LabEx
ВойтиПрисоединиться бесплатно

Обнаружение подозрительных DNS-запросов

WiresharkWiresharkBeginner
Практиковаться сейчас

💡 Этот учебник переведен с английского с помощью ИИ. Чтобы просмотреть оригинал, вы можете перейти на английский оригинал

Введение

В этом задании вы выступите в роли аналитика по кибербезопасности, которому поручено расследовать потенциальную утечку данных через DNS-запросы. Ваша задача - проанализировать сетевой трафик, захваченный в файле pcapng, чтобы идентифицировать все запрошенные доменные имена, которые могут указывать на связь с командными и контрольными серверами (command and control servers).

Вы будете использовать tshark, анализатор сетевых протоколов командной строки, для извлечения имен DNS-запросов из файла захвата. Задание требует от вас отфильтровать DNS-трафик, извлечь имена запросов, отсортировать их в алфавитном порядке, удалить дубликаты и сохранить результаты в файл для дальнейшего анализа. Это практическое упражнение улучшит ваши навыки анализа сетевого трафика и поможет вам обнаруживать подозрительные действия DNS, которые могут указывать на вредоносное поведение.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/display_filters -.-> lab-548854{{"Обнаружение подозрительных DNS-запросов"}} wireshark/export_packets -.-> lab-548854{{"Обнаружение подозрительных DNS-запросов"}} wireshark/commandline_usage -.-> lab-548854{{"Обнаружение подозрительных DNS-запросов"}} end

Обнаружение подозрительных DNS-запросов

Вам, как аналитику по кибербезопасности, поручено расследовать потенциальную утечку данных через DNS-запросы. Ваша задача - проанализировать сетевой трафик и идентифицировать все запрошенные доменные имена, которые могут указывать на связь с командными и контрольными серверами (command and control servers).

Задачи

  • Извлеките все имена DNS-запросов из предоставленного файла захвата, отсортируйте их в алфавитном порядке, удалите дубликаты и сохраните результаты в файл для анализа.

Требования

  • Используйте команду tshark для анализа файла захвата сетевого трафика, расположенного по адресу /home/labex/project/capture.pcapng
  • Отфильтруйте файл захвата, чтобы отображать только DNS-трафик
  • Извлеките только имена DNS-запросов, используя функцию извлечения полей (field extraction) в tshark
  • Отсортируйте результаты в алфавитном порядке
  • Удалите повторяющиеся записи
  • Сохраните окончательный список в /home/labex/project/domains.txt
  • Все операции должны быть выполнены с использованием одного конвейера команд (command pipeline)

Примеры

Если вы правильно извлечете имена DNS-запросов из файла захвата, ваш файл /home/labex/project/domains.txt может содержать такие записи, как:

amazon.com
example.com
google.com
...

Примечание: Фактические домены в вашем файле могут отличаться в зависимости от конкретных DNS-запросов, захваченных в предоставленном файле.

Подсказки

  • Используйте опцию фильтра -Y "dns", чтобы сосредоточиться только на пакетах протокола DNS
  • Поле имени DNS-запроса можно извлечь с помощью -T fields -e dns.qry.name
  • Помните, что команды Linux можно объединять в цепочку с помощью каналов (|)
  • Команды sort и uniq полезны для организации вывода
  • Вы можете просмотреть основные команды tshark в предоставленном файле шпаргалки по адресу /home/labex/project/tshark_cheatsheet.txt
✨ Проверить решение и практиковаться

Краткое описание

В этом задании я проанализировал сетевой трафик для выявления потенциальной утечки данных через DNS-запросы с использованием tshark, командной строки версии Wireshark. Я извлек имена DNS-запросов из файла захвата, отсортировал их в алфавитном порядке, удалил дубликаты и сохранил результаты в файл для дальнейшего анализа, развивая практические навыки в анализе сетевого трафика и фильтрации командной строки.

Задание имитировало реальный сценарий кибербезопасности, в котором выявление подозрительных доменных запросов имеет решающее значение для обнаружения командных и контрольных коммуникаций (command and control communications) или попыток утечки данных. Изучив возможности извлечения полей (field extraction) tshark специально для DNS-трафика, я приобрел ценный опыт в мониторинге безопасности и сетевой криминалистике (network forensics), который можно применить для выявления потенциально вредоносной сетевой активности.

Связанные Wireshark Курсы
Быстрый старт с Wireshark

Быстрый старт с Wireshark

Cybersecurity
Начинающий