Выявление подозрительных DNS-запросов

Введение

В рамках этого испытания вы примерите на себя роль аналитика по кибербезопасности, которому поручено расследовать возможную утечку данных через DNS-запросы. Ваша задача — проанализировать сетевой трафик, зафиксированный в файле pcapng, чтобы выявить все запрашиваемые доменные имена, которые могут указывать на связь с командными серверами злоумышленников.

Для извлечения имен DNS-запросов из файла дампа вы будете использовать tshark — консольный анализатор сетевых протоколов. Вам предстоит отфильтровать DNS-трафик, извлечь имена запросов, отсортировать их по алфавиту, удалить дубликаты и сохранить результаты в файл для дальнейшего изучения. Это практическое упражнение поможет вам отточить навыки анализа сетевого трафика и научит обнаруживать подозрительную DNS-активность, характерную для вредоносного ПО.

Выявление подозрительных DNS-запросов

Как аналитик по информационной безопасности, вы получили задание расследовать потенциальную эксфильтрацию данных через DNS. Вам необходимо изучить сетевой трафик и составить список всех доменных имен, к которым обращались узлы сети, так как это может помочь обнаружить каналы связи с управляющими серверами (C2).

Задачи

• Извлеките все имена DNS-запросов из предоставленного файла захвата трафика, отсортируйте их в алфавитном порядке, удалите повторяющиеся записи и сохраните результат в файл для последующего анализа.

Требования

• Используйте команду tshark для анализа файла захвата сетевого трафика, расположенного по пути /home/labex/project/capture.pcapng.
• Отфильтруйте данные так, чтобы отображался только DNS-трафик.
• Извлеките исключительно имена DNS-запросов, используя функцию извлечения полей tshark.
• Отсортируйте результаты по алфавиту.
• Удалите дубликаты записей.
• Сохраните итоговый список в файл /home/labex/project/domains.txt.
• Все операции должны быть выполнены в рамках одного конвейера команд (pipeline).

Примеры

Если вы правильно извлечете имена DNS-запросов, ваш файл /home/labex/project/domains.txt может выглядеть примерно так:

amazon.com
example.com
google.com
...

Примечание: Реальные домены в вашем файле будут зависеть от того, какие именно DNS-запросы содержатся в предоставленном дампе трафика.

Подсказки

• Используйте параметр фильтрации -Y "dns", чтобы сосредоточиться только на пакетах протокола DNS.
• Поле имени DNS-запроса можно извлечь с помощью конструкции -T fields -e dns.qry.name.
• Помните, что команды Linux можно объединять в цепочки с помощью символа конвейера (|).
• Команды sort и uniq незаменимы для упорядочивания вывода.

Резюме

В ходе этого испытания я провел анализ сетевого трафика для выявления потенциальной утечки данных через DNS-запросы, используя tshark — консольный аналог Wireshark. Я научился извлекать имена DNS-запросов из файла дампа, сортировать их, удалять дубликаты и сохранять результаты для дальнейшего изучения. Это позволило мне развить практические навыки анализа трафика и фильтрации данных в командной строке.

Данное задание моделирует реальный сценарий из практики кибербезопасности, где поиск подозрительных доменов является ключом к обнаружению коммуникаций злоумышленников или попыток кражи информации. Освоив возможности tshark по извлечению конкретных полей DNS-трафика, я получил ценный опыт в области мониторинга безопасности и сетевой криминалистики, который применим для обнаружения вредоносной активности в реальных сетях.