Sebuah proposal yang diajukan ke Internet Engineering Task Force (IETF) adalah perihal Domain Name System (DNS) Cookies, sebuah lapisan keamanan ekstra untuk protokol DNS. Langkah-langkah keamanan dalam proposal RFC 7873 menggambarkan suatu sistem yang bernama DNS Cookies, yang merupakan kunci 64-bit yang dihasilkan pada sisi klien untuk mengotentikasi permintaan DNS pada server-side.


Server akan dapat memverifikasi asal klien berdasarkan kunci 64-bit (code) yang akan disusun berdasarkan alamat masing-masing pengguna IP, alamat IP DNS server, dan kode rahasia klien. Menurut Donald Eastlake dari Huawei dan Mark Andrews dari ISC, adanya DNS Cookie akan membuat lebih sulit bagi penyerang untuk melakukan permintaan spoof DNS karena harus tersedia kunci 64-bit key.

Spoofing DNS adalah teknik di mana penjahat cyber meluncurkan rerangan DoS dan DDoS menggunakan protokol DNS. Dengan meningkatkan sumber daya dalam melancarkan serangan, peneliti keamanan berharap serangan tersebut secara praktis tidak berdapak besar bagi penyerang dan juga target. DNS telah menjadi protokol yang populer untuk serangan DDoS dan lebih tepatnya reflection DDoS attacks. Dalam tiga bulan pertama tahun ini, menurut Akamai, DNS menjadi protokol kedua yang paling populer mendapatkan reflection DDoS attacks setelah protokol NTP.

Dengan menggunakan kelemahan teknis dalam protokol DNS, penyerang dapat melumpuhkan server dengan permintaan DNS cacat yang berisi alamat IP palsu. DNS server tidak hanya mengirim respon DNS ke alamat IP palsu korban tetapi juga mengirimkannya berkali-kali. Dengan adanya DNS Cookie akan memungkinkan server untuk mendeteksi keaslian permintaan DNS yang masuk dan melakukan drop kepada semua paket yang masuk tanpa memiliki kunci 64-bit yang tepat.
 
Top