LabEx
Iniciar SesiónÚnete Gratis

Filtrar Comunicaciones DNS

WiresharkWiresharkBeginner
Practicar Ahora

💡 Este tutorial está traducido por IA desde la versión en inglés. Para ver la versión original, puedes hacer clic aquí

Introducción

En este desafío, asumirás el rol de un analista de seguridad de redes en CyberDefend Inc., encargado de monitorear el tráfico DNS en la red de tu empresa debido a actividades sospechosas que sugieren posibles ataques de tunelización DNS (DNS tunneling). Tu objetivo es aislar y capturar solo las comunicaciones DNS para un análisis de seguridad más profundo.

Usando Wireshark, deberás aplicar el filtro de captura apropiado "udp port 53" para apuntar específicamente al tráfico DNS, capturar al menos 10 paquetes y guardarlos como un archivo pcapng en el directorio designado. Este ejercicio práctico te ayudará a desarrollar habilidades esenciales en el filtrado de tráfico de red y el análisis de protocolos, que son cruciales para identificar e investigar posibles amenazas de seguridad en las comunicaciones de red.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/capture_filters("Capture Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") subgraph Lab Skills wireshark/packet_capture -.-> lab-548826{{"Filtrar Comunicaciones DNS"}} wireshark/capture_filters -.-> lab-548826{{"Filtrar Comunicaciones DNS"}} wireshark/export_packets -.-> lab-548826{{"Filtrar Comunicaciones DNS"}} end

Filtrar Comunicaciones DNS

Como analista de seguridad de redes en CyberDefend Inc., se te ha encargado monitorear el tráfico DNS en la red de tu empresa. Actividades sospechosas recientes sugieren posibles ataques de tunelización DNS (DNS tunneling). Tu trabajo es aislar y capturar solo el tráfico DNS para un análisis más profundo.

Tareas

  • Usa Wireshark con el filtro de captura "udp port 53" para recolectar solo el tráfico DNS y guarda los paquetes capturados como dns_capture.pcapng en el directorio /home/labex/project.

Requisitos

  1. Inicia Wireshark desde la terminal o el menú de aplicaciones.
  2. Configura un filtro de captura usando la sintaxis de Berkeley Packet Filter (BPF) para capturar solo el tráfico DNS. La expresión de filtro correcta es udp port 53.
  3. Captura al menos 10 paquetes de tráfico DNS.
  4. Guarda los paquetes capturados en el archivo /home/labex/project/dns_capture.pcapng.
  5. No modifiques el archivo capturado después de guardarlo.

Ejemplos

Cuando hayas completado con éxito el desafío, tu ventana de Wireshark debería verse similar a esto:

  • La lista de paquetes mostrará solo paquetes de consulta y respuesta DNS.
  • La columna de protocolo mostrará DNS para la mayoría de los paquetes.
  • La columna de información mostrará consultas para dominios como google.com, facebook.com, etc.
  • Los puertos de origen y destino incluirán el puerto 53.

Consejos

  • DNS típicamente usa UDP en el puerto 53, pero a veces también puede usar TCP en el puerto 53. Para este desafío, enfocarse en UDP puerto 53 es suficiente.
  • Para establecer un filtro de captura en Wireshark, busca el campo "Capture Filter" (Filtro de Captura) en la interfaz principal o en el diálogo de Capture Options (Opciones de Captura).
  • Asegúrate de seleccionar una interfaz de red apropiada donde el tráfico esté fluyendo (típicamente el adaptador de red primario o "any" (cualquiera)).
  • Permite que la captura se ejecute durante al menos 30 segundos para asegurarte de recolectar suficientes paquetes DNS.
  • Puedes detener la captura haciendo clic en el botón cuadrado rojo en la barra de herramientas de Wireshark.
  • Para guardar la captura, usa File > Save As (Archivo > Guardar Como) desde el menú de Wireshark.
✨ Revisar Solución y Practicar

Resumen

En este desafío, asumí el rol de un analista de seguridad de redes en CyberDefend Inc., encargado de monitorear el tráfico DNS en busca de posibles ataques de tunelización (tunneling). Aprendí cómo usar Wireshark para aislar las comunicaciones DNS configurando un filtro de captura con la sintaxis de Berkeley Packet Filter (BPF) "udp port 53", que apunta específicamente al tráfico DNS.

El ejercicio requirió iniciar Wireshark, aplicar el filtro de captura apropiado, recolectar al menos 10 paquetes DNS generados a partir de consultas nslookup a dominios como google.com y facebook.com, y guardar los datos capturados en una ubicación especificada. Esta aplicación práctica demostró cómo los profesionales de seguridad pueden enfocarse en el tráfico de protocolos específicos al investigar las comunicaciones de red, lo que permite un análisis más eficiente de las posibles amenazas de seguridad.

Relacionado Wireshark Cursos
Inicio rápido con Wireshark

Inicio rápido con Wireshark

Cybersecurity
Principiante