Verdächtige DNS-Abfragen aufspüren

Einführung

In dieser Herausforderung schlüpfen Sie in die Rolle eines Cybersicherheits-Analysten, der beauftragt wurde, einen potenziellen Datenabfluss (Data Exfiltration) über DNS-Abfragen zu untersuchen. Ihre Mission besteht darin, den in einer pcapng-Datei erfassten Netzwerkverkehr zu analysieren, um alle abgefragten Domänennamen zu identifizieren, die auf eine Kommunikation mit Command-and-Control-Servern hindeuten könnten.

Sie werden tshark verwenden, das Kommandozeilen-Tool zur Netzwerkprotokollanalyse, um DNS-Abfragenamen aus der Aufzeichnungsdatei zu extrahieren. Die Aufgabe erfordert das Filtern des DNS-Verkehrs, das Extrahieren der Abfragenamen, die alphabetische Sortierung, das Entfernen von Duplikaten und das Speichern der Ergebnisse in einer Datei für die weitere Analyse. Diese praktische Übung wird Ihre Fähigkeiten in der Netzwerkverkehrsanalyse stärken und Ihnen helfen, verdächtige DNS-Aktivitäten zu erkennen, die auf bösartiges Verhalten hindeuten könnten.

Verdächtige DNS-Abfragen aufspüren

Als Cybersicherheits-Analyst wurden Sie damit betraut, einen potenziellen Datenabfluss über DNS-Abfragen zu untersuchen. Ihre Aufgabe ist es, den Netzwerkverkehr zu analysieren und alle Domänennamen zu identifizieren, die abgefragt wurden, da diese eine Kommunikation mit Command-and-Control-Servern offenlegen könnten.

Aufgaben

• Extrahieren Sie alle DNS-Abfragenamen aus der bereitgestellten Aufzeichnungsdatei, sortieren Sie diese alphabetisch, entfernen Sie Duplikate und speichern Sie die Ergebnisse in einer Datei zur Analyse.

Anforderungen

• Verwenden Sie den Befehl tshark, um die Netzwerkverkehrs-Aufzeichnungsdatei unter /home/labex/project/capture.pcapng zu analysieren.
• Filtern Sie die Aufzeichnungsdatei so, dass nur DNS-Verkehr angezeigt wird.
• Extrahieren Sie ausschließlich die DNS-Abfragenamen mithilfe der Feldextraktions-Funktion von tshark.
• Sortieren Sie die Ergebnisse alphabetisch.
• Entfernen Sie doppelte Einträge.
• Speichern Sie die endgültige Liste unter /home/labex/project/domains.txt.
• Alle Operationen sollten in einer einzigen Befehlskette (Pipeline) ausgeführt werden.

Beispiele

Wenn Sie die DNS-Abfragenamen korrekt aus der Datei extrahieren, könnte Ihre Datei /home/labex/project/domains.txt Einträge wie diese enthalten:

amazon.com
example.com
google.com
...

Hinweis: Die tatsächlichen Domänen in Ihrer Datei können variieren, abhängig von den spezifischen DNS-Abfragen, die in der bereitgestellten Datei aufgezeichnet wurden.

Hinweise

• Verwenden Sie die Filteroption -Y "dns", um sich nur auf Pakete des DNS-Protokolls zu konzentrieren.
• Das Feld für den DNS-Abfragenamen kann mit -T fields -e dns.qry.name extrahiert werden.
• Denken Sie daran, dass Linux-Befehle mit Pipes (|) verkettet werden können.
• Die Befehle sort und uniq sind nützlich, um die Ausgabe zu organisieren.

Zusammenfassung

In dieser Herausforderung habe ich den Netzwerkverkehr analysiert, um potenziellen Datenabfluss über DNS-Abfragen mithilfe von tshark, der Kommandozeilen-Version von Wireshark, zu identifizieren. Ich habe DNS-Abfragenamen aus einer Aufzeichnungsdatei extrahiert, sie alphabetisch sortiert, Duplikate entfernt und die Ergebnisse zur weiteren Analyse in einer Datei gespeichert. Dabei habe ich praktische Fähigkeiten in der Netzwerkverkehrsanalyse und der Filterung über die Kommandozeile entwickelt.

Die Herausforderung simulierte ein reales Cybersicherheits-Szenario, in dem das Identifizieren verdächtiger Domänenabfragen entscheidend für die Erkennung von Command-and-Control-Kommunikation oder Versuchen des Datenabflusses ist. Durch das Erlernen der Feldextraktions-Funktionen von tshark speziell für DNS-Verkehr habe ich wertvolle Erfahrungen in der Sicherheitsüberwachung und Netzwerkforensik gesammelt, die zur Identifizierung potenziell bösartiger Netzwerkaktivitäten angewendet werden können.