【发布时间】:2017-09-16 19:33:11
【问题描述】:
我是安全新手,正在解决一个问题,我需要找出用于将名称解析为 IP 的外部 DNS。我可以过滤如何查找 dns 流量,但如何找出用于解析地址的外部 DNS?
【问题讨论】:
标签: security dns wireshark pcap tshark
【发布时间】:2017-09-16 19:33:11
【问题描述】:
可以使用多个 DNS 解析器。如果您知道它们都在标准端口 UDP/53 上侦听,您可以简单地检索目标 IP 地址:
$ tshark -r tmp.pcap -T fields -e ip.dst "udp.dstport eq 53" | sort | uniq -c
31 127.0.0.1
3 192.168.1.3
上面将为您提供 UDP/53 数据包的目标 IP 地址列表。就我而言,我有一个本地解析器 (127.0.0.1),它只为未缓存的记录调用上述解析器 (192.168.1.13)。因此,大多数请求只发送到本地解析器(34 个中的 31 个)。
DNS 解析器侦听 TCP/53 也很常见。您也可以使用以下命令来选择这些请求:
tshark -r capture.pcap -T fields -e ip.dst "udp.dstport eq 53 or tcp.dstport eq 53" | sort | uniq -c
您还可以在捕获时应用过滤数据包,以避免保存不必要的数据包:
tshark -i any -T fields -e ip.dst "dst port 53" > capture.txt
cat capture.txt | sort | uniq -c
【讨论】: