0
저는 보안에 익숙하지 않고 이름을 IP로 확인하는 데 사용되는 외부 DNS를 파악해야하는 문제에 대해 작업하고있었습니다. DNS 트래픽을 찾는 방법을 필터링 할 수 있지만 주소를 확인하는 데 사용되는 외부 DNS를 어떻게 알 수 있습니까?Wireshark pcap 파일 - 외부 DNS 이해
A
답변
0
여러 개의 DNS 확인자가 사용될 수 있습니다. 당신이 그들 모두가 표준 포트 UDP/53에들을 알고 있다면, 당신은 단순히 목적지 IP 주소를 검색 할 수 있습니다
$ tshark -r tmp.pcap -T fields -e ip.dst "udp.dstport eq 53" | sort | uniq -c
31 127.0.0.1
3 192.168.1.3
은 위의 UDP/53 패킷에 대한 당신에게 목적지 IP 주소의 목록을 제공합니다. 필자의 경우 로컬 리졸버 (127.0.0.1)는 캐시되지 않은 레코드에 대해서만 위의 해결 자 (192.168.1.13)를 호출합니다. 따라서 대부분의 요청은 로컬 결정자 (34 개 중 31 개)에게만 전달됩니다. DNS 리졸버는 TCP/53에서 수신하는
은 또한 매우 일반적입니다. 당신은뿐만 아니라 이러한 요청을 선택하려면 다음 명령을 사용할 수 있습니다
tshark -r capture.pcap -T fields -e ip.dst "udp.dstport eq 53 or tcp.dstport eq 53" | sort | uniq -c
당신은 또한 필터 패킷을 적용 할 수 있습니다 불필요한 패킷 저장 방지하기 위해,을 캡처하는 동안 :
tshark -i any -T fields -e ip.dst "dst port 53" > capture.txt
cat capture.txt | sort | uniq -c