Je suis nouveau à la sécurité et travaillais sur un problème où j'ai besoin de comprendre le DNS externe utilisé pour résoudre les noms à IP. Je peux filtrer comment rechercher le trafic DNS, mais comment puis-je comprendre le DNS externe utilisé pour résoudre les adresses?Wireshark fichier pcap - trouver dehors dns externe
Plusieurs résolveurs DNS peuvent être utilisés. Si vous le savez tous écoutent le port standard UDP/53, vous pouvez simplement récupérer les adresses IP de destination:
$ tshark -r tmp.pcap -T fields -e ip.dst "udp.dstport eq 53" | sort | uniq -c
31 127.0.0.1
3 192.168.1.3
ci-dessus vous donnera la liste des adresses IP de destination UDP/53 paquets. Dans mon cas, j'ai un résolveur local (127.0.0.1) qui appelle seulement le résolveur ci-dessus (192.168.1.13) pour les enregistrements qui ne sont pas mis en cache. Ainsi, la plupart des demandes vont uniquement au résolveur local (31 sur 34).
Il est également assez courant pour les résolveurs DNS pour écouter sur TCP/53. Vous pouvez utiliser la commande suivante pour sélectionner ces demandes ainsi:
tshark -r capture.pcap -T fields -e ip.dst "udp.dstport eq 53 or tcp.dstport eq 53" | sort | uniq -c
Vous pouvez également appliquer filtre les paquets tout en capturant, pour éviter d'enregistrer des paquets inutiles:
tshark -i any -T fields -e ip.dst "dst port 53" > capture.txt
cat capture.txt | sort | uniq -c