はじめに
このチャレンジでは、あなたはサイバーセキュリティアナリストとして、DNS クエリを介した潜在的なデータ漏洩(データエクスフィルトレーション)の調査を担当します。あなたの任務は、pcapng ファイルにキャプチャされたネットワークトラフィックを分析し、コマンド&コントロール(C2)サーバーとの通信を示唆する可能性のある、クエリされたすべてのドメイン名を特定することです。
コマンドラインベースのネットワークプロトコルアナライザーである tshark を使用して、キャプチャファイルから DNS クエリ名を抽出します。このチャレンジでは、DNS トラフィックのフィルタリング、クエリ名の抽出、アルファベット順のソート、重複の削除を行い、さらなる分析のために結果をファイルに保存する必要があります。この実践的な演習を通じて、ネットワークトラフィック分析のスキルを高め、悪意のある行動を示す可能性のある不審な DNS アクティビティを検出できるようになります。
不審な DNS クエリの特定
サイバーセキュリティアナリストとして、あなたは DNS クエリを通じた潜在的なデータ漏洩の調査を依頼されました。ネットワークトラフィックを分析し、クエリされたすべてのドメイン名を特定することがあなたの仕事です。これにより、コマンド&コントロールサーバーとの通信が明らかになる可能性があります。
タスク
- 提供されたキャプチャファイルからすべての DNS クエリ名を抽出し、アルファベット順にソートし、重複を削除して、分析用に結果をファイルに保存してください。
要件
/home/labex/project/capture.pcapngにあるネットワークトラフィックキャプチャファイルを分析するためにtsharkコマンドを使用すること。- キャプチャファイルをフィルタリングして、DNS トラフィックのみを表示すること。
- tshark のフィールド抽出機能を使用して、DNS クエリ名のみを抽出すること。
- 結果をアルファベット順にソートすること。
- 重複するエントリを削除すること。
- 最終的なリストを
/home/labex/project/domains.txtに保存すること。 - すべての操作は単一のコマンドパイプラインを使用して実行すること。
例
キャプチャファイルから DNS クエリ名を正しく抽出できた場合、/home/labex/project/domains.txt には以下のようなエントリが含まれます:
amazon.com
example.com
google.com
...
注意:ファイル内の実際のドメインは、提供されたファイルにキャプチャされている特定の DNS クエリによって異なります。
ヒント
- DNS プロトコルパケットのみに焦点を当てるには、
-Y "dns"フィルタオプションを使用します。 - DNS クエリ名のフィールドは、
-T fields -e dns.qry.nameを使用して抽出できます。 - Linux コマンドはパイプ(
|)を使用して連結できることを思い出してください。 - 出力の整理には
sortコマンドとuniqコマンドが便利です。
まとめ
このチャレンジでは、Wireshark のコマンドライン版である tshark を使用して、DNS クエリを介した潜在的なデータ漏洩を特定するためにネットワークトラフィックを分析しました。キャプチャファイルから DNS クエリ名を抽出し、アルファベット順にソートし、重複を削除して、さらなる分析のために結果をファイルに保存しました。これにより、ネットワークトラフィック分析とコマンドラインフィルタリングの実践的なスキルを習得しました。
このチャレンジは、不審なドメインクエリの特定がコマンド&コントロール通信やデータ漏洩の試みを検出するために不可欠であるという、現実世界のサイバーセキュリティシナリオをシミュレートしたものです。DNS トラフィックに特化した tshark のフィールド抽出機能を活用する方法を学ぶことで、潜在的に悪意のあるネットワーク活動を特定するために応用できる、セキュリティ監視とネットワークフォレンジックにおける貴重な経験を得ることができました。
