このチャレンジでは、あなたはサイバーセキュリティアナリストとして、DNS クエリを介した潜在的なデータ漏洩(データエクスフィルトレーション)の調査を担当します。あなたの任務は、pcapng ファイルにキャプチャされたネットワークトラフィックを分析し、コマンド&コントロール(C2)サーバーとの通信を示唆する可能性のある、クエリされたすべてのドメイン名を特定することです。
コマンドラインベースのネットワークプロトコルアナライザーである tshark を使用して、キャプチャファイルから DNS クエリ名を抽出します。このチャレンジでは、DNS トラフィックのフィルタリング、クエリ名の抽出、アルファベット順のソート、重複の削除を行い、さらなる分析のために結果をファイルに保存する必要があります。この実践的な演習を通じて、ネットワークトラフィック分析のスキルを高め、悪意のある行動を示す可能性のある不審な DNS アクティビティを検出できるようになります。
サイバーセキュリティアナリストとして、あなたは DNS クエリを通じた潜在的なデータ漏洩の調査を依頼されました。ネットワークトラフィックを分析し、クエリされたすべてのドメイン名を特定することがあなたの仕事です。これにより、コマンド&コントロールサーバーとの通信が明らかになる可能性があります。
/home/labex/project/capture.pcapng にあるネットワークトラフィックキャプチャファイルを分析するために tshark コマンドを使用すること。/home/labex/project/domains.txt に保存すること。キャプチャファイルから DNS クエリ名を正しく抽出できた場合、/home/labex/project/domains.txt には以下のようなエントリが含まれます:
amazon.com
example.com
google.com
...注意:ファイル内の実際のドメインは、提供されたファイルにキャプチャされている特定の DNS クエリによって異なります。
-Y "dns" フィルタオプションを使用します。-T fields -e dns.qry.name を使用して抽出できます。|)を使用して連結できることを思い出してください。sort コマンドと uniq コマンドが便利です。このチャレンジでは、Wireshark のコマンドライン版である tshark を使用して、DNS クエリを介した潜在的なデータ漏洩を特定するためにネットワークトラフィックを分析しました。キャプチャファイルから DNS クエリ名を抽出し、アルファベット順にソートし、重複を削除して、さらなる分析のために結果をファイルに保存しました。これにより、ネットワークトラフィック分析とコマンドラインフィルタリングの実践的なスキルを習得しました。
このチャレンジは、不審なドメインクエリの特定がコマンド&コントロール通信やデータ漏洩の試みを検出するために不可欠であるという、現実世界のサイバーセキュリティシナリオをシミュレートしたものです。DNS トラフィックに特化した tshark のフィールド抽出機能を活用する方法を学ぶことで、潜在的に悪意のあるネットワーク活動を特定するために応用できる、セキュリティ監視とネットワークフォレンジックにおける貴重な経験を得ることができました。
