Apa itu DNS (Domain Name System)?

Sering disebut “buku telepon untuk internet,” analogi yang lebih modern adalah bahwa DNS mengelola nama domain seperti smartphone mengelola kontak. Smartphone menghilangkan kebutuhan pengguna untuk mengingat nomor telepon setiap orang dengan menyimpannya dalam daftar kontak yang mudah dicari.

Demikian juga, DNS memungkinkan pengguna untuk terhubung ke situs web menggunakan nama domain internet alih-alih alamat IP. Daripada harus mengingat server web berada di “192.0.2.1,” misalnya, pengguna dapat dengan mudah pergi ke halaman web “www.example.com” untuk mendapatkan hasil yang diinginkan.

Untuk memahami cara kerja DNS, penting untuk terlebih dahulu memahami komponen yang terlibat.

Sejak awal, DNS dirancang dengan struktur database hierarkis dan terdistribusi untuk memfasilitasi pendekatan yang lebih dinamis untuk resolusi nama domain, yang dapat mengimbangi jaringan komputer yang berkembang pesat. Hirarki dimulai dengan tingkat akar—dilambangkan dengan titik (.)—dan bercabang ke domain tingkat atas (TLD)—seperti “.com,” “.org,” “.net” atau TLD kode negara (ccTLD) seperti “.uk” dan “.jp,”—dan domain tingkat kedua.

Arsitektur DNS terdiri dari dua jenis server DNS: server rekursif dan server otoritatif. Server DNS rekursif adalah server yang mengirimkan permintaan, mencari informasi yang menghubungkan pengguna ke situs web. Server otoritatif memberikan “jawaban.”

Server rekursif — juga dikenal sebagai resolver rekursif atau resolver DNS—biasanya dikelola oleh penyedia layanan internet (ISP) atau penyedia DNS services pihak ketiga. Sebuah organisasi juga dapat menjadi tuan rumah dan mengelola resolver mereka sendiri.

Resolver rekursif bertindak atas nama pengguna akhir untuk menyelesaikan nama domain menjadi alamat IP. Resolver rekursif juga menyimpan (menyimpan sementara hasil pencarian DNS terbaru) jawaban atas permintaan untuk periode waktu tertentu (ditentukan oleh nilai time-to-live, atau TTL,) untuk meningkatkan efisiensi sistem untuk kueri masa depan ke domain yang sama.

Saat pengguna mengetikkan alamat web ke dalam browser web, browser tersebut terhubung ke server DNS rekursif untuk menyelesaikan permintaan tersebut. Jika server rekursif memiliki jawaban yang dalam cache, server tersebut dapat menghubungkan pengguna dan menyelesaikan permintaan. Jika tidak, resolver rekursif menanyakan hierarki DNS sampai menemukan catatan A (atau AAAA) yang berisi alamat IP untuk domain tertentu.

Server nama otoritatif menyimpan catatan definitif untuk domain dan menanggapi permintaan tentang nama domain yang disimpan dalam zona masing-masing (biasanya dengan jawaban yang dikonfigurasi oleh pemilik domain). Ada server otoritatif yang berbeda yang masing-masing bertanggung jawab untuk bagian yang berbeda dari namespace.

Server nama root berada di bagian atas hierarki DNS dan bertanggung jawab untuk melayani zona root (database pusat untuk DNS). Ada 13 “identitas” atau “otoritas” (pengelompokan logis server root) yang diidentifikasi oleh huruf A sampai M. Mereka menjawab pertanyaan untuk catatan yang disimpan dalam zona root dan merujuk permintaan ke server nama TLD yang sesuai.

Server TLD bertanggung jawab untuk mengelola tingkat hierarki berikutnya, termasuk domain tingkat atas generik (gTLD). Server nama TLD mengarahkan kueri ke server nama otoritatif untuk domain tertentu dalam TLD-nya. Jadi, server nama TLD untuk “.com” akan mengarahkan domain yang diakhiri dengan “.com,” server nama TLD untuk “.gov” akan mengarahkan domain yang diakhiri dengan “.gov,” dan seterusnya.

Server nama domain tingkat kedua—mayoritas server nama domain—menyimpan file zona dengan alamat IP untuk nama domain lengkap (“ibm.com,” misalnya).

Selain jenis server utama, DNS menggunakan file zona dan beberapa jenis record untuk membantu proses resolusi. File zona adalah file berbasis teks yang menyertakan pemetaan dan informasi tentang domain tertentu dalam zona DNS.

Setiap baris file zona menentukan catatan sumber daya DNS—satu bagian informasi tentang sifat jenis atau potongan data tertentu. Catatan sumber daya membantu memastikan bahwa saat pengguna mengirimkan kueri, DNS dapat dengan cepat mengubah nama domain menjadi informasi yang dapat ditindaklanjuti yang mengarahkan kueri ke server yang benar.

File zona DNS dimulai dengan dua catatan wajib: catatan server nama (NS)—yang menunjukkan server nama otoritatif untuk domain—dan catatan awal otoritas (SOA)—yang menentukan server nama otoritatif utama untuk zona DNS.

Setelah dua catatan utama, file zona dapat berisi beberapa jenis rekaman lainnya. Hal ini termasuk:

Setiap kueri (kadang-kadang disebut permintaan DNS) mengikuti logika yang sama untuk menyelesaikan alamat IP. Ada berbagai cara di mana kueri dimulai—sebagai contoh umum, mari kita pertimbangkan seseorang menggunakan browser web.

Ketika pengguna memasukkan URL ke browser web mereka, browser mengirimkan kueri ke resolver DNS, yang secara progresif menanyakan server DNS resmi untuk menemukan server nama resmi yang menyimpan catatan domain, termasuk alamat IP terkait. Alamat IP dikembalikan ke browser, dan pengguna terhubung ke situs web.

Lebih khusus lagi, resolusi kueri di DNS melibatkan beberapa proses dan komponen kunci.

• Inisiasi kueri. Pengguna memasukkan nama domain, seperti “ibm.com”, ke dalam browser atau aplikasi. Jika alamat IP untuk situs yang dimaksud tidak ada di cache browser, permintaan dikirim ke resolver DNS rekursif. Biasanya, perangkat pengguna memiliki pengaturan DNS yang telah ditentukan sebelumnya, disediakan oleh ISP, yang menentukan resolver rekursif mana yang menerima permintaan.
  
  * Proses ini berkembang, karena banyak browser modern mendukung DNS melalui HTTPS (DoH), yang memungkinkan pencarian DNS melalui HTTPS, dan banyak penyedia memiliki server yang disiapkan untuk jenis pencarian ini. Misalnya, jika Anda menggunakan Firefox di Amerika Serikat, secara default akan mengirim kueri ke server Cloudflare DoH alih-alih resolver penyedia ISP lokal. DoH menjadi lebih populer karena menawarkan peningkatan privasi dan kinerja yang lebih baik dan manfaat lainnya.

• Resolver rekursif. Resolver rekursif memeriksa cache-nya sendiri untuk alamat IP domain yang sesuai. Jika tidak memiliki catatan yang diperlukan dalam cache-nya, resolver rekursif memulai proses pencarian, dimulai dari server root.

• Server nama root. Resolver rekursif menanyakan server nama root, yang merespons dengan rujukan ke server TLD yang sesuai untuk domain yang bersangkutan (server nama TLD yang bertanggung jawab untuk domain “.com”, dalam hal ini).

• Server nama TLD. Resolver mengkueri server nama TLD “.com”, yang merespons dengan alamat server nama otoritatif untuk “ibm.com.”

• Server nama domain. Resolver mengkueri server nama domain, yang mencari file zona DNS dan merespons dengan catatan yang benar untuk nama domain yang disediakan.

• Resolusi kueri. Resolver rekursif mengembalikan alamat IP ke perangkat pengguna. Browser atau aplikasi kemudian dapat memulai koneksi ke server host di alamat IP tersebut dan mengakses situs web atau layanan yang diminta. Cache browser dan resolver mencatat sesuai dengan konfigurasi dan TTL masing-masing.

DNS pada dasarnya adalah protokol publik. DNS publik dan pribadi belum tentu istilah dan konsep yang tepat, digunakan secara universal dan dipahami, dan penggunaannya sering kali tidak tepat.

DNS publik sering digunakan untuk merujuk pada proses resolusi DNS “standar”, atau resolver DNS publik, di mana resolver rekursif menanyakan serangkaian server otoritatif yang menyimpan catatan DNS yang tersedia untuk umum untuk menemukan alamat IP dan akhirnya menghubungkan pengguna dengan situs web yang mereka cari. Sering kali ini adalah resolver yang disediakan oleh ISP pengguna atau oleh DNS services seperti Google “quad 8" Public DNS. Resolver pribadi juga dapat dikonfigurasi untuk menanyakan DNS publik, tetapi mereka lebih umum digunakan untuk jaringan terbatas atau perusahaan.

