Ich bin neu in der Sicherheit und arbeitete an einem Problem, wo ich herausfinden müssen, die externe DNS verwendet, um Namen zu IP aufzulösen. Ich kann filtern, wie nach DNS-Verkehr gesucht wird, aber wie finde ich den externen DNS heraus, der verwendet wird, um Adressen aufzulösen?Wireshark PCAP-Datei - herauszufinden, externe DNS
Es können mehrere DNS-Resolver verwendet werden. Wenn Sie wissen, dass sie alle auf Standard-Port UDP hören/53, können Sie einfach die Ziel-IP-Adressen abrufen:
$ tshark -r tmp.pcap -T fields -e ip.dst "udp.dstport eq 53" | sort | uniq -c
31 127.0.0.1
3 192.168.1.3
Die oben werden Sie die Liste der Ziel-IP-Adressen für UDP/53 Pakete. In meinem Fall habe ich einen lokalen Resolver (127.0.0.1), der nur den obigen Resolver (192.168.1.13) für Datensätze aufruft, die nicht im Cache gespeichert sind. Daher gehen die meisten Anfragen nur an den lokalen Resolver (31 von 34).
Es ist auch ziemlich häufig für die DNS-Resolver auf TCP/53 hört. Sie können den folgenden Befehl verwenden, diese Wünsche so gut zu wählen:
tshark -r capture.pcap -T fields -e ip.dst "udp.dstport eq 53 or tcp.dstport eq 53" | sort | uniq -c
Sie können auch Filterpakete anwenden, während Aufnehmen, Speichern unnötige Pakete zu vermeiden:
tshark -i any -T fields -e ip.dst "dst port 53" > capture.txt
cat capture.txt | sort | uniq -c