Dalam artikel ini, dibahas mengenai pencarian DNS — apa itu, cara kerjanya, dan dampaknya terhadap privasi daring dan sensor.

Pencarian DNS merujuk pada proses pencocokan URL yang dimasukkan ke bilah alamat peramban (nama domain yang dapat dibaca) dengan alamat IP yang sesuai.

Semua perangkat yang terhubung langsung ke internet diidentifikasi dengan label numerik yang dikenal sebagai alamat IP. Untuk memudahkan manusia, alamat ini juga dapat diidentifikasi menggunakan nama domain yang lebih mudah dibaca dan diingat. Domain Name System (DNS) memetakan nama domain ini ke alamat IP yang sesuai.

Pelajari lebih lanjut tentang alamat IP

Sebagai contoh, situs web Proton VPN menggunakan nama domain protonvpn.com, yang sesuai dengan alamat IP 185.159.159.140. Saat mengetik www.protonvpn.com ke bilah URL peramban, nama domain tersebut harus dikonversi menjadi alamat IP yang sesuai agar komputer dapat memahaminya.

Konversi ini dilakukan menggunakan DNS. Jadi, saat mengetik protonvpn.com, DNS mengonversi nama domain tersebut menjadi alamat IP: 185.159.159.140. Hal ini memungkinkan peramban untuk menemukan dan terhubung ke situs web yang benar.

Nama domain ada semata-mata untuk kemudahan manusia dan tidak diperlukan agar internet dapat berfungsi. Jika alamat IP dapat diingat, alamat tersebut dapat diketik secara langsung. Untuk melihat cara kerjanya, cukup masukkan 185.159.159.140 ke bilah URL peramban, dan halaman akan mengarah ke situs web Proton VPN.

Cara kerja pencarian DNS

DNS sering kali dianalogikan dengan buku telepon yang mereferensikan silang nama domain dan alamat IP yang sesuai. Ini adalah analogi yang berguna untuk memahami fungsi DNS, tetapi kenyataan tentang cara kerjanya jauh lebih kompleks.

DNS resolver

Saat memasukkan nama domain ke bilah URL peramban, kueri DNS dikirim ke server khusus yang disebut DNS resolver (juga disebut DNS recursor atau hanya server DNS).

Sesuai namanya, DNS resolver “menyelesaikan” kueri DNS dengan mengambil alamat IP domain yang sesuai dan mengirimkannya kembali ke peramban. Setelah alamat IP dari situs web yang ingin dikunjungi diketahui, peramban dapat terhubung ke situs tersebut.

Sejauh ini terdengar mudah. Namun, bagaimana DNS resolver mendapatkan alamat DNS yang benar untuk suatu domain (proses yang rumit karena domain baru selalu dibuat setiap saat, dan alamat IP sering kali dialokasikan secara dinamis ke domain sehingga rutin berubah)?

Cara domain diselesaikan menggunakan DNS

Pencarian DNS untuk top-level domain(jendela baru) (TLD) biasanya melibatkan langkah-langkah berikut:

1. Mengetik protonvpn.com ke bilah URL peramban. Peramban mengirimkan kueri ini melalui internet ke DNS resolver.

2. DNS resolver mengirimkan kueri ke DNS root name server. Ini adalah server yang menyimpan informasi tentang TLD (seperti .com atau .net, atau TLD kode negara seperti .ch or .uk). Karena kueri yang dikirimkan adalah (protonvpn.com), DNS root name server akan mengarahkan ke DNS resolver untuk TLD “.com”.

3. Berbekal informasi ini, DNS resolver sekarang akan mengajukan kueri ke TLD name server .com, yang mengelola daftar semua domain .com. TLD name server merespons dengan alamat IP dari authoritative name server milik domain tersebut.

4. DNS resolver kini dapat mengajukan kueri ke authoritative nameserver milik domain tersebut. Layanan ini biasanya dijalankan oleh registrat domain(jendela baru) — bisnis yang menyewakan dan mengelola nama domain (seperti GoDaddy atau Namecheap). Authoritative nameserver adalah sumber kebenaran akhir tentang domain tersebut dan dapat mengembalikan alamat IP miliknya ke DNS resolver (dalam kasus ini, alamatnya adalah 185.159.159.140).

