DETEKSI DNS TUNNELING DENGAN ELASTICSEARCH
Abstract
Protokol Domain Name System (DNS) merupakan media yang cukup populer yang
digunakan oleh malware untuk melakukan command and control dalam mengendalikan
komputer korban, teknik ini dinamakan sebagai DNS tunneling. Selain itu DNS tunneling
juga dapat digunakan untuk bypass captive portal hotspot di tempat umum, dan
memperburuk kualitas jaringan, namun yang lebih berbahaya adalah eksfiltrasi data
melalui protokol DNS, protokol DNS yang seharusnya digunakan untuk mentranslasikan
nama domain, dipergunakan untuk mengirimkan data, inilah kelemahan yang
dimanfaatkan oleh penyerang untuk mengelabui Administrator jaringan. Pendekatan yang
kami lakukan untuk permasalahan ini adalah dengan melakukan traffic analysis
menggunakan unique hostname sebagai indicator of compromise dengan tool Elasticsearch
untuk membantu Administrator jaringan dalam mengamankan jaringan dari DNS
tunneling.
Dalam penelitian ini kami melakukan empat simulasi, yakni simulasi tanpa DNS
tunneling, simulasi menggunakan tool Iodine, simulasi menggunakan tool Dnscat2, dan
simulasi menggunakan malware DNSExfiltrator. Output deteksi DNS tunnel akan kami
gunakan untuk memblokir DNS tunnel dengan DNS sinkhole. kami juga menguji kualitas
jaringan untuk membuktikan apakah DNS tunneling mempengaruhi performa jaringan.
Hasil penelitian traffic analysis dengan menghitung unique hostname sebagai
indikator terjadinya DNS Tunneling menggunakan Elasticsearch berhasil mendeteksi
adanya kegiatan yang mengindikasikan terjadinya DNS tunneling dan dapat memberi
notifikasi berupa email kepada Administrator Jaringan. Output nama domain dari hasil
pendeteksian kami masukkan sebagai daftar blacklist DNS sinkhole, dan hasilnya nama
domain tersebut tidak bisa melakukan DNS tunneling.
DNS tunneling dapat memperburuk kualitas jaringan tidak terbukti pada penelitian
yang kami lakukan. Sehingga performa jaringan tidak bisa dijadikan sebagai indikator
terjadinya DNS tunneling.