Waspada ancaman keamanan DNS Resolver di 2025: Panduan dan tips pencegahan

DNS sering disebut sebagai “buku telepon internet” karena berfungsi untuk menerjemahkan nama domain menjadi alamat IP. Namun, fungsi penting ini juga membuat DNS menjadi target utama bagi para hacker.

Saat ini, serangan berbasis DNS semakin meningkat dan semakin kompleks. Mulai dari DNS spoofing, cache poisoning, sampai serangan DDoS. Oleh karena itu, sangat penting untuk memahami ancaman-ancaman tersebut dan risiko di baliknya.

Blog ini akan membahas ancaman DNS yang paling umum beserta tips pencegahannya supaya jaringan tetap aman sekaligus meningkatkan perlindungan untuk DNS.

 

Mengapa DNS resolver bisa menjadi target utama para hacker?

Recursive DNS resolver memiliki peran penting dalam proses pencarian DNS (DNS lookup). Resolver ini bertugas untuk menerjemahkan nama domain menjadi alamat IP untuk pengguna. Selain itu, resolver ini juga berfungsi untuk menangani banyak query DNS setiap saat.  Fungsi-fungsi vital inilah yang membuat DNS resolver sering menjadi sasaran empuk bagi hacker.

Hal ini terjadi karena banyak DNS resolver yang konfigurasi keamanannya masih terbatas, bahkan ada juga yang dapat diakses oleh publik. Kondisi ini bisa sangat mudah disalahgunakan oleh hacker. Mereka bisa melakukan serangan seperti amplification attack, DNS spoofing, atau jadi pintu masuk awal hacker untuk rangkaian cyberattack yang lebih kompleks. Jika DNS resolver berhasil dibobol, hacker bisa memanfaatkannya untuk menyusup jaringan lebih dalam lagi dan mencuri data. Akibatnya, risiko yang dihadapi organisasi maupun individu juga bisa semakin besar.

 

Apa ancaman DNS yang paling sering terjadi pada 2025?

1. DNS tunneling: Eksfiltrasi data lewat resolver secara diam-diam

DNS tunneling adalah teknik canggih yang digunakan oleh hacker untuk memanfaatkan query DNS dan mencuri data sensitif diam-diam. Hacker dapat meretas jaringan dan membuat jalur komunikasi rahasia dengan command and control (C2). Mereka menyisipkan data berbahaya ke dalam payload query DNS, lalu mengirimkannya lewat resolver. Sistem keamanan lama seperti firewall, akan meloloskannya karena biasanya sudah memercayai traffic DNS.

Traffic DNS umumnya dianggap aman, sehingga bebas melewati perimeter jaringan. DNS tunneling ini menjadi jalur tersembunyi hacker untuk mencuri informasi penting atau mengirim perintah ke sistem internal yang sudah diretas, tanpa langsung memunculkan alarm.

Bagaimana cara mendeteksi DNS tunnelling?

  • Analisis entropy: Menganalisis tingkat acak (randomness) dari payload query DNS. Jika entropinya tinggi, kemungkinan ada data yang sudah dienkode, karena query DNS yang normal biasanya memiliki pola yang lebih terprediksi.
  • Panjang dan pola subdomain yang tidak normal: Monitor subdomain yang terlalu panjang, berulang, atau punya struktur yang tidak wajar. Ini bisa menjadi tanda bahwa data sedang dipisahkan lalu dienkode dalam nama subdomain untuk melewati batas ukuran.
  • Lonjakan volume query untuk domain yang spesifik: Tanda dari aktivitas tunneling adalah jumlah query yang meningkat secara tiba-tiba dan terus menerus ke domain tertentu (biasanya domain yang dikontrol attacker) apalagi jika datang dari host internal.
  • Analisis frekuensi query berdasarkan waktu: Pola query dengan frekuensi tinggi dan muncul pada interval waktu yang konsisten seringkali menunjukkan adanya proses otomatis untuk exfiltrasi data.

Apa risiko dari DNS tunneling?

