Я новичок в безопасности и работал над проблемой, когда мне нужно выяснить внешний DNS, используемый для преобразования имен в IP. Я могу отфильтровать, как искать DNS-трафик, но как мне выяснить, какой внешний DNS используется для разрешения адресов?
Файл pcap Wireshark — выяснение внешнего dns
Ответы (1)
Может использоваться несколько преобразователей DNS. Если вы знаете, что все они прослушивают стандартный порт UDP/53, вы можете просто получить IP-адреса назначения:
$ tshark -r tmp.pcap -T fields -e ip.dst "udp.dstport eq 53" | sort | uniq -c
31 127.0.0.1
3 192.168.1.3
Вышеприведенное даст вам список IP-адресов назначения для пакетов UDP/53. В моем случае у меня есть локальный преобразователь (127.0.0.1), который вызывает указанный выше преобразователь (192.168.1.13) только для незакэшированных записей. Таким образом, большинство запросов идут только к локальному резолверу (31 из 34).
Резолверы DNS также довольно часто прослушивают TCP/53. Вы также можете использовать следующую команду для выбора этих запросов:
tshark -r capture.pcap -T fields -e ip.dst "udp.dstport eq 53 or tcp.dstport eq 53" | sort | uniq -c
Вы также можете применить фильтрацию пакетов во время захвата, чтобы избежать сохранения ненужных пакетов:
tshark -i any -T fields -e ip.dst "dst port 53" > capture.txt
cat capture.txt | sort | uniq -c
person
pchaigno
schedule
16.09.2017