Pencarian DNS standar ini kemungkinan disebut sebagai DNS publik karena resolver yang tersedia untuk umum ini dan fakta bahwa catatan DNS pada server otoritatif ini dapat diakses oleh siapa saja yang memiliki akses internet.

Penggunaan “DNS pribadi” bahkan lebih kabur. Kadang-kadang istilah digunakan untuk menggambarkan penggunaan protokol enkripsi seperti DNS over TLS (DoT) atau DNS over HTTPS (DoH). Namun, ini lebih akurat digambarkan sebagai “fitur privasi” atau “protokol privasi” daripada “DNS pribadi.” Proses resolusi tetap sama, di mana resolver menggunakan DNS yang tersedia untuk umum untuk menemukan apa yang dibutuhkannya. Dalam hal ini, itu hanya dilakukan dengan transfer terenkripsi.

DNS pribadi juga digunakan untuk merujuk pada pencarian dalam jaringan internal tertutup, seperti jaringan perusahaan atau cloud pribadi virtual, dengan akses terbatas untuk pengguna yang berwenang. Dalam sistem seperti itu, resolver pribadi yang dikonfigurasi secara lokal meminta server pribadi untuk menemukan sumber daya dan situs dalam jaringan internal. Server ini dikonfigurasi untuk hanya melayani zona pribadi dan alamat IP internal dan jaringan menyimpan URL internal dan alamat IP tersembunyi dari seluruh internet. Jenis DNS pribadi ini memberi organisasi kontrol dan keamanan yang lebih besar.

Ada banyak cara untuk mengkonfigurasi jaringan semacam ini. Salah satu caranya adalah melalui domain penggunaan khusus seperti.local yang digunakan untuk resolusi pada jaringan lokal. Cara yang lain adalah memiliki subdomain pribadi domain yang tersedia untuk umum di internet. Subdomain pribadi ini hanya akan tersedia untuk individu atau agen yang menggunakan resolver dalam jaringan internal.

Pengaturan perusahaan umum yang menggabungkan DNS “publik” dan “pribadi” disebut “split-horizon DNS”, atau “split brain DNS”. Dalam konfigurasi ini, ada rekursor lokal yang menanyakan server otoritatif lokal dan pribadi untuk permintaan internal, dan bergantung pada DNS standar untuk kueri eksternal. Biasanya ada daftar nama domain, semacam “daftar izinkan”, yang memberi tahu server mana permintaan pergi ke server internal dan mana yang harus diteruskan ke internet publik.

DNS Terkelola adalah layanan pihak ketiga yang memungkinkan organisasi untuk melakukan alihdaya hosting, operasi, dan manajemen infrastruktur DNS mereka. Dengan DNS terkelola, catatan DNS Resmi untuk domain organisasi dihosting di jaringan server penyedia yang didistribusikan secara global. Dalam banyak kasus, penyedia DNS terkelola menawarkan bidang kontrol pusat, dasbor atau API yang memungkinkan klien untuk mengelola dan mengotomatiskan catatan DNS mereka dan pengaturan lainnya.

DNS services terkelola sering menyediakan fitur seperti perutean Anycast, penyeimbangan beban, perjanjian tingkat layanan uptime (SLA), perlindungan failover, DNSSEC dan alat pemantauan dan pemecahan masalah yang dapat memungkinkan resolusi domain yang lebih cepat, lebih andal, dan lebih aman daripada pengaturan DNS mandiri tradisional.

Bahkan sistem DNS terbaik pun dapat rentan terhadap masalah keamanan siber. Serangan terkait DNS meliputi:

Spoofing DNS, juga disebut keracunan cache, terjadi ketika penyerang menyisipkan catatan alamat palsu ke dalam cache DNS resolver, menyebabkan resolver mengembalikan alamat IP yang salah dan mengarahkan pengguna ke situs berbahaya. Spoofing dapat membahayakan data sensitif dan menyebabkan serangan phishing dan distribusi malware.

Amplifikasi DNS adalah jenis serangan DDoS di mana penyerang mengirim kueri kecil ke server DNS dengan alamat pengembalian dipalsukan ke alamat IP korban. Serangan ini mengeksploitasi sifat protokol DNS yang tidak berstatus dan memanfaatkan fakta bahwa kueri kecil dapat menghasilkan respons yang sangat besar.

Sebagai hasil dari serangan amplifikasi, server DNS merespons dengan balasan yang jauh lebih besar, yang memperkuat jumlah lalu lintas yang diarahkan ke pengguna, sehingga membebani sumber daya mereka. Ini dapat mencegah DNS bekerja dan menurunkan aplikasi.

