Détecter des requêtes DNS suspectes

Introduction

Dans ce défi, vous endosserez le rôle d'un analyste en cybersécurité chargé d'enquêter sur une potentielle exfiltration de données via des requêtes DNS. Votre mission consiste à analyser le trafic réseau capturé dans un fichier pcapng afin d'identifier tous les noms de domaine consultés, ce qui pourrait révéler des communications avec des serveurs de commande et de contrôle (C2).

Vous utiliserez tshark, l'analyseur de protocoles réseau en ligne de commande, pour extraire les noms de requêtes DNS du fichier de capture. Ce défi vous demande de filtrer le trafic DNS, d'extraire les noms de domaine, de les trier par ordre alphabétique, de supprimer les doublons et de sauvegarder les résultats dans un fichier pour une analyse approfondie. Cet exercice pratique renforcera vos compétences en analyse de trafic réseau et vous aidera à détecter des activités DNS suspectes pouvant indiquer un comportement malveillant.

Détecter des requêtes DNS suspectes

En tant qu'analyste en cybersécurité, vous avez été missionné pour enquêter sur une possible exfiltration de données par DNS. Votre travail consiste à analyser le trafic réseau et à identifier tous les noms de domaine qui ont fait l'objet d'une requête, car ils pourraient trahir une communication avec des serveurs malveillants.

Tâches

• Extraire tous les noms de requêtes DNS du fichier de capture fourni, les trier par ordre alphabétique, supprimer les doublons et enregistrer les résultats dans un fichier pour analyse.

Exigences

• Utiliser la commande tshark pour analyser le fichier de capture réseau situé à l'emplacement /home/labex/project/capture.pcapng
• Filtrer le fichier de capture pour n'afficher que le trafic DNS
• Extraire uniquement les noms de requêtes DNS en utilisant la fonction d'extraction de champs de tshark
• Trier les résultats par ordre alphabétique
• Supprimer les entrées en double
• Sauvegarder la liste finale dans /home/labex/project/domains.txt
• Toutes les opérations doivent être effectuées à l'aide d'un seul enchaînement de commandes (pipeline)

Exemples

Si vous extrayez correctement les noms de requêtes DNS du fichier de capture, votre fichier /home/labex/project/domains.txt devrait contenir des entrées de ce type :

amazon.com
example.com
google.com
...

Note : Les domaines réels dans votre fichier peuvent varier en fonction des requêtes DNS spécifiques présentes dans le fichier de capture fourni.

Conseils

• Utilisez l'option de filtrage -Y "dns" pour vous concentrer uniquement sur les paquets du protocole DNS
• Le champ du nom de la requête DNS peut être extrait avec -T fields -e dns.qry.name
• N'oubliez pas que les commandes Linux peuvent être enchaînées à l'aide de tubes (|)
• Les commandes sort et uniq sont très utiles pour organiser la sortie de données

Résumé

Dans ce défi, j'ai analysé le trafic réseau pour identifier une potentielle exfiltration de données via des requêtes DNS en utilisant tshark, la version en ligne de commande de Wireshark. J'ai extrait les noms de requêtes DNS d'un fichier de capture, je les ai triés par ordre alphabétique, j'ai supprimé les doublons et j'ai sauvegardé les résultats dans un fichier pour une analyse ultérieure. Cela m'a permis de développer des compétences pratiques en analyse de trafic réseau et en filtrage par ligne de commande.

Ce défi simulait un scénario de cybersécurité réel où l'identification de requêtes de domaines suspectes est essentielle pour détecter des communications de type "command and control" ou des tentatives d'exfiltration de données. En apprenant à utiliser les capacités d'extraction de champs de tshark spécifiquement pour le trafic DNS, j'ai acquis une expérience précieuse en surveillance de sécurité et en investigation numérique (forensics) réseau, applicable pour identifier des activités réseau potentiellement malveillantes.