LabEx
AnmeldenKostenlos beitreten

Verdächtige DNS-Abfragen aufdecken

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In dieser Aufgabe schlüpfen Sie in die Rolle eines Cybersecurity-Analysten, der mit der Untersuchung potenzieller Datenexfiltration (Data Exfiltration) durch DNS-Abfragen beauftragt ist. Ihre Aufgabe ist es, den in einer pcapng-Datei erfassten Netzwerkverkehr zu analysieren, um alle abgefragten Domainnamen zu identifizieren, die möglicherweise eine Kommunikation mit Command-and-Control-Servern (C&C-Servern) aufdecken.

Sie verwenden tshark, den Kommandozeilen-Netzwerkprotokollanalysator, um DNS-Abfragenamen aus der Capture-Datei zu extrahieren. Die Aufgabe erfordert, dass Sie den DNS-Verkehr filtern, Abfragenamen extrahieren, sie alphabetisch sortieren, Duplikate entfernen und die Ergebnisse zur weiteren Analyse in einer Datei speichern. Diese praktische Übung wird Ihre Fähigkeiten in der Netzwerkverkehrsanalyse verbessern und Ihnen helfen, verdächtige DNS-Aktivitäten zu erkennen, die auf bösartiges Verhalten hindeuten könnten.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/display_filters -.-> lab-548854{{"Verdächtige DNS-Abfragen aufdecken"}} wireshark/export_packets -.-> lab-548854{{"Verdächtige DNS-Abfragen aufdecken"}} wireshark/commandline_usage -.-> lab-548854{{"Verdächtige DNS-Abfragen aufdecken"}} end

Aufdecken verdächtiger DNS-Abfragen

Als Cybersecurity-Analyst wurden Sie mit der Untersuchung potenzieller Datenexfiltration (Data Exfiltration) durch DNS-Abfragen beauftragt. Ihre Aufgabe ist es, den Netzwerkverkehr zu analysieren und alle abgefragten Domainnamen zu identifizieren, die möglicherweise eine Kommunikation mit Command-and-Control-Servern (C&C-Servern) aufdecken.

Aufgaben

  • Extrahieren Sie alle DNS-Abfragenamen aus der bereitgestellten Capture-Datei, sortieren Sie sie alphabetisch, entfernen Sie Duplikate und speichern Sie die Ergebnisse zur Analyse in einer Datei.

Anforderungen

  • Verwenden Sie den Befehl tshark, um die Netzwerkverkehrs-Capture-Datei unter /home/labex/project/capture.pcapng zu analysieren.
  • Filtern Sie die Capture-Datei, um nur DNS-Verkehr anzuzeigen.
  • Extrahieren Sie nur die DNS-Abfragenamen mithilfe der Feldextraktionsfunktion von tshark.
  • Sortieren Sie die Ergebnisse alphabetisch.
  • Entfernen Sie doppelte Einträge.
  • Speichern Sie die endgültige Liste unter /home/labex/project/domains.txt.
  • Alle Operationen sollten mit einer einzigen Befehlspipeline (Command Pipeline) durchgeführt werden.

Beispiele

Wenn Sie die DNS-Abfragenamen korrekt aus der Capture-Datei extrahieren, könnte Ihre Datei /home/labex/project/domains.txt Einträge wie die folgenden enthalten:

amazon.com
example.com
google.com
...

Hinweis: Die tatsächlichen Domains in Ihrer Datei können je nach den spezifischen DNS-Abfragen in der bereitgestellten Datei variieren.

Hinweise

  • Verwenden Sie die Filteroption -Y "dns", um sich nur auf DNS-Protokollpakete zu konzentrieren.
  • Das Feld für den DNS-Abfragenamen kann mit -T fields -e dns.qry.name extrahiert werden.
  • Denken Sie daran, dass Linux-Befehle mit Pipes (|) miteinander verkettet werden können.
  • Die Befehle sort und uniq sind nützlich, um die Ausgabe zu organisieren.
  • Sie können grundlegende tshark-Befehle in der bereitgestellten Cheatsheet-Datei unter /home/labex/project/tshark_cheatsheet.txt nachlesen.
✨ Lösung prüfen und üben

Zusammenfassung

In dieser Aufgabe habe ich den Netzwerkverkehr analysiert, um potenzielle Datenexfiltration (Data Exfiltration) durch DNS-Abfragen mithilfe von tshark, einer Kommandozeilenversion von Wireshark, zu identifizieren. Ich habe DNS-Abfragenamen aus einer Capture-Datei extrahiert, sie alphabetisch sortiert, Duplikate entfernt und die Ergebnisse zur weiteren Analyse in einer Datei gespeichert. Dadurch habe ich praktische Fähigkeiten in der Netzwerkverkehrsanalyse und der Kommandozeilenfilterung entwickelt.

Die Aufgabe simulierte ein reales Cybersecurity-Szenario, in dem die Identifizierung verdächtiger Domainabfragen entscheidend ist, um Command-and-Control-Kommunikation (C&C-Kommunikation) oder Datenexfiltrationsversuche (Data Exfiltration Attempts) zu erkennen. Indem ich lernte, die Feldextraktionsfunktionen (Field Extraction Capabilities) von tshark speziell für DNS-Verkehr zu nutzen, habe ich wertvolle Erfahrungen in der Sicherheitsüberwachung (Security Monitoring) und der Netzwerkforensik (Network Forensics) gesammelt, die angewendet werden können, um potenziell bösartige Netzwerkaktivitäten zu identifizieren.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger