Filtrar Comunicações DNS

Introdução

Neste desafio, você assumirá o papel de um analista de segurança de rede na CyberDefend Inc., com a tarefa de monitorar o tráfego DNS na rede da sua empresa devido a atividades suspeitas que sugerem possíveis ataques de tunelamento DNS (DNS tunneling). Seu objetivo é isolar e capturar apenas as comunicações DNS para uma análise de segurança posterior.

Utilizando o Wireshark, você precisará aplicar o filtro de captura apropriado "udp port 53" para direcionar especificamente o tráfego DNS, capturar pelo menos 10 pacotes e salvá-los como um arquivo pcapng no diretório designado. Este exercício prático ajudará você a desenvolver habilidades essenciais em filtragem de tráfego de rede e análise de protocolos, que são fundamentais para identificar e investigar possíveis ameaças de segurança em comunicações de rede.

Filtrar Comunicações DNS

Como analista de segurança de rede na CyberDefend Inc., você foi encarregado de monitorar o tráfego DNS na rede da empresa. Atividades suspeitas recentes sugerem possíveis ataques de tunelamento DNS. Seu trabalho é isolar e capturar apenas o tráfego DNS para análise detalhada.

Tarefas

• Use o Wireshark com o filtro de captura "udp port 53" para coletar apenas o tráfego DNS e salve os pacotes capturados como dns_capture.pcapng no diretório /home/labex/project

Requisitos

1. Inicie o Wireshark a partir do terminal ou do menu de aplicativos.
2. Configure um filtro de captura usando a sintaxe Berkeley Packet Filter (BPF) para capturar apenas o tráfego DNS. A expressão de filtro correta é udp port 53.
3. Capture pelo menos 10 pacotes de tráfego DNS.
4. Salve os pacotes capturados no arquivo /home/labex/project/dns_capture.pcapng.
5. Não modifique o arquivo capturado após salvá-lo.

Exemplos

Quando você concluir o desafio com sucesso, sua janela do Wireshark deverá ser semelhante a esta:

• A lista de pacotes mostrará apenas pacotes de consulta (query) e resposta (response) de DNS.
• A coluna de protocolo mostrará DNS para a maioria dos pacotes.
• A coluna de informações (info) mostrará consultas para domínios como google.com, facebook.com, etc.
• As portas de origem e destino incluirão a porta 53.

Dicas

• O DNS normalmente usa UDP na porta 53, mas às vezes também pode usar TCP na porta 53. Para este desafio, focar em UDP port 53 é suficiente.
• Para definir um filtro de captura no Wireshark, procure pelo campo "Capture Filter" na interface principal ou na caixa de diálogo Opções de Captura (Capture Options).
• Certifique-se de selecionar uma interface de rede apropriada onde o tráfego esteja fluindo (geralmente o adaptador de rede principal ou "any").
• Deixe a captura rodar por pelo menos 30 segundos para garantir a coleta de pacotes DNS suficientes.
• Você pode interromper a captura clicando no botão quadrado vermelho na barra de ferramentas do Wireshark.
• Para salvar a captura, use File > Save As no menu do Wireshark.

Resumo

Neste desafio, assumi o papel de um analista de segurança de rede na CyberDefend Inc. com a tarefa de monitorar o tráfego DNS em busca de possíveis ataques de tunelamento. Aprendi a usar o Wireshark para isolar comunicações DNS configurando um filtro de captura com a sintaxe Berkeley Packet Filter (BPF) "udp port 53", que visa especificamente o tráfego DNS.

O exercício exigiu iniciar o Wireshark, aplicar o filtro de captura adequado, coletar pelo menos 10 pacotes DNS gerados a partir de consultas nslookup para domínios como google.com e facebook.com, e salvar os dados capturados em um local especificado. Esta aplicação prática demonstrou como os profissionais de segurança podem se concentrar no tráfego de protocolos específicos ao investigar comunicações de rede, permitindo uma análise mais eficiente de possíveis ameaças à segurança.