Birthday Attack

Untuk melakukan serangan ini, orang perlu untuk mengirimkan query dalam jumlah
yang memadai ke nameserver yang rentan dengan mengirimkan jumlah yang sama atas
jawaban palsu pada saat yang sama. Karena cacat dalam perangkat lunak BIND
menghasilkan beberapa query untuk nama domain yang sama pada saat yang sama, seseorang
menemukan peluang statistik peningkatan dalam menemukan ID transaksi yang tepat. Ini
adalah klasik "Birthday Attack", yang berasal dari "Brithday Paradox", secara singkat
dijelaskan di bawah ini :
Birthday Attack adalah nama yang digunakan untuk merujuk kepada kelas
serangan brute force. Ia mendapat namanya dari Birthday Paradox.
Jika beberapa fungsi diaktifkan dengan masukan acak, akan dikembalikan
salah satu k dengan kemungkinan nilai yang sama. Dengan berulang kali
mengevaluasi fungsi untuk input yang berbeda, diharapkan bisa mendapatkan
output yang sama setelah sekitar 1.2k1 / 2. Untuk Birthday Paradox di atas,
ganti k dengan 365.
Kita dapat menerapkan metodologi yang sama untuk urutan nilai yang pseudo-
random, seperti salah satu yang menghasilkan ID transaksi pada BIND.
Dengan spoofing konvensional, penyusup akan mengirim n balasan palsu untuk satu
query. Probabilitas keberhasilan adalah n / 65535. Dengan Birthday Attack pada BIND,
penyusup akan mengirim n jumlah balasan palsu untuk n query. Dengan begitu, penyusup
dapat memprediksi probabilitas keberhasilan menggunakan rumus di bawah ini dimana t
adalah jumlah total nilai yang mungkin di master set, dan n adalah jumlah nilai dalam
spoofing subset.
Kekuatan
metode
spoofing
ini terhadap spoofing DNS konvensional ditunjukkan pada gambar 3.1. Birthday Attack
mendekati keberhasilan 100% sekitar 700 paket. Pada titik ini serangan spoofing
konvensional hanya akan
memiliki probabilitas
keberhasilan 700 dibagi dengan
65.535 (1,07%). Pada kecuraman
kurva, orang hanya perlu 300
paket untuk mencapai rasio
keberhasilan 50%. Ini baik
dalam bidang serangan yang
mudah untuk siapapun yang
memiliki koneksi internet
broadband.
Hal ini menunjukkan bahwa sesempurna apapun pembangkit nilai acak adalah hal
yang rentan terhadap serangan ketika menghasilkan beberapa nomor untuk transaksi yang
sama. Ini adalah sesuatu yang harus diperhitungkan oleh setiap desainer perangkat lunak
yang bekerja dengan angka acak. Hal ini telah lama digunakan dalam serangan brute force
pada satu arah sistem hash.
Birthday Attack pada BIND akan mengikuti urutan ditunjukkan pada gambar 3.2.
Penyerang hanya
harus mengirim
beberapa ratus
query ke ISP
nameserver untuk
meminta alamat IP
dari nama domain
yang akan dibajak.
Pada saat yang
sama, penyerang
akan mengirimkan
jumlah balasan yang
sama agar terlihat
seolah-olah balasan
tersebut dikirim dari
name server yang
bertanggung jawab.
Dalam setiap paket,
penyusup akan
menetapkan ID
transaksi acak. Agar
berhasil, salah satu
paket palsu berisi ID transaksi, alamat IP asal dan tujuan, dan port harus sesuai dengan paket
query rekursif yang sah dari nameserver korban.
Menemukan alamat IP yang benar adalah hal yang mudah, terkait mengetahui target,
dan mengetahui alamat dari nameserver yang sah untuk domain yang akan dibajak. Hal yang
sulit adalah menemukan port. Memang penyerang mengetahui bahwa port tujuan dari query
rekursif adalah UDP port 53, tetapi sumber port adalah target yang terus berubah.
Keuntungannya bagi penyusup, BIND akan lebih sering menggunakan kembali port sumber
yang sama untuk permintaan atas nama klien yang sama. Jadi, jika penyusup bekerja dari
sebuah nameserver yang mempunyai hak akses, ia pertama kali dapat meminta untuk lookup
DNS dari nama host di server-nya. Ketika paket query rekursif tiba, penyusup dapat melihat
port sumber. Kemungkinannya adalah hal ini akan menjadi port sumber yang sama digunakan
ketika korban mengirim query untuk domain yang akan dibajak.
Lihat keluaran tcpdump dari empat pertanyaan berikutnya untuk nama domain yang
berbeda:
10:54:12.423228 192.168.1.2.33748 > 66.218.71.63.53:
21345 [1au] A? www.yahoo.com. (42) (DF)
10:54:21.313293 192.168.1.2.33748 > 216.239.38.10.53:
53735 [1au] A? www.google.com. (43) (DF)
 10:54:27.182852 192.168.1.2.33748 > 149.174.213.7.53:
19315 [1au] A? www.netscape.com. (45) (DF)
10:54:43.252461 192.168.1.2.33748 > 66.35.250.11.53:
43129 [1au] A? www.linux.com. (42) (DF)

Keempat query menggunakan sumber port 33748 pada nameserver berbeda pada
empat query yang berbeda. Jika BIND menggunakan port sumber secara acak, bisa
meningkatkan peluang dalam menangkal serangan spoofing.
Pada titik ini, yang perlu dilakukan oleh penyusup adalah memenangkan perlombaan
antara lapisan pertama yang berhasil dari transaksi palsu dan jawaban sah dari nameserver
yang mempunyai hak akses. Perlombaan ini sudah memenangkan penyusup, namun ia bisa
menggunakan metode lain untuk memperoleh kesempatan yang lebih besar, seperti
memberikan data secara terus menerus ke nameserver yang bertanggung jawab dengan paket
palsu untuk memperlambat waktu responnya.
Setelah serangan dengan sebuah query rekursif yang sah dan paket balasan yang
dipalsukan, nameserver tujuan di ISP akan menyimpan sementara (caching) catatan palsu
untuk waktu yang mengindikasikan pada bagian TTL dari jawabannya. Pada titik ini tugas
penyusup selesai, tetapi efeknya tinggal selama ISP memegang data (record) palsu dalam
nameserver cache-nya. Pengguna yang merupakan korban di ISP akan terkena serangan itu
setiap membuat query untuk nama dari domain yang bersangkutan.
Serangan semacam ini mungkin berkisar dari gangguan sederhana sampai masalah
besar dalam keuangan untuk sejumlah besar orang. Tujuannya adalah membuat sebuah situs
web yang cukup asli agar tidak menimbulkan kecurigaan apapun. Ketika domain dibajak
melalui peracunan cache untuk sebanyak mungkin ISP, menyebabkan kemungkinan untuk
mengakses situs palsu. Beberapa serangan yang biasa digunakan adalah :
Mengarahkan sebuah mesin pencari yang populer untuk situs iklan pop-up
Mengarahkan sebuah website bank untuk mendapatkan akses ke password pengguna
Mengarahkan situs berita untuk menyuntikkan cerita palsu dan memanipulasi saham
pasar