LabEx
Iniciar SesiónÚnete Gratis

Descubre Consultas DNS Sospechosas

WiresharkWiresharkBeginner
Practicar Ahora

💡 Este tutorial está traducido por IA desde la versión en inglés. Para ver la versión original, puedes hacer clic aquí

Introducción

En este desafío, asumirás el papel de un analista de ciberseguridad encargado de investigar una posible exfiltración de datos a través de consultas DNS. Tu misión es analizar el tráfico de red capturado en un archivo pcapng para identificar todos los nombres de dominio consultados que podrían revelar comunicación con servidores de comando y control (command and control servers).

Utilizarás tshark, el analizador de protocolos de red de línea de comandos, para extraer los nombres de consulta DNS del archivo de captura. El desafío requiere que filtres el tráfico DNS, extraigas los nombres de consulta, los ordenes alfabéticamente, elimines los duplicados y guardes los resultados en un archivo para su posterior análisis. Este ejercicio práctico mejorará tus habilidades en el análisis del tráfico de red y te ayudará a detectar actividades DNS sospechosas que podrían indicar un comportamiento malicioso.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/display_filters -.-> lab-548854{{"Descubre Consultas DNS Sospechosas"}} wireshark/export_packets -.-> lab-548854{{"Descubre Consultas DNS Sospechosas"}} wireshark/commandline_usage -.-> lab-548854{{"Descubre Consultas DNS Sospechosas"}} end

Descubre Consultas DNS Sospechosas

Como analista de ciberseguridad, se te ha encargado investigar una posible exfiltración de datos a través de consultas DNS. Tu trabajo es analizar el tráfico de red e identificar todos los nombres de dominio que se consultaron, lo que podría revelar comunicación con servidores de comando y control (command and control servers).

Tareas

  • Extrae todos los nombres de consulta DNS del archivo de captura proporcionado, ordénalos alfabéticamente, elimina los duplicados y guarda los resultados en un archivo para su análisis.

Requisitos

  • Utiliza el comando tshark para analizar el archivo de captura de tráfico de red ubicado en /home/labex/project/capture.pcapng
  • Filtra el archivo de captura para mostrar solo el tráfico DNS
  • Extrae solo los nombres de consulta DNS utilizando la función de extracción de campos de tshark
  • Ordena los resultados alfabéticamente
  • Elimina las entradas duplicadas
  • Guarda la lista final en /home/labex/project/domains.txt
  • Todas las operaciones deben realizarse utilizando una única canalización de comandos (command pipeline)

Ejemplos

Si extraes correctamente los nombres de consulta DNS del archivo de captura, tu archivo /home/labex/project/domains.txt podría contener entradas como:

amazon.com
example.com
google.com
...

Nota: Los dominios reales en tu archivo pueden variar dependiendo de las consultas DNS específicas capturadas en el archivo proporcionado.

Sugerencias

  • Utiliza la opción de filtro -Y "dns" para centrarte solo en los paquetes del protocolo DNS
  • El campo del nombre de consulta DNS se puede extraer utilizando -T fields -e dns.qry.name
  • Recuerda que los comandos de Linux se pueden encadenar mediante pipes (|)
  • Los comandos sort y uniq son útiles para organizar la salida
  • Puedes revisar los comandos básicos de tshark en el archivo de referencia proporcionado en /home/labex/project/tshark_cheatsheet.txt
✨ Revisar Solución y Practicar

Resumen

En este desafío, analicé el tráfico de red para identificar una posible exfiltración de datos a través de consultas DNS utilizando tshark, una versión de línea de comandos de Wireshark. Extraje los nombres de consulta DNS de un archivo de captura, los ordené alfabéticamente, eliminé los duplicados y guardé los resultados en un archivo para su posterior análisis, desarrollando habilidades prácticas en el análisis del tráfico de red y el filtrado de línea de comandos.

El desafío simuló un escenario de ciberseguridad del mundo real donde la identificación de consultas de dominio sospechosas es crucial para detectar comunicaciones de comando y control (command and control communications) o intentos de exfiltración de datos. Al aprender a utilizar las capacidades de extracción de campos (field extraction capabilities) de tshark específicamente para el tráfico DNS, obtuve una valiosa experiencia en la monitorización de la seguridad y la informática forense de redes (network forensics) que se puede aplicar para identificar actividades de red potencialmente maliciosas.

Relacionado Wireshark Cursos
Inicio rápido con Wireshark

Inicio rápido con Wireshark

Cybersecurity
Principiante