介绍
在本挑战中,你将扮演 CyberDefend 公司的网络安全分析师。由于发现了一些可能暗示 DNS 隧道攻击(DNS tunneling attacks)的可疑活动,你被指派负责监控公司网络中的 DNS 流量。你的目标是隔离并仅捕获 DNS 通信,以便进行进一步的安全分析。
你需要使用 Wireshark,并应用适当的捕获过滤器 udp port 53 来专门针对 DNS 流量。你需要捕获至少 10 个数据包,并将其保存为指定目录下的 pcapng 文件。通过这个实战练习,你将培养网络流量过滤和协议分析的核心技能,这对于在网络通信中识别和调查潜在安全威胁至关重要。
过滤 DNS 通信
作为 CyberDefend 公司的网络安全分析师,你被要求监控公司网络上的 DNS 流量。最近的可疑活动表明可能存在 DNS 隧道攻击。你的任务是隔离并仅捕获 DNS 流量以供进一步分析。
任务
- 使用 Wireshark 并配合捕获过滤器
udp port 53来仅收集 DNS 流量,并将捕获的数据包保存为/home/labex/project目录下的dns_capture.pcapng。
要求
- 从终端或应用程序菜单启动 Wireshark。
- 使用伯克利包过滤器(BPF)语法配置捕获过滤器,以仅捕获 DNS 流量。正确的过滤器表达式为
udp port 53。 - 捕获至少 10 个 DNS 流量数据包。
- 将捕获的数据包保存在文件
/home/labex/project/dns_capture.pcapng中。 - 保存后请勿修改捕获的文件。
示例
当你成功完成挑战后,你的 Wireshark 窗口应该类似于这样:
- 数据包列表将仅显示 DNS 查询和响应数据包。
- 大多数数据包的协议列将显示为 DNS。
- 信息(Info)列将显示针对 google.com、facebook.com 等域名的查询。
- 源端口和目的端口将包含 53 端口。
提示
- DNS 通常在 53 端口上使用 UDP,但有时也会使用 TCP 53 端口。对于本挑战,专注于
udp port 53就足够了。 - 要在 Wireshark 中设置捕获过滤器,请在主界面或「捕获选项」对话框中寻找「捕获过滤器」字段。
- 确保选择一个有流量流经的合适网络接口(通常是主网络适配器或「any」)。
- 让捕获运行至少 30 秒,以确保收集到足够的 DNS 数据包。
- 你可以通过点击 Wireshark 工具栏中的红色正方形按钮来停止捕获。
- 要保存捕获结果,请使用 Wireshark 菜单中的「文件」>「另存为」。
总结
在本挑战中,我扮演了 CyberDefend 公司的网络安全分析师,负责监控 DNS 流量以应对潜在的隧道攻击。我学习了如何通过配置伯克利包过滤器(BPF)语法 udp port 53 来使用 Wireshark 隔离 DNS 通信,该语法专门针对 DNS 流量。
练习要求启动 Wireshark、应用适当的捕获过滤器、收集至少 10 个由针对 google.com 和 facebook.com 等域名的 nslookup 查询生成的 DNS 数据包,并将捕获的数据保存到指定位置。这一实践应用展示了安全专业人员在调查网络通信时如何专注于特定协议流量,从而更高效地分析潜在的安全威胁。