  • Eksfiltrasi data: Hacker bisa diam-diam mencuri data sensitif dengan cara mengenkripsi data ke dalam query DNS. Data tersebut kemudian dikirim ke server eksternal tanpa terdeteksi, bahkan bisa melewati kontrol keamanan jaringan seperti firewall.
  • Bypass security control: Karena traffic DNS biasanya diizinkan oleh firewall, hacker bisa memanfaatkan DNS tunneling untuk menghindari sistem keamanan jaringan. Akibatnya, aktivitas berbahaya menjadi sulit dideteksi oleh sistem pertahanan yang lama.
  • C2 communication: DNS tunneling memungkinkan hacker untuk membuat saluran komunikasi tersembunyi dengan sistem yang sudah diretas. Lewat jalur ini, mereka bisa mengirim perintah dan menerima data curian tanpa terdeteksi.
  • Kepadatan jaringan: Traffic DNS tunneling yang berlebihan bisa membebani resource jaringan. Hal ini dapat membuat waktu resolusi DNS jadi lebih lambat dan performa bagi pengguna juga ikut menurun.

Bagaimana cara mitigasi DNS tunneling?

  • Filter DNS query: Blokir atau tandai query DNS yang mencurigakan, misalnya subdomain yang terlalu panjang atau tidak wajar.
  • DNS Security Extensions (DNSSEC): Gunakan DNSSEC untuk memastikan keaslian respon DNS sekaligus mencegah adanya manipulasi.
  • Batasi rate dan traffic shaping: Batasi jumlah query DNS dari tiap alamat IP dengan ketat. Cara ini bisa mencegah penyalahgunaan dan membantu mendeteksi lonjakan query yang bisa mengarah ke tunneling.
  • Deep packet inspection (DPI) untuk DNS: Beberapa solusi keamanan canggih dapat melakukan DPI pada traffic DNS untuk mencari pola atau karakteristik dari tunneling protocol yang sudah dikenal. Namun, teknik ini perlu dijalankan secara hati-hati agar tidak mengganggu performa jaringan.

2. DNS cache poisoning: Pembajakan pada memori resolver

DNS cache poisoning terjadi ketika hacker merusak cache pada DNS resolver dengan memasukkan data palsu pada memori DNS. Biasanya, serangan ini dilakukan lewat man-in-the-middle attack. Hacker menyusup dan mengganti cache resolver dengan data palsu, contohnya mengganti alamat IP asli dari sebuah domain dengan alamat yang palsu.

Bagaimana cara mendeteksi DNS cache poisoning?

  • Cek respons DNS yang tidak match: Monitor respons DNS yang tidak match secara rutin. Jika cache DNS resolver sudah “diracun”, sangat mungkin untuk mengembalikan alamat IP palsu untuk domain asli. Karena itu, penting untuk melakukan verifikasi dengan server DNS yang asli untuk mengidentifikasi ketidakcocokan.
  • Resolusi DNS sering gagal: Lonjakan error atau kegagalan resolusi DNS yang terjadi secara tiba-tiba bisa jadi tanda bahwa resolver mengirim balik data yang tidak valid akibat serangan poisoning. Masalah ini bisa terdeteksi dengan monitoring performa resolver secara ketat.
  • Perubahan value TTL yang tidak terduga: Perubahan TTL dari DNS record yang tidak biasa bisa mengindikasikan adanya cache poisoning. Misalnya, jika nilai TTL tiba-tiba jadi terlalu pendek atau tidak konsisten, bisa jadi ada record berbahaya yang dimasukkan ke cache.
  • Deteksi frekuensi dan anomali query DNS: Frekuensi query DNS yang terlalu tinggi untuk satu domain tertentu patut dicurigai, apalagi jika domain tersebut biasanya tidak memiliki request rate yang tinggi. Lonjakan query ini bisa jadi sinyal adanya percobaan poisoning. Dengan monitoring volume query, pola mencurigakan bisa terdeteksi dengan lebih cepat
  • Cross-checking dengan authoritative DNS server: Gunakan bantuan tool otomatis untuk melakukan cross-check respons dari DNS resolver dengan authoritative server. Jika ada perbedaan data terutama pada domain yang high-traffic atau populer, kemungkinan besar terdapat serangan cache poisoning.
  • Log analysis dan monitoring: Analisis log DNS resolver bisa mendeteksi pola tidak normal dan membantu identifikasi upaya poisoning. Tanda-tandanya antara lain jawaban query yang terlalu panjang, banyaknya kegagalan resolusi, atau DNS record yang mengarah ke alamat IP mencurigakan.