Tunneling DNS adalah teknik yang digunakan untuk mem-bypass langkah-langkah keamanan dengan mengenkapsulasi lalu lintas non-DNS, seperti HTTP, di dalam permintaan dan respons DNS. Penyerang dapat menggunakan terowongan DNS untuk menyampaikan perintah malware atau untuk mengeksfiltrasi informasi DNS dari jaringan yang disusupi, sering kali mengkodekan muatan dalam kueri dan respons DNS untuk menghindari deteksi.

Entri DNS yang diabaikan untuk subdomain yang mengarah ke layanan yang dinonaktifkan adalah target utama bagi penyerang. Jika sebuah layanan (seperti host cloud) telah dinonaktifkan tetapi entri DNS-nya masih ada, penyerang berpotensi mengklaim subdomain tersebut dan membuat situs atau layanan berbahaya sebagai gantinya.

Tidak peduli DNS services apa yang dipilih oleh organisasi, penting untuk menerapkan protokol keamanan untuk meminimalkan permukaan serangan DNS, mengurangi potensi masalah keamanan, dan mengoptimalkan DNS dalam proses jaringan. Beberapa praktik yang berguna untuk memperkuat keamanan DNS meliputi:

• Menerapkan ekstensi keamanan DNS (DNSSEC). DNSSEC menambahkan lapisan keamanan pada pencarian DNS dengan mengharuskan respons DNS ditandatangani secara digital. DNSSEC dapat melindungi dari serangan pemalsuan DNS dengan mengautentikasi asal permintaan dan memverifikasi integritas data DNS.

• Menerapkan praktik pembatasan tarif. Pembatasan kecepatan pada server DNS dapat mengurangi serangan DDoS dengan membatasi jumlah respons—atau kecepatan server mengirim respons—ke satu pemohon dalam jangka waktu tertentu.

• Memerlukan autentikasi dua faktor (2FA ) untuk pendaftar domain. Membuat 2FA untuk akun pendaftar domain dapat mempersulit penyerang untuk mendapatkan akses tidak sah ke server dan mengurangi risiko pembajakan domain.

• Menggunakan redundansi. Menerapkan DNS dalam konfigurasi redundan di beberapa server yang tersebar secara geografis dapat membantu memastikan ketersediaan jaringan jika ada serangan atau pemadaman. Jika server utama mati, server sekunder dapat mengambil alih layanan resolusi DNS.

• Menerapkan pembilasan DNS. Menghapus cache DNS menghapus semua entri dari jaringan lokal, yang dapat berguna untuk menghapus catatan DNS yang tidak valid atau disusupi yang mungkin mengarahkan pengguna ke situs berbahaya. Umumnya, ini adalah layanan on-demand yang disediakan oleh operator resolver. Jika tidak, cache dihapus dengan TTL kedaluwarsa.
  
  
• Terus ikuti informasi terbaru tentang ancaman DNS. Penyerang dan ancaman keamanan berkembang dengan cara yang sama seperti sistem yang mereka bobol. Mengikuti perkembangan kerentanan dan ancaman DNS terbaru dapat membantu tim tetap berada di depan pelaku kejahatan.

Sebelum DNS, internet adalah jaringan komputer yang berkembang terutama digunakan oleh lembaga akademisi dan riset. Pengembang secara manual memetakan nama host ke alamat IP menggunakan file teks sederhana yang disebut HOSTS.TXT, yang dikelola oleh SRI International dan didistribusikan ke setiap komputer di internet. Namun, seiring jaringan berkembang, pendekatan ini menjadi makin sulit untuk dipertahankan.

Untuk mengatasi keterbatasan HOSTS.TXT dan menciptakan sistem yang lebih dapat diskalakan, ilmuwan komputer University of Southern California, Paul Mockapetris, menciptakan sistem nama domain pada tahun 1983. Kohor perintis internet yang membantu membuat DNS juga menulis permintaan komentar pertama (RFC) yang memperinci spesifikasi sistem baru, RFC 882 dan RFC 883. RFC 1034 dan RFC 1035 kemudian menggantikan RFC sebelumnya.

Akhirnya, seiring dengan perluasan DNS, manajemen DNS menjadi tanggung jawab Internet Assigned Numbers Authority (IANA), sebelum akhirnya berada di bawah kendali organisasi nirlaba, Internet Corporation for Assigned Names and Numbers (ICANN), pada tahun 1998.