Whois Lookup
Whois adalah query dan response protocol yang digunakan untuk melakukan query ke database yang menyimpan informasi seperti domain name dan IP address block. Protocol akan menggunakan port TCP 43.
Regional Internet Registries (RIRs) akan memaintain Whois database, yang berisi personal information dari pemiliki domain dan administrative informations seperti creation dan expiration date.
Ada dua tipe data model untuk menyimpan whois database:
- Thick Whois, menyimpan informasi lengkap whois.
- Thin Whois, hanya menyimpan nama registrar.
Berikut informasi yang mungkin didapat melakukan Whois query:
- Domain name details
- Contact details dari pemilik domain
- Domain name servers
- NetRange
- Waktu domain dibuat
- Informasi expired
- Record last updated
Links RIRs
- ARIN (America) : https://www.arin.net/
- AFRINIC (Africa): https://afrinic.net/
- APNIC (Asia Pacific): https://www.apnic.net/
- RIPE (Europe): https://www.ripe.net/
- LACNIC (Latin American and Carribean): https://www.lacnic.net/
Berikut contoh penggunakan service https://whois.domaintools.com/
Untuk query, digunakan nama domain dari target, lalu akan ditampilkan informasi seperti berikut:
Finding IP Geolocation Information
IP Geolocation dapat membantu mendapatkan informasi seperti country, region/state, city, latitude and longitude, ZIP code, time zone, connection speed, ISP, domain name, IDD country code, area code, weather station code and name, mobile carrier dan elevation.
Berdasarkan informasi tersebut, attacker dapat menggunakannya dalam social engineering, surveillance, dumpster diving, hoaxing atau menyamar menjadi technical expert, untuk mendapatkan informasi yang berguna.
Contoh tools IP Geolocation adalah: IP2Location, IP Location Finder, IP Address Geographical Location Finder.
Contoh Penggunaan IP2Location, dapat dilihat dari screen capture berikut.
Extracting DNS Information
DNS Footprinting dapat mengungkapkan informasi tentang DNS zone data, dimana termasuk didalamnya, DNS domain names, computer names, IP address dan informasi lainnya tentang network.
Attacker dapat menggunakan key hosts pada network untuk melakukan social engineering dengan tujuan mendapatkan informasi yang lebih banyak.
Berikut record type yang dapat diperoleh
| Record Type | Description |
|---|---|
| A | Points to a host’s IP address |
| MX | Points to domain’s mail server |
| NS | Points to host’s name server |
| CNAME | Canonical naming allow alias to a host |
| SOA | Indicate authority for a domain |
| SRV | Service records |
| PTR | Maps IP addres to a hostname |
| RP | Responsible person |
| HINFO | Host information records includes CPU type and OS |
| TXT | Unstructured text records |
Salah contoh online tool DNS Footprinting adalah Network-tools. Berikut screen capture dari penggunaan Network-tools.com.
Tools lainnya yang dapat digunakan adalah DNSDumpster, Bluto, dan Domain dosier. Tools ini cukup meberikan informasi yang lengkap seperti, domains IP address, domain whois records, DNS records dan network whois records.
Reverse DNS Lookup
DNS lookup adalah mencari IP address berdasarkan nama domain, sementara reverse DNS lookup adalah mencari domain name berdasarkan IP address yang diberikan.
Attacker melakukan Reverse DNS lookup untuk IP range untuk mendapatkan DNS PTR Record untuk IP Address tertentu.
Contoh tools yang dapat digunakan adalah: DNSRecon (sudah tersedia dalam Kali Linux) dan Reverse IP Domain Check.
Berikut contoh penggunakan dnsrecon:
