LabEx
ログイン無料登録

不審な DNS クエリを検出する

WiresharkWiresharkBeginner
今すぐ練習

💡 このチュートリアルは英語版からAIによって翻訳されています。原文を確認するには、 ここをクリックしてください

はじめに

このチャレンジでは、あなたはサイバーセキュリティアナリストの役割を担い、DNS クエリを介した潜在的なデータ流出の調査を行います。あなたのミッションは、pcapng ファイルにキャプチャされたネットワークトラフィックを分析し、コマンドアンドコントロール(C&C)サーバーとの通信を示唆する可能性のある、クエリされたすべてのドメイン名を特定することです。

あなたは、コマンドラインのネットワークプロトコルアナライザである tshark を使用して、キャプチャファイルから DNS クエリ名を抽出します。このチャレンジでは、DNS トラフィックをフィルタリングし、クエリ名を抽出し、アルファベット順にソートし、重複を削除し、結果をファイルに保存して、さらに分析する必要があります。この実践的な演習は、ネットワークトラフィック分析のスキルを向上させ、悪意のある行動を示す可能性のある疑わしい DNS アクティビティを検出するのに役立ちます。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/display_filters -.-> lab-548854{{"不審な DNS クエリを検出する"}} wireshark/export_packets -.-> lab-548854{{"不審な DNS クエリを検出する"}} wireshark/commandline_usage -.-> lab-548854{{"不審な DNS クエリを検出する"}} end

疑わしい DNS クエリを暴く

あなたはサイバーセキュリティアナリストとして、DNS クエリを介した潜在的なデータ流出の調査を任されました。あなたの仕事は、ネットワークトラフィックを分析し、クエリされたすべてのドメイン名を特定することです。これは、コマンドアンドコントロール(C&C)サーバーとの通信を明らかにする可能性があります。

タスク

  • 提供されたキャプチャファイルからすべての DNS クエリ名を抽出し、アルファベット順にソートし、重複を削除し、分析のために結果をファイルに保存します。

要件

  • /home/labex/project/capture.pcapngにあるネットワークトラフィックキャプチャファイルを分析するためにtsharkコマンドを使用します。
  • キャプチャファイルをフィルタリングして、DNS トラフィックのみを表示します。
  • tshark のフィールド抽出機能を使用して、DNS クエリ名のみを抽出します。
  • 結果をアルファベット順にソートします。
  • 重複するエントリを削除します。
  • 最終的なリストを/home/labex/project/domains.txtに保存します。
  • すべての操作は、単一のコマンドパイプラインを使用して実行する必要があります。

キャプチャファイルから DNS クエリ名を正しく抽出した場合、/home/labex/project/domains.txtには次のようなエントリが含まれている可能性があります。

amazon.com
example.com
google.com
google.com
...

注:ファイル内の実際のドメインは、提供されたファイルでキャプチャされた特定の DNS クエリによって異なる場合があります。

ヒント

  • -Y "dns"フィルタオプションを使用して、DNS プロトコルパケットのみに焦点を当てます。
  • DNS クエリ名フィールドは、-T fields -e dns.qry.nameを使用して抽出できます。
  • Linux コマンドはパイプ(|)を使用して連結できることを忘れないでください。
  • sortおよびuniqコマンドは、出力を整理するのに役立ちます。
  • /home/labex/project/tshark_cheatsheet.txtにある提供されたチートシートファイルで、基本的な tshark コマンドを確認できます。
✨ 解答を確認して練習

まとめ

このチャレンジでは、Wireshark のコマンドライン版である tshark を使用して、DNS クエリを介した潜在的なデータ流出を特定するためにネットワークトラフィックを分析しました。キャプチャファイルから DNS クエリ名を抽出し、アルファベット順にソートし、重複を削除し、結果をファイルに保存してさらに分析することで、ネットワークトラフィック分析とコマンドラインフィルタリングの実践的なスキルを開発しました。

このチャレンジは、疑わしいドメインクエリの特定がコマンドアンドコントロール(C&C)通信やデータ流出の試みを検出するために不可欠な、現実世界のサイバーセキュリティシナリオをシミュレートしました。特に DNS トラフィックに対して tshark のフィールド抽出機能を使用することを学ぶことで、セキュリティ監視とネットワークフォレンジック(network forensics)において貴重な経験を得ることができ、潜在的に悪意のあるネットワークアクティビティを特定するために応用できます。

関連 Wireshark コース
Wireshark のクイックスタート

Wireshark のクイックスタート

Cybersecurity
初級