LabEx
Se connecterInscription gratuite

Découvrez les requêtes DNS suspectes

WiresharkWiresharkBeginner
Pratiquer maintenant

💡 Ce tutoriel est traduit par l'IA à partir de la version anglaise. Pour voir la version originale, vous pouvez cliquer ici

Introduction

Dans ce défi, vous incarnerez un analyste en cybersécurité chargé d'enquêter sur une potentielle exfiltration de données via des requêtes DNS. Votre mission consiste à analyser le trafic réseau capturé dans un fichier pcapng afin d'identifier tous les noms de domaine interrogés qui pourraient révéler une communication avec des serveurs de commande et de contrôle (command and control servers).

Vous utiliserez tshark, l'analyseur de protocoles réseau en ligne de commande, pour extraire les noms de requêtes DNS du fichier de capture. Le défi vous demande de filtrer le trafic DNS, d'extraire les noms de requêtes, de les trier par ordre alphabétique, de supprimer les doublons et d'enregistrer les résultats dans un fichier pour une analyse plus approfondie. Cet exercice pratique améliorera vos compétences en matière d'analyse du trafic réseau et vous aidera à détecter les activités DNS suspectes qui pourraient indiquer un comportement malveillant.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/display_filters -.-> lab-548854{{"Découvrez les requêtes DNS suspectes"}} wireshark/export_packets -.-> lab-548854{{"Découvrez les requêtes DNS suspectes"}} wireshark/commandline_usage -.-> lab-548854{{"Découvrez les requêtes DNS suspectes"}} end

Découvrir les requêtes DNS suspectes

En tant qu'analyste en cybersécurité, vous êtes chargé d'enquêter sur une potentielle exfiltration de données via des requêtes DNS. Votre travail consiste à analyser le trafic réseau et à identifier tous les noms de domaine qui ont été interrogés, ce qui pourrait révéler une communication avec des serveurs de commande et de contrôle (command and control servers).

Tâches

  • Extraire tous les noms de requêtes DNS du fichier de capture fourni, les trier par ordre alphabétique, supprimer les doublons et enregistrer les résultats dans un fichier pour analyse.

Exigences

  • Utiliser la commande tshark pour analyser le fichier de capture du trafic réseau situé à /home/labex/project/capture.pcapng
  • Filtrer le fichier de capture pour n'afficher que le trafic DNS
  • Extraire uniquement les noms de requêtes DNS en utilisant la fonctionnalité d'extraction de champs de tshark
  • Trier les résultats par ordre alphabétique
  • Supprimer les entrées en double
  • Enregistrer la liste finale dans /home/labex/project/domains.txt
  • Toutes les opérations doivent être effectuées à l'aide d'un seul pipeline de commandes

Exemples

Si vous extrayez correctement les noms de requêtes DNS du fichier de capture, votre fichier /home/labex/project/domains.txt peut contenir des entrées telles que :

amazon.com
example.com
google.com
...

Remarque : Les domaines réels de votre fichier peuvent varier en fonction des requêtes DNS spécifiques capturées dans le fichier fourni.

Conseils

  • Utilisez l'option de filtre -Y "dns" pour vous concentrer uniquement sur les paquets de protocole DNS
  • Le champ du nom de la requête DNS peut être extrait à l'aide de -T fields -e dns.qry.name
  • N'oubliez pas que les commandes Linux peuvent être chaînées à l'aide de pipes (|)
  • Les commandes sort et uniq sont utiles pour organiser la sortie
  • Vous pouvez consulter les commandes tshark de base dans le fichier aide-mémoire fourni à l'adresse /home/labex/project/tshark_cheatsheet.txt
✨ Vérifier la solution et pratiquer

Résumé

Dans ce défi, j'ai analysé le trafic réseau pour identifier une potentielle exfiltration de données via des requêtes DNS en utilisant tshark, une version en ligne de commande de Wireshark. J'ai extrait les noms de requêtes DNS d'un fichier de capture, je les ai triés par ordre alphabétique, j'ai supprimé les doublons et j'ai enregistré les résultats dans un fichier pour une analyse plus approfondie, développant ainsi des compétences pratiques en matière d'analyse du trafic réseau et de filtrage en ligne de commande.

Le défi a simulé un scénario de cybersécurité réel où l'identification des requêtes de domaine suspectes est cruciale pour détecter les communications de commande et de contrôle (command and control communications) ou les tentatives d'exfiltration de données. En apprenant à utiliser les capacités d'extraction de champs de tshark spécifiquement pour le trafic DNS, j'ai acquis une expérience précieuse en matière de surveillance de la sécurité et d'analyse forensique réseau qui peut être appliquée pour identifier les activités réseau potentiellement malveillantes.

Connexe Wireshark Cours
Démarrage rapide avec Wireshark

Démarrage rapide avec Wireshark

Cybersecurity
Débutant