Apa risiko dari DNS cache poisoning?

  • Mengarahkan ke IP yang berbahaya: Hacker bisa membawa pengguna ke situs palsu yang mirip dengan situs aslinya. Dari sana, mereka bisa melakukan phishing, menyebarkan malware, atau mencuri kredensial.
  • Phishing: Pengguna bisa tanpa sadar diarahkan ke situs tiruan yang dibuat untuk mencuri data sensitif, seperti username, password, informasi perbankan, atau data pribadi lainnya.
  • Penyebaran malware: Record DNS yang sudah terkena poisoning dapat mengarahkan pengguna ke situs berbahaya yang secara otomatis download dan memasang malware di perangkat mereka.
  • Gangguan layanan yang menyebar luas: Jika resolver yang sering digunakan oleh banyak orang diserang, dampaknya bisa sangat luas. Hal ini bukan hanya mengganggu layanan, tapi juga merusak reputasi organisasi yang terdampak.

Bagaimana cara mitigasi DNS cache poisoning?

  • DNSSEC: Menambahkan lapisan keamanan dengan menandatangani setiap record DNS secara digital. Dengan begitu, penyerang akan jauh lebih sulit menyisipkan data palsu ke dalam cache.
  • Random query ID: Buat respons DNS jadi tidak mudah ditebak atau dimanipulasi oleh hacker.
  • Source port randomization: Buat hacker kesulitan dalam melakukan pemalsuan respons.
  • Zero time to live (TTL) untuk domain mencurigakan: Pastikan resolver tidak menyimpan informasi berbahaya dalam waktu yang lama.
  • Patch dan update software DNS resolver secara rutin: Atasi vulnerability yang bisa dimanfaatkan untuk serangan cache poisoning.

3. Serangan amplification dan reflection: Memanfaatkan open resolver untuk DDoS

Dalam serangan amplification dan reflection, penyerang menyalahgunakan open DNS resolver untuk membanjiri target dengan trafik. Mereka mengirim query DNS kecil dengan alamat IP palsu (menggunakan IP milik target). Resolver yang mengira permintaan itu sah kemudian membalas dengan respons yang jauh lebih besar ke IP palsu tadi. Alhasil, traffic yang diterima korban jadi berlipat ganda dan bisa membuat jaringan atau sistem mereka lumpuh akibat serangan DDoS.

Bagaimana cara deteksi serangan amplification dan reflection?

  • Pantau volume respons outbound DNS: Perhatikan jika ada lonjakan besar pada jumlah respon DNS yang keluar dari resolver Anda.
  • Atur notifikasi untuk anomali request–response: Aktifkan peringatan jika rasio permintaan masuk dengan data keluar terlihat tidak normal.
  • Amati lonjakan traffic ke satu IP: Ukur dan analisis jika ada peningkatan traffic yang tiba-tiba menuju ke satu alamat IP tujuan.
  • Analisis log query resolver: Cek log recursive resolver untuk mendeteksi pola query yang berulang atau tidak biasa.

Apa risiko serangan amplification dan reflection?

  • Beban berlebih pada jaringan: Open resolver bisa dimanfaatkan untuk membanjiri server korban dengan respon DNS dalam jumlah besar. Akibatnya, jaringan bisa down, layanan terganggu, dan perusahaan berisiko mengalami kerugian finansial.
  • Gangguan layanan: Pengguna yang sah tidak bisa mengakses layanan target karena infrastruktur jaringan sudah penuh oleh traffic yang berbahaya.
  • Anonimitas untuk penyerang: Dengan memalsukan (spoofing) alamat IP korban, penyerang bisa menyembunyikan identitas mereka, sehingga sulit dilacak dari mana asal serangannya.

