PENCEGAHAN SPYWARE/MALWARE - TEKNIK DNS BLACKHOLE

Kemajuan teknik pencerobohan dan ancaman berkaitan dengan sistem komputer seiring dengan kemajuan itu sendiri. Dahulu, sisi ancaman banyak datang secara langsung dari luar. Namun kini, manipulasi ancaman telah diperluas dan tidak lagi terbatas dengan serangan langsung dari luar. Kelalaian, kealpaan dan keseronokan pengguna dalam mencari maklumat dan berita dimanipulasikan dengan baik oleh mereka yang berniat jahat. Laman web yang dibangunkan atau diceroboh tumbuh melata untuk tujuan penyebaran malware.

Tidak semua pengguna mempunyai kesedaran untuk berhati-hati dalam interaksi dunia Internet. Ramainya hanya buat tak endah, ada juga terpedaya dengan tawaran menarik dari laman yang dikujungi.

Selain dari memasang sistem/aplikasi anti-malware, kita juga boleh menggunakan teknik mudah untuk mencegah diri kita dari tersesat melayari laman sesawang yang merbahaya. Teknik ini dipanggil DNS BLACKHOLE. Biasanya teknik ini diguna pakai oleh organisasi/syarikat bagi tujuan mengahalang pekerja mereka membuat akses ke laman sesawang yang bertentangan dengan polisi organisasi/syarikat.

Tapi ianya tidak salah bagi kita pengguna biasa untuk mengambil pendekatan yang sama kerana manfaatnya.

• Akses Internet yang lebih pantas dengan penggunan local DNS cache
• Menghalang akses ke laman sesawang malware

Contoh yang diberikan di sini adalah dengan menggunakan OS Ubuntu (Linux) dan aplikasi bind9.

Pemasangan:

apt-get install bind9
cd /etc/bind
vi blockeddomain.hosts

** Boleh digunakan sebarang editor selain vi

** Fail ini akan mengarahkan pencarian domain sasaran kepada IP 127.0.0.1 (localhost)

wget http://mirror1.malwaredomains.com/files/spywaredomains.zones
sed 's/namedb/bind/g' spywaredomains.zones

** Arahan di atas hanya perlu jika direktori tetapan bind tidak sama seperti

** apa yang ada di dalam fail  spywaredomains.zones.

**Bagi ubuntu, direktori tetapan bagi bind adalah /etc/bind

echo 'include "/etc/bind/spywaredomains.zones";' >> named.conf
service bind9 restart

"/etc/bind/spywaredomains.zones"

$TTL    86400   ; one day
@       IN      SOA     contoh.domain.  root (
                                         2013072500       ; serial number YYMMDDNN
                                         28800   ; refresh  8 hours
                                         7200    ; retry    2 hours
                                         864000  ; expire  10 days
                                         86400 ) ; min ttl  1 day
                NS      contoh.domain.
                                A       127.0.0.1
*               IN      A       127.0.0.1

Ujian

 cp /etc/resolv.conf /etc/resolv.conf.orig
 echo "nameserver 127.0.0.1" > /etc/resolv.conf

dig @127.0.0.1 xnat.pt |grep 127.0.0.1

** Domain xnat.pt termasuk dalam zon spywaredomains.zones

** Hasilnya lebih kurang seperti di bawah
 ; <<>> DiG 9.8.1-P1 <<>> @127.0.0.1 xnat.pt
xnat.pt.                86400   IN      A       127.0.0.1
;; SERVER: 127.0.0.1#53(127.0.0.1)

ping xnat.pt -c1 |grep icmp

** Jawapan seperti di bawah

 64 bytes from localhost (127.0.0.1): icmp_req=1 ttl=64 time=0.030 ms

MALWARE

# wget -O - http://www.malwarepatrol.net/cgi/submit?action=list_bind > malware.zones

** Buat perubahan sepatutnya dan jangan lupa kemas serial number bagi fail "blockeddomain.hosts"

# service bind9 restart

Perhatian:

Bagi Ubuntu, perubahan secara tetap untuk resolv.conf perlu dilakukan menerusi Settings --> System Settings --> Network Settings