1. DNS SPOOFING
DNS Spoofing adalah salah satu metode hacking Man In The Middle Attack (MITM). Hampir sama dengan ARP Spoofing, tapi yang membedakan adalah Attacker akan memalsukan alamat IP dari sebuah domain.
ARP adalah protokol dalam TCP/IP Protocol Suite yang bertanggungjawab dalam melakukan resolusi alamat IP ke dalam alamat Media Access Control (MAC Address). Setiap transaksi akan disimpan di dalam cache OS Anda. Bisa dilihat menggunakan perintah arp (baik di Windows atau Linux).
ARP adalah protokol dalam TCP/IP Protocol Suite yang bertanggungjawab dalam melakukan resolusi alamat IP ke dalam alamat Media Access Control (MAC Address). Setiap transaksi akan disimpan di dalam cache OS Anda. Bisa dilihat menggunakan perintah arp (baik di Windows atau Linux).
DNS adalah Domain Name Server, yaitu server yang digunakan untuk mengetahui IP Address suatu host lewat host name-nya. Dalam dunia internet, komputer berkomunikasi satu sama lain dengan mengenali IP Address-nya. Namun bagi manusia tidak mungkin menghafalkan IP address tersebut, manusia lebih mudah menghapalkan kata-kata seperti www.yahoo.com, www.google.com, atau www.facebook.com. DNS berfungsi untuk mengkonversi nama yang bisa terbaca oleh manusia ke dalam IP addresshost yang bersangkutan untuk komunikasi.
Jadi ketika target melakukan request terhadap sebuah alamat domain dengan alamat IP A, dengan DNS Spoofing, oleh gateway request user tersebut akan di forward ke alamat IP palsu dari attacker.
Berikut terdapat cara untuk melakukan DNS Spoofing dengan aplikasi Ettercap :
| Komputer | IP Address | MAC Address |
| Gateway | 192.168.137.1 | 08:00:27:00:C0:1B |
| Target | 192.168.137.8 | 08:00:27:21:6C:6F |
| Attacker | 192.168.137.238 | 08:00:27:77:B5:07 |
Ketikkan perintah berikut di terminal:
root@bt:~# nano /usr/local/share/ettercap/etter.dns
Sebagai contoh kita akan mamalsukan alamat IP server dari domain microsoft.com. Geser scroll terminal Anda ke bawah hingga menemukan konfigurasi domain dari microsoft.com. Ubah alamat IP domain tersebut menjadi alamat mesin attacker Anda. Kemudian simpan konfigurasi tersebut dengan menekan tombol "Ctrl + O".
Sebagai contoh kita akan mamalsukan alamat IP server dari domain microsoft.com. Geser scroll terminal Anda ke bawah hingga menemukan konfigurasi domain dari microsoft.com. Ubah alamat IP domain tersebut menjadi alamat mesin attacker Anda. Kemudian simpan konfigurasi tersebut dengan menekan tombol "Ctrl + O".
Ketikkan sintaks berikut pada konsol terminal:
root@bt:~# apache2ctl start
Lakukan percobaan dengan membuka aplikasi browser internet Anda dan ketikkan alamat IP komputer attacker pada browser. Pastikan service apache di komputer attacker telah berjalan.
Lakukan percobaan dengan membuka aplikasi browser internet Anda dan ketikkan alamat IP komputer attacker pada browser. Pastikan service apache di komputer attacker telah berjalan.
3. Jalankan apliasi Ettercap,
Dengan mengetikkan perintah berikut di terminal BackTrack Anda:
root@bt:~# ettercap -G
Akan muncul tampilan seperti ini,
Akan muncul tampilan seperti ini,
4. Pilih interface LAN Card yang akan digunakan untuk melakukan DNS Spoofing pada komputer AttackerPada aplikasi Ettercap, pilih menu Sniff -> Unified Sniffing , lalu akan muncul kotak dialog seperti gambar di bawah.
5. Scan host komputer target, gateway, dan komputer attacker
Yaitu dengan memilih menu Host -> Scan for host, maka Ettercap akan melakukan scanning komputer mana saja yang aktif mulai dari IP 192.168.137.0 sampai 192.168.137.255. Berhubung dalam jaringan virtual saya ada 3 buah komputer, maka ettercap akan mendeteksi 3 buah komputer yang aktif, seperti gambar di bawah ini.
6. Buka daftar hasil scan host
Pilih menu Hosts -> Hosts List, maka akan tampilan seperti berikut
7. Pilih Target yang akan dilakukan DNS Spoofing
Seperti telah diketahui sebelumnya bahwa komputer gateway memiliki IP 192.168.137.1, klik sekali pada IP komputer gateway dari daftar list hosts hasil scan sebelumnya, kemudian klik tombol "Add to Target 1".
Lakukan cara yang sama untuk komputer target dengan IP 192.168.137.8 dan klik tombol "Add to Target 2"
8. Pilih DNS Spoofing Plugins
Pada menu aplikasi Ettercap, Plugins -> Manage Plugins -> DNS Spoof (klik 2 kali, sehingga muncul report 'DNS Spoofing Activating dns_spoof plugin...')
9. Lakukan proses ARP Spoofing
Memilih menu MITM -> ARP poisoning, sehingga akan muncul kotak dialog seperti gambar di bawah, kemudian centang pilihan "Sniff remote connections", lalu klik tombol Ok. Maka aplikasi ettercap akan melakukan ARP Spoofing pada komputer target.
10. Start Sniffing
Pilih menu Start -> Start Sniffing
Mengetikkan alamat www.microsoft.com di browser komputer target
Coba lakukan ping ke www.microsoft.com dari komputer target:
dan coba lihat tampilan aplikasi ettercap di komputer attacker:
2. WEB SPOOFING
Web spoofing dapat diartikan sebagai teknik untuk memonitoring, mengambil, atau mengubah data user ke server atau sebaliknya. Web spoofing membahayakan data informasi user web. Web spoofing memungkinkan seseorang membuat semacam shadow copy seluruh web. Akses ke shadow web akan menuju ke komputer orang tersebut, sehingga ia dapat memonitor aktifitas korban dalam web, termasuk password atau data akun yang dimasukkan. Seseorang tersebut bisa juga menyebabkan data yang salah atau palsu dikirim ke we server dengan mengatasnamakan korban atau sebaliknya dikirim ke korban dengan mengatasnamakan web server. Intinya oknum memantau dan mengendalikan semua yang dilakukan korban lewat web. Semua trafik web antara browser korban dan web server berjalan melalui oknum.
Korban <—->Oknum pelaku spoofing(server palsu)<—–>Web server
Pada web spoofing, oknum akan membuat halaman palsu, tetapi meyakinkan korban. Oknum membuat korban merasa mendapatkan yang asli padahal palsu. Dalam literatur keamanan, jenis serangan ini sering disebut “man in the middle attack”.
DAMPAK WEB SPOOFING
Karena oknum bisa memantau dan mengubah data yang mengalir dari korban ke web server atau sebaliknya, dan mengendalikan trafik dari web server ke korban, maka oknum mempunyai banyak kemungkinan.
1. Pengawasan
Oknum bisa melakukan pengamatan pasif pada trafik, mencatat halaman yang dikunjungi korban, dan isi halaman yang bersangkutan. Saat korban mengisi form dan data yang dikirim ke web server, oknum bisa mencatatnya pula, sekaligus dengan respon kembalian server. Karena kebanyakan e-commerce dilakukan melalui form, artinya oknum bisa mencatat setiap nomor account dan password yang diisikan korban. Oknum tetap bisa melakukan pengawasan meski korban memanfaatkan secure connection (umumnya melalui Secure Socket layer) ke server dan browser korban menunjukkan ikonnya (biasanya gambar kunci atau gembok).
2. Pengubahan
Oknum bisa mengubah data antara korban dan web server. Oknum bisa memodifikasi data form yang dikirim oleh korban. Misalnya, jika korban melakukan pemesanan produk secara online, maka oknum bisa mengubah jenis, jumlah, atau alamat pengiriman. Oknum bisa pula mengubah data yang dikembalikan oleh web server, misal dengan menyisipkan hal yang mengelabuhi korban.
Penulisan Ulang URL
Trik pertama oknum adalah melakukan rewrite (menulis ulang) URL pada sejumlah halaman web agar mengacu ke server oknum ketimbang server sebenarnya. Misalnya, server oknum pada http://www.hackman.com, oknum akan melakukan rewrite URL dengan menambahkan http://www.hackman.com pada awal URL. Contoh : seharusnya http://home.microsoft.com menjadi http://www.hackman.com/http://home.microsoft.com
Skenario menunjukkan apa yang terjadi saat request korban pada suatu halaman melaui rewritten URL yaitu :
1. Korban melakukan request suatu halaman web.
2. Browser korban melakukan request halaman dari server oknum.
3. Server oknum melakukan request halaman dari server sebenarnya.
4. Server sebenarnya memberikan halaman ke server oknum.
5. Server oknum melakukan rewrite halaman.
6. Server oknum memberikan versi rewiritten ke korban.
Di sini browser korban melakukan request halaman dari http://www.hackman.com karena URL berawalan http://www.hackman.com, dan URL dibelakangnya digunakan untuk memberitahu server oknum di mana ia harus mengambil dokumen sebenarnya.