Mengapa recursive resolvers butuh pembatasan rate dan kontrol akses?

Recursive resolver memang sangat penting untuk proses DNS, tetapi juga rentan disalahgunakan jika dibiarkan terbuka tanpa perlindungan. Tanpa adanya rate limiting (pembatasan rate) dan access control (kontrol akses), penyerang bisa memanfaatkannya untuk melakukan serangan DDoS dalam skala besar. Dengan menerapkan proteksi ini, hanya pengguna yang sah yang bisa mengakses resolver, sehingga risiko penyalahgunaan untuk reflection attack bisa berkurang.

Bagaimana cara mitigasi serangan amplification dan reflection?

  • Response Rate Limiting (RRL): Konfigurasikan resolvers untuk menentukan batas maksimum dari besaran respon. Membatasi jumlah data yang dikrim dari respons bisa mengurangi efektivitas dan serangan amplification.
  • Closed resolvers: Atur resolver untuk menerima query hanya dari alamat IP yang terpercaya saja. Ini efektif untuk mencegah pengguna yang tidak sah untuk  menyalahgunakan layanan.
  • Source IP validation: Terapkan mekanisme untuk memverifikasi alamat IP pengirim query DNS. Dengan catatan bahwa ini bisa agak rumit karena luasnya jaringan internet.
  • Traffic monitoring and anomaly detection: Pantau trafik DNS secara terus-menerus untuk mendeteksi lonjakan tidak wajar pada respon keluar yang bisa jadi tanda serangan DDoS.

4. Fast flux DNS: Metode penyamaran untuk malware dan phishing

Fast flux adalah teknik penggelapan DNS yang digunakan oleh para cybercriminal untuk menyembunyikan lokasi server berbahaya. Teknik ini dilakukan dengan cara mengganti alamat IP yang terkait dengan sebuah nama domain, seringkali memanfaatkan mesin yang sudah terinfeksi sebagai perantara (proxy). Ada dua cara flux yaitu:

  • Single-flux: Mengubah A record berkali-kali, berganti puluhan atau ratusan IP.
  • Double-flux: Mengganti A record dan NS record, sehingga deteksi dan penanganannya jadi jauh lebih sulit.

Apa contoh nyata fast flux DNS?

Botnet Storm, salah satu jaringan malware yang terkenal, menggunakan fast flux untuk menyebarkan payload berbahaya dan menjalankan situs phishing. Botnet ini terus-menerus mengubah catatan DNS untuk mengarahkan korban ke node yang terinfeksi, sehingga sulit melakukan blokir atau melacak darimana asal serangan.

Bagaimana cara mendeteksi fast flux DNS?

  • Monitoring TTL: Tandai domain dengan TTL yang terlalu pendek sehingga sering memaksa resolusi ulang.
  • Analisis IP churn: Lacak domain yang terhubung ke banyak alamat IP berbeda dalam waktu singkat.
  • Lacak NS dan A record rotation: Monitor domain yang sering berganti-ganti name server (NS) dan address (A) record, ini menandakan adanya double-flux.
  • Korelasi passive DNS: Analisis catatan histori DNS untuk mencari pola yang mencurigakan, misalnya penggunaan ulang IP pada domain yang tidak berhubungan.
  • Cek AS diversity: Cari domain dengan IP yang berasal dari banyak AS berbeda, ini mengindikasikan adanya infrastruktur botnet.
  • Behavioral profiling: Identifikasi pola akses yang mirip dengan aktivitas malware atau phishing dengan menghubungkan data DNS ke log endpoint dan proxy.

Mengapa resolver sulit mendeteksi fast flux?

Recursive resolver tidak dirancang untuk mengenali perilaku yang sulit dideteksi ini:

  • IP rotation yang konstan membuat blocklist tidak efektif dan caching tidak berguna.
  • Traffic fast flux mirip CDN sehingga sulit dibedakan dari aktivitas sah.
  • TTL yang sangat pendek membuat anomali sulit dikenali tepat waktu.