5. DNS resolver mengirimkan alamat IP yang benar ke peramban, yang kini dapat terhubung ke 185.159.159.140.

Cara kerja DNS

Pada kenyataannya, situasinya sedikit lebih rumit. Sebagai contoh, banyak domain dikaitkan dengan beberapa alamat IP (termasuk alamat IPv4 dan IPv6), dan akan ada langkah tambahan jika mengunjungi subdomain (seperti blog.protonvpn.com).

Informasi juga rutin disimpan di tembolok (disimpan secara lokal) di semua tahap proses — oleh peramban, oleh DNS resolver, dan oleh berbagai name server. Jika informasi yang diperlukan ditemukan di dalam tembolok, permintaan tidak akan dikirim, yang mengakibatkan beberapa langkah dilewati.

Namun, pada dasarnya, seperti itulah cara kerja DNS untuk kunjungan standar ke suatu situs web.

DNS, sensor, dan pengawasan pemerintah

Secara bawaan, peramban mengirimkan kueri DNS ke DNS resolver yang dijalankan oleh penyedia layanan internet (ISP). ISP dapat menggunakan berbagai metode untuk melihat aktivitas di internet, tetapi sejauh ini cara termudah (dan termurah) adalah dengan cukup memantau kueri DNS.

Sebagian besar program mata-mata massal pemerintah mengandalkan kewajiban bagi ISP untuk menyimpan log riwayat penelusuran pelanggan mereka. Dan, karena mudah serta murah, sebagian besar ISP memenuhi kewajiban hukum ini hanya dengan menyimpan log DNS.

Demikian pula, ketika pemerintah ingin menyensor konten internet karena alasan sosial, keagamaan, politik, atau “moral”, mereka meminta ISP domestik untuk menerapkan pemblokiran ini. Dan cara termudah untuk melakukannya adalah dengan memblokir kueri DNS ke situs web dan aplikasi tertentu.

Layanan DNS pihak ketiga

Salah satu cara untuk menghindari setidaknya sebagian dari sensor dan pengawasan ini adalah dengan menggunakan DNS resolver pihak ketiga, seperti Cloudflare 1.1.1.1 atau OpenNIC.

Beberapa dari layanan ini mungkin memiliki kebijakan privasi yang baik, tetapi kecuali koneksi ke server DNS resolver dienkripsi menggunakan DNS over TLS (DoT) atau DNS over HTTPS (DoH), ISP dapat melihat permintaan dalam teks biasa jika memilih untuk melihatnya.

Mengenkripsi kueri DNS mempersulit (dan karenanya membuat lebih mahal) bagi ISP untuk memantau riwayat penelusuran, tetapi ISP masih dapat dengan mudah melacak situs web dan aplikasi mana saja yang terhubung jika mereka mau.

Dapatkan Proton VPN!

DNS dan VPN

Saat menggunakan VPN (seperti Proton VPN), koneksi ke server VPN akan dienkripsi. Dengan beberapa upaya, ISP dapat melihat adanya koneksi ke alamat IP milik server VPN, tetapi hanya sebatas itu saja.

Kueri DNS dikirim melalui terowongan VPN dan diselesaikan oleh penyedia VPN, yang mungkin menjalankan DNS resolver miliknya sendiri atau menggunakan resolver VPN pihak ketiga. Hal ini tidak berdampak pada privasi karena kueri DNS tampak berasal dari server VPN, bukan dari pengguna VPN.

Pelajari cara kerja VPN

Perlu dicatat bahwa DNS terenkripsi tidak diperlukan saat menggunakan VPN, karena semua kueri DNS sudah dikirim melalui terowongan VPN yang terenkripsi.

Juga tidak disarankan untuk menggunakan DNS resolver pihak ketiga bersama dengan VPN. Mengonfigurasi sistem dengan cara ini dapat menyebabkan kueri DNS dikirim ke luar terowongan VPN ke DNS resolver pihak ketiga.

Pelajari lebih lanjut tentang kebocoran DNS

NetShield Ad-blocker

Proton VPN menawarkan NetShield Ad-blocker di semua aplikasi. Ini adalah fitur penyaringan DNS yang memblokir kueri DNS ke domain yang diketahui milik perusahaan periklanan, pelacak daring, dan malware. Fitur ini (dan layanan penyaringan DNS serupa lainnya) bekerja pada tingkat DNS resolver dengan cara tidak menyelesaikan kueri DNS ke domain yang masuk daftar blokir.

