DNS-Kommunikation filtern

Einführung

In dieser Herausforderung schlüpfen Sie in die Rolle eines Netzwerksicherheitsanalysten bei CyberDefend Inc. Ihre Aufgabe ist es, den DNS-Verkehr im Unternehmensnetzwerk zu überwachen, da verdächtige Aktivitäten auf potenzielle DNS-Tunneling-Angriffe hindeuten. Ihr Ziel ist es, ausschließlich die DNS-Kommunikation zu isolieren und für eine weitere Sicherheitsanalyse zu erfassen.

Mit Wireshark müssen Sie den entsprechenden Aufnahmefilter "udp port 53" anwenden, um gezielt DNS-Verkehr zu erfassen. Sie sollen mindestens 10 Pakete aufzeichnen und diese als pcapng-Datei im vorgesehenen Verzeichnis speichern. Diese praktische Übung hilft Ihnen dabei, grundlegende Fähigkeiten in der Filterung von Netzwerkverkehr und der Protokollanalyse zu entwickeln, die für die Identifizierung und Untersuchung potenzieller Sicherheitsbedrohungen in der Netzwerkkommunikation unerlässlich sind.

DNS-Kommunikation filtern

Als Netzwerksicherheitsanalyst bei CyberDefend Inc. wurden Sie beauftragt, den DNS-Verkehr im Netzwerk Ihres Unternehmens zu überwachen. Jüngste verdächtige Aktivitäten deuten auf mögliche DNS-Tunneling-Angriffe hin. Ihre Aufgabe ist es, ausschließlich den DNS-Verkehr zu isolieren und für eine detaillierte Analyse zu erfassen.

Aufgaben

• Verwenden Sie Wireshark mit dem Aufnahmefilter "udp port 53", um ausschließlich DNS-Verkehr zu sammeln, und speichern Sie die erfassten Pakete als dns_capture.pcapng im Verzeichnis /home/labex/project.

Anforderungen

1. Starten Sie Wireshark über das Terminal oder das Anwendungsmenü.
2. Konfigurieren Sie einen Aufnahmefilter (Capture Filter) unter Verwendung der Berkeley Packet Filter (BPF) Syntax, um nur DNS-Verkehr zu erfassen. Der korrekte Filterausdruck lautet udp port 53.
3. Erfassen Sie mindestens 10 DNS-Pakete.
4. Speichern Sie die erfassten Pakete in der Datei /home/labex/project/dns_capture.pcapng.
5. Verändern Sie die erfasste Datei nach dem Speichern nicht mehr.

Beispiele

Wenn Sie die Herausforderung erfolgreich abgeschlossen haben, sollte Ihr Wireshark-Fenster etwa so aussehen:

• Die Paketliste zeigt ausschließlich DNS-Anfragen (Queries) und -Antworten (Responses).
• In der Spalte "Protocol" steht bei den meisten Paketen DNS.
• Die Spalte "Info" zeigt Abfragen für Domains wie google.com, facebook.com usw.
• Die Quell- und Zielports beinhalten Port 53.

Hinweise

• DNS verwendet normalerweise UDP auf Port 53, kann aber gelegentlich auch TCP Port 53 nutzen. Für diese Herausforderung reicht die Konzentration auf UDP Port 53 aus.
• Um einen Aufnahmefilter in Wireshark zu setzen, suchen Sie nach dem Feld "Capture Filter" auf der Hauptoberfläche oder im Dialogfeld für die Aufnahmeoptionen (Capture Options).
• Stellen Sie sicher, dass Sie die richtige Netzwerkschnittstelle auswählen, auf der Datenverkehr fließt (normalerweise der primäre Netzwerkadapter oder "any").
• Lassen Sie die Aufnahme mindestens 30 Sekunden lang laufen, um sicherzustellen, dass genügend DNS-Pakete gesammelt werden.
• Sie können die Aufnahme stoppen, indem Sie auf das rote quadratische Symbol in der Wireshark-Symbolleiste klicken.
• Zum Speichern der Aufnahme verwenden Sie File > Save As im Wireshark-Menü.

Zusammenfassung

In dieser Herausforderung habe ich die Rolle eines Netzwerksicherheitsanalysten bei CyberDefend Inc. übernommen, um DNS-Verkehr auf potenzielle Tunneling-Angriffe zu überwachen. Ich habe gelernt, wie man Wireshark verwendet, um DNS-Kommunikation zu isolieren, indem ein Aufnahmefilter mit der Berkeley Packet Filter (BPF) Syntax "udp port 53" konfiguriert wird, der gezielt DNS-Verkehr anspricht.

Die Übung umfasste das Starten von Wireshark, das Anwenden des entsprechenden Aufnahmefilters, das Sammeln von mindestens 10 DNS-Paketen (generiert durch nslookup-Abfragen zu Domains wie google.com und facebook.com) und das Speichern der erfassten Daten an einem vorgegebenen Ort. Diese praktische Anwendung hat gezeigt, wie Sicherheitsexperten sich bei der Untersuchung von Netzwerkkommunikation auf spezifischen Protokollverkehr konzentrieren können, was eine effizientere Analyse potenzieller Sicherheitsbedrohungen ermöglicht.