan malware DNSExfiltrator. Output deteksi DNS tunnel akan kami gunakan untuk memblokir DNS tunnel dengan DNS sinkhole. kami juga menguji kualitas jaringan untuk membuktikan apakah DNS tunneling mempengaruhi performa jaringan. Hasil penelitian traffic analysis dengan menghitung unique hostname sebagai indikator terjadinya DNS Tunneling menggunakan Elasticsearch berhasil mendeteksi adanya kegiatan yang mengindikasikan terjadinya DNS tunneling dan dapat memberi notifikasi berupa email kepada Administrator Jaringan. Output nama domain dari hasil pendeteksian kami masukkan sebagai daftar blacklist DNS sinkhole, dan hasilnya nama domain tersebut tidak bisa melakukan DNS tunneling. DNS tunneling dapat memperburuk kualitas jaringan tidak terbukti pada penelitian yang kami lakukan. Sehingga performa jaringan tidak bisa dijadikan sebagai indikator terjadinya DNS tunneling.