0
我是新來的安全問題,並正在處理一個問題,我需要找出用於解析名稱到IP的外部DNS。我可以過濾如何查找DNS流量,但如何找出用於解析地址的外部DNS?Wireshark pcap文件 - 搞清楚外部DNS
我是新來的安全問題,並正在處理一個問題,我需要找出用於解析名稱到IP的外部DNS。我可以過濾如何查找DNS流量,但如何找出用於解析地址的外部DNS?Wireshark pcap文件 - 搞清楚外部DNS
可以使用多個DNS解析器。如果你知道他們都偵聽標準端口UDP/53,你可以簡單地檢索目的地IP地址:
$ tshark -r tmp.pcap -T fields -e ip.dst "udp.dstport eq 53" | sort | uniq -c
31 127.0.0.1
3 192.168.1.3
上述會給你的目的地IP地址的列表,UDP/53數據包。在我的情況下,我有一個本地解析器(127.0.0.1
),它只調用上述解析器(192.168.1.13
)以查找未被高速緩存的記錄。因此,大多數請求只能到達本地解析器(34箇中的31個)。
這也是很常見的DNS解析器對TCP/53聽。您可以使用下面的命令來選擇這些請求以及:
tshark -r capture.pcap -T fields -e ip.dst "udp.dstport eq 53 or tcp.dstport eq 53" | sort | uniq -c
也可以應用報文過濾,同時捕捉,以避免不必要的節約包:
tshark -i any -T fields -e ip.dst "dst port 53" > capture.txt
cat capture.txt | sort | uniq -c