LabEx
AnmeldenKostenlos beitreten

DNS-Kommunikation filtern

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In dieser Aufgabe schlüpfen Sie in die Rolle eines Netzwerk-Sicherheitsanalysten bei CyberDefend Inc. und überwachen den DNS-Verkehr im Netzwerk Ihres Unternehmens aufgrund verdächtiger Aktivitäten, die auf potenzielle DNS-Tunneling-Angriffe hindeuten. Ihr Ziel ist es, ausschließlich DNS-Kommunikation zu isolieren und zu erfassen, um sie einer weiteren Sicherheitsanalyse zu unterziehen.

Mit Wireshark müssen Sie den entsprechenden Capture-Filter "udp port 53" anwenden, um gezielt DNS-Verkehr zu erfassen, mindestens 10 Pakete aufzeichnen und diese als pcapng-Datei im vorgesehenen Verzeichnis speichern. Diese praktische Übung wird Ihnen helfen, wesentliche Fähigkeiten in der Netzwerkverkehrsfilterung und Protokollanalyse zu entwickeln, die für die Identifizierung und Untersuchung potenzieller Sicherheitsbedrohungen in der Netzwerkkommunikation von entscheidender Bedeutung sind.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/capture_filters("Capture Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") subgraph Lab Skills wireshark/packet_capture -.-> lab-548826{{"DNS-Kommunikation filtern"}} wireshark/capture_filters -.-> lab-548826{{"DNS-Kommunikation filtern"}} wireshark/export_packets -.-> lab-548826{{"DNS-Kommunikation filtern"}} end

DNS-Kommunikation filtern

Als Netzwerk-Sicherheitsanalyst bei CyberDefend Inc. wurden Sie mit der Überwachung des DNS-Verkehrs im Netzwerk Ihres Unternehmens beauftragt. Jüngste verdächtige Aktivitäten deuten auf potenzielle DNS-Tunneling-Angriffe hin. Ihre Aufgabe ist es, ausschließlich DNS-Verkehr zu isolieren und zu erfassen, um ihn weiter zu analysieren.

Aufgaben

  • Verwenden Sie Wireshark mit dem Capture-Filter "udp port 53", um ausschließlich DNS-Verkehr zu erfassen und die erfassten Pakete als dns_capture.pcapng im Verzeichnis /home/labex/project zu speichern.

Anforderungen

  1. Starten Sie Wireshark über das Terminal oder das Anwendungsmenü.
  2. Konfigurieren Sie einen Capture-Filter mit der Berkeley Packet Filter (BPF) Syntax, um nur DNS-Verkehr zu erfassen. Der korrekte Filterausdruck lautet udp port 53.
  3. Erfassen Sie mindestens 10 Pakete DNS-Verkehr.
  4. Speichern Sie die erfassten Pakete in der Datei /home/labex/project/dns_capture.pcapng.
  5. Verändern Sie die erfasste Datei nach dem Speichern nicht.

Beispiele

Wenn Sie die Aufgabe erfolgreich abgeschlossen haben, sollte Ihr Wireshark-Fenster in etwa so aussehen:

  • Die Paketliste zeigt nur DNS-Abfrage- und Antwortpakete
  • Die Protokollspalte zeigt für die meisten Pakete DNS an
  • Die Info-Spalte zeigt Abfragen für Domains wie google.com, facebook.com usw.
  • Die Quell- und Zielports enthalten Port 53

Hinweise

  • DNS verwendet typischerweise UDP auf Port 53, kann aber manchmal auch TCP Port 53 verwenden. Für diese Aufgabe reicht es aus, sich auf UDP Port 53 zu konzentrieren.
  • Um einen Capture-Filter in Wireshark zu setzen, suchen Sie nach dem Feld "Capture Filter" in der Hauptoberfläche oder im Dialog "Capture Options" (Erfassungsoptionen).
  • Stellen Sie sicher, dass Sie eine geeignete Netzwerkschnittstelle auswählen, über die der Datenverkehr fließt (in der Regel der primäre Netzwerkadapter oder "any").
  • Lassen Sie die Erfassung mindestens 30 Sekunden lang laufen, um sicherzustellen, dass Sie genügend DNS-Pakete sammeln.
  • Sie können die Erfassung stoppen, indem Sie auf die rote Quadrat-Schaltfläche in der Wireshark-Symbolleiste klicken.
  • Um die Erfassung zu speichern, verwenden Sie Datei > Speichern unter (File > Save As) aus dem Wireshark-Menü.
✨ Lösung prüfen und üben

Zusammenfassung

In dieser Aufgabe habe ich die Rolle eines Netzwerk-Sicherheitsanalysten bei CyberDefend Inc. übernommen, der mit der Überwachung des DNS-Verkehrs auf potenzielle Tunneling-Angriffe beauftragt wurde. Ich habe gelernt, wie man Wireshark verwendet, um DNS-Kommunikation zu isolieren, indem man einen Capture-Filter mit der Berkeley Packet Filter (BPF) Syntax "udp port 53" konfiguriert, der speziell auf DNS-Verkehr abzielt.

Die Übung erforderte das Starten von Wireshark, das Anwenden des entsprechenden Capture-Filters, das Sammeln von mindestens 10 DNS-Paketen, die von nslookup-Abfragen an Domains wie google.com und facebook.com generiert wurden, und das Speichern der erfassten Daten an einem bestimmten Ort. Diese praktische Anwendung demonstrierte, wie Sicherheitsexperten sich bei der Untersuchung der Netzwerkkommunikation auf spezifischen Protokollverkehr konzentrieren können, was eine effizientere Analyse potenzieller Sicherheitsbedrohungen ermöglicht.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger