0
我是新來的安全問題,並正在處理一個問題,我需要找出用於解析名稱到IP的外部DNS。我可以過濾如何查找DNS流量,但如何找出用於解析地址的外部DNS?Wireshark pcap文件 - 搞清楚外部DNS
A
回答
0
可以使用多個DNS解析器。如果你知道他們都偵聽標準端口UDP/53,你可以簡單地檢索目的地IP地址:
$ tshark -r tmp.pcap -T fields -e ip.dst "udp.dstport eq 53" | sort | uniq -c
31 127.0.0.1
3 192.168.1.3
上述會給你的目的地IP地址的列表,UDP/53數據包。在我的情況下,我有一個本地解析器(127.0.0.1),它只調用上述解析器(192.168.1.13)以查找未被高速緩存的記錄。因此,大多數請求只能到達本地解析器(34箇中的31個)。
這也是很常見的DNS解析器對TCP/53聽。您可以使用下面的命令來選擇這些請求以及:
tshark -r capture.pcap -T fields -e ip.dst "udp.dstport eq 53 or tcp.dstport eq 53" | sort | uniq -c
也可以應用報文過濾,同時捕捉,以避免不必要的節約包:
tshark -i any -T fields -e ip.dst "dst port 53" > capture.txt
cat capture.txt | sort | uniq -c
相關問題
- 1. 搞清楚
- 2. 搞清楚C++集
- 3. 搞清楚大小的InputStream
- 4. 搞清楚程序通信
- 5. 搞清楚Rails協會
- 6. 搞清楚C#枚舉
- 7. 搞清楚混雜因子
- 8. 搞清楚類型參數
- 9. 連續向pcshark/wireshark提供pcap文件
- 10. 從wireshark pcap文件獲取日誌
- 11. 真搞不清楚PayPal付款
- 12. 搞清楚在Unix中寫入
- 13. 真搞不清楚安裝PHP模塊
- 14. 搞清楚這段JavaScript代碼
- 15. 搞清楚在一個字符串
- 16. 搞清楚Android存儲文件的位置
- 17. 搞清楚javascript相等運算符
- 18. 搞清楚的時候都用jQuery.load(「url.html」)
- 19. 我真搞不清楚時間compexity
- 20. 搞清楚,並檢查該模式
- 21. C++搞清楚成員編程
- 22. 的SQLite搞清楚這costraint被違反
- 23. 搞清楚(paralax?)滾動效果
- 24. Url.Action沒有搞清楚實際的URL
- 25. 搞清楚這個日期格式
- 26. 搞清楚如何格式化打印
- 27. C++輸出搞清楚問題
- 28. 搞清楚html.tpl.php中的父鏈接
- 29. 搞清楚百分比差異
- 30. Wireshark/Tshark pcap重組代碼