LabEx
EntrarJunte-se

Desvendar Consultas DNS Suspeitas

WiresharkBeginner
Pratique Agora

Introdução

Neste desafio, você assumirá o papel de um analista de segurança cibernética encarregado de investigar uma possível exfiltração de dados por meio de consultas DNS. Sua missão é analisar o tráfego de rede capturado em um arquivo pcapng para identificar todos os nomes de domínio consultados que possam revelar comunicação com servidores de comando e controle (C2).

Você utilizará o tshark, o analisador de protocolos de rede via linha de comando, para extrair os nomes de consulta DNS do arquivo de captura. O desafio exige que você filtre o tráfego DNS, extraia os nomes de consulta, organize-os em ordem alfabética, remova duplicatas e salve os resultados em um arquivo para análise posterior. Este exercício prático aprimorará suas habilidades em análise de tráfego de rede e ajudará a detectar atividades DNS suspeitas que possam indicar comportamento malicioso.

Desvendar Consultas DNS Suspeitas

Como analista de segurança cibernética, você recebeu a tarefa de investigar uma possível exfiltração de dados através de consultas DNS. Seu trabalho é analisar o tráfego de rede e identificar todos os nomes de domínio que foram consultados, o que pode revelar comunicações com servidores de comando e controle.

Tarefas

  • Extrair todos os nomes de consulta DNS do arquivo de captura fornecido, ordená-los alfabeticamente, remover duplicatas e salvar os resultados em um arquivo para análise.

Requisitos

  • Use o comando tshark para analisar o arquivo de captura de tráfego de rede localizado em /home/labex/project/capture.pcapng
  • Filtre o arquivo de captura para exibir apenas o tráfego DNS
  • Extraia apenas os nomes de consulta DNS usando o recurso de extração de campos do tshark
  • Ordene os resultados em ordem alfabética
  • Remova entradas duplicadas
  • Salve a lista final em /home/labex/project/domains.txt
  • Todas as operações devem ser realizadas utilizando uma única linha de comando (pipeline)

Exemplos

Se você extrair corretamente os nomes de consulta DNS do arquivo de captura, seu arquivo /home/labex/project/domains.txt poderá conter entradas como:

amazon.com
example.com
google.com
...

Nota: Os domínios reais no seu arquivo podem variar dependendo das consultas DNS específicas capturadas no arquivo fornecido.

Dicas

  • Use a opção de filtro -Y "dns" para focar apenas em pacotes do protocolo DNS
  • O campo do nome de consulta DNS pode ser extraído usando -T fields -e dns.qry.name
  • Lembre-se de que comandos Linux podem ser encadeados usando pipes (|)
  • Os comandos sort e uniq são úteis para organizar a saída

Resumo

Neste desafio, analisei o tráfego de rede para identificar uma possível exfiltração de dados por meio de consultas DNS usando o tshark, a versão de linha de comando do Wireshark. Extraí nomes de consulta DNS de um arquivo de captura, ordenei-os alfabeticamente, removi duplicatas e salvei os resultados em um arquivo para análise posterior, desenvolvendo habilidades práticas em análise de tráfego de rede e filtragem via linha de comando.

O desafio simulou um cenário real de segurança cibernética, onde a identificação de consultas de domínio suspeitas é fundamental para detectar comunicações de comando e controle ou tentativas de exfiltração de dados. Ao aprender a usar as capacidades de extração de campos do tshark especificamente para o tráfego DNS, adquiri uma experiência valiosa em monitoramento de segurança e forense de rede, que pode ser aplicada para identificar atividades de rede potencialmente maliciosas.

✨ Verificar Solução e Praticar
Relacionados Wireshark Cursos
Wireshark para Iniciantes

Wireshark para Iniciantes

cybersecuritywireshark
Análise de Cibersegurança com Wireshark e Tshark

Análise de Cibersegurança com Wireshark e Tshark

cybersecuritywireshark