Pelajari lebih lanjut tentang NetShield Ad-blocker

Secara teknis, ini merupakan kebocoran DNS (lihat di bawah). Hal ini mungkin bukan masalah besar jika kueri DNS terenkripsi dan resolver DNS dipercayai, tetapi hal ini melibatkan pihak ketiga yang tidak perlu (sehingga menjadi potensi titik kelemahan) ke dalam persoalan.

Kebocoran DNS

Saat menggunakan VPN, semua kueri DNS harus dikirim melalui terowongan VPN untuk diselesaikan oleh penyedia VPN. Jika, karena alasan apa pun, kueri DNS dikirim ke luar terowongan VPN ke resolver DNS pihak ketiga, kebocoran DNS telah terjadi. Kegagalan untuk merutekan permintaan DNS IPv6 dengan benar melalui terowongan VPN adalah penyebab umum kebocoran DNS.

Karena pihak ketiga ini kemungkinan besar adalah ISP, kebocoran DNS merupakan masalah privasi yang serius. Tentu saja, semua aplikasi Proton VPN memiliki perlindungan kebocoran DNS bawaan yang kuat.

Jenis catatan DNS yang umum

Berikut adalah beberapa jenis catatan DNS utama yang dapat dicari:

  • Catatan A (Alamat): Memetakan nama domain ke alamat IPv4. Contoh: example.com → 192.0.2.1
  • Catatan AAAA (Quad A): Memetakan nama domain ke alamat IPv6. Contoh: example.com → 2001:0db8:85a3:0000:0000:8a2e:0370:7334
  • Catatan CNAME (Canonical Name): Memetakan nama domain ke nama domain lain, secara efektif membuat alias dari satu nama ke nama lain. Contoh: www.example.com → example.com
  • Catatan MX (Mail Exchange): Menentukan server surat yang bertanggung jawab untuk menerima email atas nama domain. Contoh: example.com → mail.example.com (prioritas 10 — angka prioritas menunjukkan preferensi, dengan permintaan prioritas lebih rendah yang lebih diutamakan).
  • Catatan PTR (Pointer): Memetakan alamat IP ke nama domain, terutama digunakan untuk pencarian DNS balik. Contoh: 192.0.2.1 → example.com
  • Catatan NS (Name Server): Menentukan server nama otoritatif untuk domain. Contoh: example.com → ns1.example.com, ns2.example.com
  • Catatan SOA (Start of Authority): Menyediakan informasi penting tentang domain, termasuk server nama utama, email administrator domain, nomor seri domain (yang membantu mengelola dan menyinkronkan data DNS di beberapa server DNS), serta pengatur waktu muat ulang, percobaan ulang, dan kedaluwarsa (Contoh: example.com → ns1.example.com, admin.example.com, 2024041501)
  • Catatan TXT (Text): Menyimpan data teks arbitrer, sering digunakan untuk validasi email (seperti SPF atau DKIM) dan tujuan verifikasi lainnya. Contoh: example.com → “v=spf1 include:example.com ~all”
  • Catatan SRV (Service): Menentukan lokasi server untuk layanan tertentu, seperti protokol telepon internet SIP(jendela baru), protokol pesan XMPP(jendela baru), dll. Contoh: _sip._tcp.example.com → 0 5 5060 sipserver.example.com
  • Catatan CAA (Certification Authority Authorization): Menentukan otoritas sertifikat (CA) mana yang diizinkan untuk menerbitkan sertifikat untuk suatu domain. Contoh: example.com → 0 menerbitkan “letsencrypt.org”
  • Catatan NAPTR (Naming Authority Pointer): Digunakan untuk resolusi URL dan menetapkan aturan penulisan ulang untuk berbagai layanan seperti VoIP. Contoh: example.com → 100 50 “s” “SIP+D2U” “” _sip._udp.example.com
  • DNSKEY: Berisi kunci penandatanganan publik yang digunakan dalam DNSSEC (rangkaian spesifikasi yang dirancang untuk menambahkan lapisan keamanan ekstra pada DNS).
  • . Contoh: example.com → 256 3 13 …
  • Catatan DS (Delegation Signer): Menyimpan hash dari catatan DNSKEY untuk mengamankan delegasi di DNSSEC. Contoh: example.com → 12345 13 2 …
  • Catatan SPF (Sender Policy Framework): Digunakan untuk menentukan alamat IP mana yang diotorisasi untuk mengirim email atas nama domain. Contoh: example.com → “v=spf1 ip4:192.0.2.0/24 -all”

Perintah pencarian DNS

Perintah DNS digunakan untuk mengueri, menguji, dan memecahkan masalah server serta catatan DNS. Perintah ini penting bagi administrator jaringan untuk memastikan bahwa layanan DNS berfungsi dengan benar, karena DNS sangat penting untuk resolusi nama domain ke alamat IP.

