LabEx
Se connecterInscription gratuite

Filtrer les communications DNS

WiresharkWiresharkBeginner
Pratiquer maintenant

💡 Ce tutoriel est traduit par l'IA à partir de la version anglaise. Pour voir la version originale, vous pouvez cliquer ici

Introduction

Dans ce défi, vous assumerez le rôle d'analyste de la sécurité réseau chez CyberDefend Inc., chargé de surveiller le trafic DNS sur le réseau de votre entreprise en raison d'activités suspectes suggérant des attaques potentielles de tunneling DNS (DNS tunneling). Votre objectif est d'isoler et de capturer uniquement les communications DNS pour une analyse de sécurité plus approfondie.

En utilisant Wireshark, vous devrez appliquer le filtre de capture approprié "udp port 53" pour cibler spécifiquement le trafic DNS, capturer au moins 10 paquets, et les enregistrer en tant que fichier pcapng dans le répertoire désigné. Cet exercice pratique vous aidera à développer des compétences essentielles en matière de filtrage du trafic réseau et d'analyse de protocole, qui sont cruciales pour identifier et étudier les menaces potentielles à la sécurité dans les communications réseau.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/capture_filters("Capture Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") subgraph Lab Skills wireshark/packet_capture -.-> lab-548826{{"Filtrer les communications DNS"}} wireshark/capture_filters -.-> lab-548826{{"Filtrer les communications DNS"}} wireshark/export_packets -.-> lab-548826{{"Filtrer les communications DNS"}} end

Filtrer les communications DNS

En tant qu'analyste de la sécurité réseau chez CyberDefend Inc., vous avez été chargé de surveiller le trafic DNS sur le réseau de votre entreprise. Des activités suspectes récentes suggèrent des attaques potentielles de tunneling DNS (DNS tunneling). Votre travail consiste à isoler et à capturer uniquement le trafic DNS pour une analyse plus approfondie.

Tâches

  • Utilisez Wireshark avec le filtre de capture "udp port 53" pour collecter uniquement le trafic DNS et enregistrez les paquets capturés sous le nom de dns_capture.pcapng dans le répertoire /home/labex/project.

Exigences

  1. Lancez Wireshark à partir du terminal ou du menu d'application.
  2. Configurez un filtre de capture en utilisant la syntaxe Berkeley Packet Filter (BPF) pour capturer uniquement le trafic DNS. L'expression de filtre correcte est udp port 53.
  3. Capturez au moins 10 paquets de trafic DNS.
  4. Enregistrez les paquets capturés dans le fichier /home/labex/project/dns_capture.pcapng.
  5. Ne modifiez pas le fichier capturé après l'avoir enregistré.

Exemples

Lorsque vous aurez réussi le défi, votre fenêtre Wireshark devrait ressembler à ceci :

  • La liste des paquets affichera uniquement les paquets de requête et de réponse DNS.
  • La colonne protocole affichera DNS pour la plupart des paquets.
  • La colonne info affichera les requêtes pour des domaines comme google.com, facebook.com, etc.
  • Les ports source et destination incluront le port 53.

Conseils

  • DNS utilise généralement UDP sur le port 53, mais peut parfois utiliser TCP sur le port 53 également. Pour ce défi, se concentrer sur UDP port 53 est suffisant.
  • Pour définir un filtre de capture dans Wireshark, recherchez le champ "Capture Filter" dans l'interface principale ou dans la boîte de dialogue Capture Options.
  • Assurez-vous de sélectionner une interface réseau appropriée où le trafic circule (généralement l'adaptateur réseau principal ou "any").
  • Laissez la capture s'exécuter pendant au moins 30 secondes pour vous assurer de collecter suffisamment de paquets DNS.
  • Vous pouvez arrêter la capture en cliquant sur le bouton carré rouge dans la barre d'outils Wireshark.
  • Pour enregistrer la capture, utilisez File > Save As dans le menu Wireshark.
✨ Vérifier la solution et pratiquer

Résumé

Dans ce défi, j'ai assumé le rôle d'analyste de la sécurité réseau chez CyberDefend Inc., chargé de surveiller le trafic DNS à la recherche d'attaques potentielles de tunneling. J'ai appris à utiliser Wireshark pour isoler les communications DNS en configurant un filtre de capture avec la syntaxe Berkeley Packet Filter (BPF) "udp port 53", qui cible spécifiquement le trafic DNS.

L'exercice consistait à lancer Wireshark, à appliquer le filtre de capture approprié, à collecter au moins 10 paquets DNS générés à partir de requêtes nslookup vers des domaines tels que google.com et facebook.com, et à enregistrer les données capturées à un emplacement spécifié. Cette application pratique a démontré comment les professionnels de la sécurité peuvent se concentrer sur le trafic de protocole spécifique lors de l'investigation des communications réseau, ce qui permet une analyse plus efficace des menaces potentielles à la sécurité.

Connexe Wireshark Cours
Démarrage rapide avec Wireshark

Démarrage rapide avec Wireshark

Cybersecurity
Débutant