Apa risiko dari fast flux DNS ?

  • Distribusi malware: Penyerang menggunakan fast flux untuk mengarahkan pengguna ke perangkat yang terinfeksi, sehingga sulit mengisolasi atau blokir asal server
  • Ketahanan situs phishing: Domain phishing lebih sulit ditutup karena backend cepat berubah, sehingga bisa menghindari metode deteksi yang lama.
  • Evasion (menghindari deteksi): Rotasi IP yang cepat, terutama dengan double-flux, membuat hacker terhindar dari blacklist atau DNS filter.
  • Menyamarkan traffic jahat: Aktivitasnya sering terlihat mirip dengan CDN, sehingga menyulitkan sistem keamanan membedakan mana yang sah dan yang berbahaya.
  • Beban pada resolver: Lookup DNS yang terus-menerus akibat TTL pendek dapat meningkatkan beban kerja resolver dan menurunkan efisiensi caching.

Bagaimana cara mitigasi fast flux?

  • TTL monitoring: Tandai domain dengan value TTL yang sangat rendah.
  • Deteksi anomali: Identifikasi domain yang terhubung ke terlalu banyak IP atau IP yang sering berubah.
  • Analisis traffic DNS: Gunakan data passive DNS untuk memantau pola fast flux dari waktu ke waktu dan hubungkan pola tersebut dengan ancaman yang sudah dikenal.
  • Filtering berbasis reputasi: Gunakan threat intelligence feed untuk memblokir domain yang sudah dikenal menggunakan teknik fast flux untuk aktivitas berbahaya.
  • Analisis perilaku: Terapkan sistem yang bisa menganalisis perilaku traffic dari IP yang terkait dengan fast flux untuk mendeteksi aktivitas jahat.

 

Seperti apa best practice keamanan DNS resolver?

Untuk perlindungan tambahan terhadap ancaman berbasis DNS, sangat penting untuk menjaga keamanan recursive resolver Anda dengan mengikuti best practice berikut:

  • Perkuat konfigurasi: Amankan BIND atau Unbound dengan menonaktifkan recursion untuk pengguna yang tidak sah, membatasi query rate, dan mengatur access control.
  • Aktifkan DNSSEC: Validasi setiap respon DNS untuk menjaga integritas dan keaslian data.
  • Logging & Monitoring: Pantau traffic DNS untuk mendeteksi anomali, lonjakan traffic, atau indikasi penyalahgunaan.
  • Blokir domain yang berbahaya: Gunakan blocklist yang terkurasi untuk menghentikan koneksi ke domain yang berbahaya.
  • Gunakan resolver yang aman: Pilih resolver yang memiliki fitur security monitoring bawaan agar bisa mendeteksi anomali, memperbaiki masalah DNS, dan mengidentifikasi aktivitas domain mencurigakan.

 

Bagaimana OpUtils memperkuat visibilitas dan keamanan DNS?

DNS Resolver, tool yang komprehensif dari ManageEngine OpUtils, dapat membantu admin IT untuk monitor, analisis dan troubleshoot masalah terkait DNS secara real time. Dengan begitu, admin bisa memastikan mapping IP-to-host tetap akurat, memantau waktu respon DNS, serta menandai anomali seperti record palsu atau latency yang tinggi.

Selain itu, karena terintegrasi dengan tool jaringan lain di OpUtils seperti Ping dan Traceroute, OpUtils dapat memberikan visibilitas yang menyeluruh sekaligus mempercepat proses diagnosis. Hal ini memudahkan tim untuk menjaga infrastruktur DNS supaya tetap aman dan berkinerja tinggi. Sangat cocok untuk monitoring DNS secara proaktif dan threat detection. Coba gratis selama 30 hari atau book demo khusus hari ini.

Tulisan ini merupakan terjemahan dari blog berjudul Top DNS resolver security threats you can't ignore in 2025: Expert guide and prevention tips oleh aiswarya.gr@zohocorp.com.