Di bawah ini adalah beberapa perintah DNS yang umum digunakan. Perintah ini dapat dijalankan di jendela terminal (Linux), Terminal (macOS), Command Prompt (cmd) atau PowerShell (Windows), atau bahkan aplikasi emulator terminal di perangkat seluler. Tidak semua perintah ini tersedia secara bawaan di platform, tetapi hampir selalu mudah diinstal.

nslookup

Perintah nslookup adalah alat untuk mengueri DNS guna mendapatkan pemetaan nama domain atau alamat IP. Server DNS tertentu juga dapat ditentukan untuk digunakan dan melakukan pencarian DNS balik.

nslookup

dig

Perintah dig (Domain Information Groper) adalah alat pencarian IP DNS yang lebih andal dan fleksibel daripada nslookup. Administrator jaringan sering kali lebih menyukainya karena output yang mendetail dan opsi lanjutannya.

dig

Dengan dig, kueri jenis catatan DNS tertentu, kueri server DNS tertentu, serta pencarian DNS balik juga dapat dilakukan.

host

Perintah host adalah alat lain untuk melakukan pencarian DNS. Perintah ini lebih sederhana daripada dig tetapi menyediakan informasi yang memadai untuk tugas-tugas dasar, termasuk mengueri server DNS tertentu dan melakukan pencarian DNS balik.

host

ping

Perintah ping terutama digunakan untuk memeriksa keterjangkauan host di jaringan IP, tetapi perintah ini juga melakukan resolusi DNS sebagai bagian dari operasinya.

ping

traceroute / tracert

Perintah traceroute (di Linux dan macOS) dan tracert (di Windows) digunakan untuk melacak jalur paket, dari sumber hingga tujuannya. Perintah ini meresolusi nama domain ke alamat IP dan menunjukkan setiap hop dalam perjalanan ke tujuan.

traceroute

ipconfig / ifconfig

Perintah ifconfig (di Linux dan macOS) dan ipconfig (di Windows) dapat digunakan untuk menampilkan konfigurasi jaringan, termasuk server DNS yang digunakan sistem. Jika digunakan secara mandiri, perintah ini hanya menampilkan antarmuka yang aktif. Untuk melihat semua antarmuka di Windows, gunakan ipconfig /all.

ipconfig

Alat pencarian DNS

Selain alat baris perintah seperti yang dibahas di atas, ada banyak alat pencarian DNS daring yang menyediakan antarmuka pengguna grafis (GUI) untuk mengueri DNS. Contoh yang bagus adalah pemindai IP aman gratis, yang memungkinkan pencarian DNS biasa, pencarian MX, pencarian NS, pencarian CNAME, dan pencarian TXT.

Pencarian DNS

Alat ini juga dapat melakukan pencarian DNS balik (pencarian IP).

Pencarian DNS balik

Pemikiran akhir

Pada dasarnya, DNS hanyalah buku telepon otomatis yang rumit. DNS membuat internet dapat digunakan oleh manusia, tetapi dapat (dan memang) disalahgunakan oleh pemerintah untuk memata-matai warga negara dan menyensor apa yang mereka lihat. Cara terbaik untuk menghindari penyalahgunaan DNS ini adalah dengan menggunakan layanan VPN seperti Proton VPN.

Layanan VPN menyelesaikan kueri DNS dengan aman alih-alih ISP, dan sebagian besar layanan VPN tepercaya berkomitmen untuk melindungi privasi.

Tentu saja, VPN juga menawarkan banyak manfaat lain, seperti menyembunyikan alamat IP asli dari situs web yang dikunjungi, memberikan perlindungan yang ditingkatkan agar ISP tidak dapat memantau atau menyensor aktivitas internet, memungkinkan streaming konten favorit saat bepergian, dan banyak lagi.

Pelajari lebih lanjut tentang manfaat menggunakan VPN