LabEx
登录免费加入

过滤 DNS 通信

WiresharkWiresharkBeginner
立即练习

💡 本教程由 AI 辅助翻译自英文原版。如需查看原文,您可以 切换至英文原版

介绍

在这个挑战(Challenge)中,你将扮演 CyberDefend Inc. 的网络安全分析师,负责监控公司网络上的 DNS 流量,因为存在可疑活动表明可能存在 DNS 隧道攻击。你的目标是隔离并捕获 DNS 通信,以进行进一步的安全分析。

使用 Wireshark,你需要应用适当的捕获过滤器 "udp port 53" 来专门针对 DNS 流量,捕获至少 10 个数据包,并将它们另存为指定目录中的 pcapng 文件。这个实践练习将帮助你培养网络流量过滤和协议分析方面的基本技能,这对于识别和调查网络通信中潜在的安全威胁至关重要。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/capture_filters("Capture Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") subgraph Lab Skills wireshark/packet_capture -.-> lab-548826{{"过滤 DNS 通信"}} wireshark/capture_filters -.-> lab-548826{{"过滤 DNS 通信"}} wireshark/export_packets -.-> lab-548826{{"过滤 DNS 通信"}} end

过滤 DNS 通信

作为 CyberDefend Inc. 的网络安全分析师,你被委派负责监控公司网络上的 DNS 流量。最近的可疑活动表明可能存在 DNS 隧道攻击。你的工作是隔离并捕获 DNS 流量,以进行进一步的分析。

任务

  • 使用 Wireshark 和捕获过滤器 "udp port 53" 来仅收集 DNS 流量,并将捕获的数据包另存为 /home/labex/project 目录中的 dns_capture.pcapng

要求

  1. 从终端或应用程序菜单启动 Wireshark。
  2. 使用 Berkeley Packet Filter (BPF) 语法配置捕获过滤器,以仅捕获 DNS 流量。正确的过滤器表达式是 udp port 53
  3. 捕获至少 10 个 DNS 流量的数据包。
  4. 将捕获的数据包保存在文件 /home/labex/project/dns_capture.pcapng 中。
  5. 保存后不要修改捕获的文件。

示例

当你成功完成挑战(Challenge)后,你的 Wireshark 窗口应如下所示:

  • 数据包列表将仅显示 DNS 查询和响应数据包
  • 协议(protocol)列将为大多数数据包显示 DNS
  • 信息(info)列将显示对 google.com、facebook.com 等域的查询
  • 源(source)和目标(destination)端口将包括 53 端口

提示

  • DNS 通常在 53 端口上使用 UDP,但有时也可以使用 TCP 53 端口。对于这个挑战(Challenge),专注于 UDP 53 端口就足够了。
  • 要在 Wireshark 中设置捕获过滤器,请在主界面或“捕获选项(Capture Options)”对话框中查找“捕获过滤器(Capture Filter)”字段。
  • 确保选择一个有流量流动的适当网络接口(通常是主网络适配器或 "any")。
  • 允许捕获运行至少 30 秒,以确保你收集到足够的 DNS 数据包。
  • 你可以通过单击 Wireshark 工具栏中的红色方块按钮来停止捕获。
  • 要保存捕获,请使用 Wireshark 菜单中的“文件(File)> 另存为(Save As)”。
✨ 查看解决方案并练习

总结

在这个挑战(Challenge)中,我扮演了 CyberDefend Inc. 的网络安全分析师,负责监控 DNS 流量以发现潜在的隧道攻击。我学习了如何使用 Wireshark 通过使用 Berkeley Packet Filter (BPF) 语法 "udp port 53" 配置捕获过滤器来隔离 DNS 通信,该语法专门针对 DNS 流量。

这个练习要求启动 Wireshark,应用适当的捕获过滤器,收集至少 10 个由 nslookup 查询(例如 google.com 和 facebook.com 等域名)生成的 DNS 数据包,并将捕获的数据保存到指定位置。这个实际应用演示了安全专业人员如何在调查网络通信时专注于特定的协议流量,从而可以更有效地分析潜在的安全威胁。

相关 Wireshark 课程
Wireshark 快速入门

Wireshark 快速入门

Cybersecurity
初级