Karena semua URL pada halaman palsu sekarang menunjuk ke http://www.hackman.com, jika korban mengikuti link ke suatu halaman baru, halaman akan diambil pula dari server oknum. Jadi, korban selamanya akan terjebak pada web tipuan dan terus mengikuti link tipuan tanpa bisa meninggalkannya.
Spoofing form
Jika korban mengisi form pada suatu halaman di web tipuan, maka hasil akan tampak asli. Submit dari form di-encode pada URL dan jawabannya adalah HTML biasa. Karena URL bisa di-spoof, maka form bisa pula di-spoof.
Saat korban melakukan submit form, data dikirim menuju server oknum. Server oknum bisa mengamati dan mengubah data yang dikirimkan, dengan kata lain melakukan editing sebelum menyampaikan ke server sebenarnya. Server oknum pun bisa mengubah data yang dikembalikan sebagai respon submit form.
Menyempurnakan tipuan
Oknum harus berusaha sedemikian rupa sehingga korban terpancing ke web tipuan. Contoh cara melakukannya sebagai berikut :
-Oknum bisa meletakkan link web tipuan pada suatu halaman web yang populer.
-Oknum bisa mengirim email ke korban, yang memuat link ke web tipuan.
-Oknum menipu search engine untuk mengindeks web tipuan mereka
Agar penipuan lebih efektif, ada sejumlah hal yang perlu di eliminasi oleh oknum sehingga korban tidak menyadarinya.
1. Satus Line
Sebaris teks di bagian bawah jendela browser menampilkan bermacam pesan, misal status transfer web. Dua hal yang perlu diperhatikan adalah :
-saat mouse berada di atas suatu link web(mouse over), status line akan menampilkan link URL. Maka, korban bisa menyadari terjadinya rewrite URL.
-saat halaman diambil (fetch), status line menampilkan nama server yang dihubungi. Nah, ini bisa pula terlihat oleh korban.
Oknum bisa menutupinya dengan menambahkan javascript ke setiap akses halaman. Karena javascript bisa menulis ke status line dan aksinya bisa dikaitkan ke suatu event, oknum bisa mengatur status line ikut “berpartisipasi” dalam upaya tipuan agar lebih meyakinkan.
2. Location line
Location line pada browser menampilkan URL halaman yang tampak di browser. Korban pun bisa mengetikkan URL pada location line. Bila rewritten URL tampak pada locaion line, maka korban bisa menyadarinya.
Dengan javascript, location line yang asli bisa disembunyikan dan diganti location line tipuan. Tipuan tetap membiarkan korban mengetikkan URL secara normal, tetapi nantinya bisa di-rewrite oleh javascipt sebelum diakses.
3. View source
Ini sulit dihindari oleh oknum, tetapi jarang dipedulikan korban. Menggunakan fitur view source pada browser, korban dapat melihat source HTML yang yang tampil. Bila ia melihat URL rewritten URL pada source, ia bisa menyadari adanya penipuan. Untungnya (bagi oknum), source HTML bagi kebanyakan orang awam dianggap susah, jadi jarang ada korban yang mengecek pada source kode HTML pada web yang dikunjunginya.
Ada cara lain juga untuk mengidentifikasi sebuah halaman web itu palsu atau tidak, yaitu dengan melihat fitur View Document Information, tapi sepertinya hal ini masih sedikit yang memperhatikannya.
4. Bookmark
Untuk keluar dari jaring-jaring spoofing, dapat dilakukan dengan mengakses bookmark atau open location pada browser. Namun user juga bisa kembali terjebak jika dalam URL bookmark juga terdapat URL palsu.
Mengatasi web spoofing
Ada beberapa solusi sederhana agar anda terhindar dari web spoofing. Diantaranya
-Disable (matikan) javascript pada browser anda
-Perhatikan pada location line, pastikan akan berada di tempat yang benar
SOURCE :
2016. "PenTest::DNS Spoofing" dalam http://www.ar.itb.ac.id/wp-content/uploads/sites/17/2016/11/DNS-Spoffing.pdf diakses pada 9 Mei 2019
2016. "PenTest::DNS Spoofing" dalam http://www.ar.itb.ac.id/wp-content/uploads/sites/17/2016/11/DNS-Spoffing.pdf diakses pada 9 Mei 2019
Lin. 2012. "Web Spoofing" dalam https://ilmucerdas.wordpress.com/2012/06/03/web-spoofing/ diakses
pada 9 Mei 2019
