Filtrar Comunicaciones DNS

Introducción

En este desafío, asumirás el papel de un analista de seguridad de redes en CyberDefend Inc. Tu misión es monitorear el tráfico DNS en la red de la empresa debido a actividades sospechosas que sugieren posibles ataques de túnel DNS (DNS tunneling). Tu objetivo es aislar y capturar únicamente las comunicaciones DNS para realizar un análisis de seguridad exhaustivo.

Utilizando Wireshark, deberás aplicar el filtro de captura adecuado "udp port 53" para enfocarte específicamente en el tráfico DNS, capturar al menos 10 paquetes y guardarlos como un archivo pcapng en el directorio designado. Este ejercicio práctico te ayudará a desarrollar habilidades esenciales en el filtrado de tráfico de red y el análisis de protocolos, las cuales son fundamentales para identificar e investigar posibles amenazas de seguridad en las comunicaciones de red.

Filtrar Comunicaciones DNS

Como analista de seguridad de redes en CyberDefend Inc., se te ha encomendado la tarea de supervisar el tráfico DNS en la red corporativa. Actividades sospechosas recientes apuntan a posibles ataques de túnel DNS. Tu trabajo consiste en aislar y capturar exclusivamente el tráfico DNS para su posterior análisis.

Tareas

• Utiliza Wireshark con el filtro de captura "udp port 53" para recolectar únicamente tráfico DNS y guarda los paquetes capturados como dns_capture.pcapng en el directorio /home/labex/project.

Requisitos

1. Inicia Wireshark desde la terminal o el menú de aplicaciones.
2. Configura un filtro de captura utilizando la sintaxis Berkeley Packet Filter (BPF) para capturar solo tráfico DNS. La expresión de filtro correcta es udp port 53.
3. Captura al menos 10 paquetes de tráfico DNS.
4. Guarda los paquetes capturados en el archivo /home/labex/project/dns_capture.pcapng.
5. No modifiques el archivo capturado después de guardarlo.

Ejemplos

Cuando hayas completado con éxito el desafío, tu ventana de Wireshark debería verse similar a esto:

• La lista de paquetes mostrará únicamente paquetes de consulta (query) y respuesta (response) de DNS.
• La columna de protocolo indicará DNS para la mayoría de los paquetes.
• La columna de información mostrará consultas para dominios como google.com, facebook.com, etc.
• Los puertos de origen y destino incluirán el puerto 53.

Consejos

• El protocolo DNS utiliza típicamente UDP en el puerto 53, aunque a veces también puede usar TCP en el mismo puerto. Para este desafío, enfocarse en UDP port 53 es suficiente.
• Para establecer un filtro de captura en Wireshark, busca el campo "Capture Filter" en la interfaz principal o en el diálogo de opciones de captura (Capture Options).
• Asegúrate de seleccionar la interfaz de red adecuada donde haya flujo de tráfico (normalmente la tarjeta de red principal o "any").
• Deja que la captura se ejecute durante al menos 30 segundos para asegurar la recolección de suficientes paquetes DNS.
• Puedes detener la captura haciendo clic en el botón del cuadrado rojo en la barra de herramientas de Wireshark.
• Para guardar la captura, utiliza la ruta File > Save As en el menú de Wireshark.

Resumen

En este desafío, asumí el rol de un analista de seguridad de redes en CyberDefend Inc. encargado de monitorear el tráfico DNS ante posibles ataques de túnel. Aprendí a utilizar Wireshark para aislar las comunicaciones DNS configurando un filtro de captura con la sintaxis Berkeley Packet Filter (BPF) "udp port 53", que se dirige específicamente al tráfico DNS.

El ejercicio requirió iniciar Wireshark, aplicar el filtro de captura adecuado, recolectar al menos 10 paquetes DNS generados por consultas nslookup a dominios como google.com y facebook.com, y guardar los datos capturados en una ubicación específica. Esta aplicación práctica demostró cómo los profesionales de seguridad pueden centrarse en el tráfico de protocolos específicos al investigar las comunicaciones de red, permitiendo un análisis más eficiente de las posibles amenazas de seguridad.