Filtrer les communications DNS

Introduction

Dans ce défi, vous incarnerez un analyste en cybersécurité chez CyberDefend Inc. Votre mission consiste à surveiller le trafic DNS sur le réseau de l'entreprise en raison d'activités suspectes suggérant d'éventuelles attaques par tunnel DNS (DNS tunneling). Votre objectif est d'isoler et de capturer uniquement les communications DNS pour une analyse de sécurité approfondie.

En utilisant Wireshark, vous devrez appliquer le filtre de capture approprié "udp port 53" pour cibler spécifiquement le trafic DNS, capturer au moins 10 paquets et les enregistrer sous forme de fichier pcapng dans le répertoire désigné. Cet exercice pratique vous aidera à développer des compétences essentielles en filtrage de trafic réseau et en analyse de protocoles, des aptitudes cruciales pour identifier et enquêter sur les menaces de sécurité potentielles dans les communications réseau.

Filtrer les communications DNS

En tant qu'analyste en sécurité réseau chez CyberDefend Inc., vous avez été chargé de surveiller le trafic DNS du réseau d'entreprise. Des activités suspectes récentes laissent présager des attaques par tunnel DNS. Votre travail consiste à isoler et à capturer uniquement ce trafic pour une analyse ultérieure.

Tâches

• Utiliser Wireshark avec le filtre de capture "udp port 53" pour collecter uniquement le trafic DNS et enregistrer les paquets capturés sous le nom dns_capture.pcapng dans le répertoire /home/labex/project.

Exigences

1. Lancez Wireshark depuis le terminal ou le menu des applications.
2. Configurez un filtre de capture en utilisant la syntaxe Berkeley Packet Filter (BPF) pour ne capturer que le trafic DNS. L'expression de filtrage correcte est udp port 53.
3. Capturez au moins 10 paquets de trafic DNS.
4. Enregistrez les paquets capturés dans le fichier /home/labex/project/dns_capture.pcapng.
5. Ne modifiez pas le fichier capturé après l'avoir enregistré.

Exemples

Une fois le défi réussi, votre fenêtre Wireshark devrait ressembler à ceci :

• La liste des paquets n'affichera que des requêtes et des réponses DNS.
• La colonne protocole indiquera DNS pour la plupart des paquets.
• La colonne info affichera des requêtes pour des domaines tels que google.com, facebook.com, etc.
• Les ports source et destination incluront le port 53.

Conseils

• Le DNS utilise généralement l'UDP sur le port 53, mais peut parfois utiliser le port TCP 53. Pour ce défi, se concentrer sur le port UDP 53 est suffisant.
• Pour configurer un filtre de capture dans Wireshark, recherchez le champ "Capture Filter" sur l'interface principale ou dans la boîte de dialogue des options de capture (Capture Options).
• Assurez-vous de sélectionner l'interface réseau appropriée où circule le trafic (généralement l'adaptateur réseau principal ou "any").
• Laissez la capture s'exécuter pendant au moins 30 secondes pour garantir la collecte d'un nombre suffisant de paquets DNS.
• Vous pouvez arrêter la capture en cliquant sur le bouton carré rouge dans la barre d'outils de Wireshark.
• Pour enregistrer la capture, utilisez File > Save As dans le menu de Wireshark.

Résumé

Dans ce défi, j'ai occupé le poste d'analyste en sécurité réseau chez CyberDefend Inc., avec pour mission de surveiller le trafic DNS afin de détecter d'éventuelles attaques par tunnel. J'ai appris à utiliser Wireshark pour isoler les communications DNS en configurant un filtre de capture avec la syntaxe Berkeley Packet Filter (BPF) "udp port 53", qui cible spécifiquement le trafic DNS.

L'exercice a nécessité le lancement de Wireshark, l'application du filtre de capture approprié, la collecte d'au moins 10 paquets DNS générés par des requêtes nslookup vers des domaines tels que google.com et facebook.com, et l'enregistrement des données capturées dans un emplacement spécifié. Cette application pratique a démontré comment les professionnels de la sécurité peuvent se concentrer sur le trafic d'un protocole spécifique lors de l'examen des communications réseau, permettant ainsi une analyse plus efficace des menaces de sécurité potentielles.