揭示可疑的 DNS 查询

介绍

在这个挑战中，你将扮演一名网络安全分析师，负责调查可能通过 DNS 查询进行的数据泄露。你的任务是分析在 pcapng 文件中捕获的网络流量，以识别所有可能揭示与命令和控制（C&C, Command and Control）服务器通信的查询域名。

你将使用 tshark，这个命令行网络协议分析器，从捕获文件中提取 DNS 查询名称。这个挑战要求你过滤 DNS 流量，提取查询名称，按字母顺序排序，删除重复项，并将结果保存到文件中以供进一步分析。这个实践练习将增强你在网络流量分析方面的技能，并帮助你检测可能表明恶意行为的可疑 DNS 活动。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/display_filters -.-> lab-548854{{"揭示可疑的 DNS 查询"}} wireshark/export_packets -.-> lab-548854{{"揭示可疑的 DNS 查询"}} wireshark/commandline_usage -.-> lab-548854{{"揭示可疑的 DNS 查询"}} end

揭示可疑的 DNS 查询

作为一名网络安全分析师，你被委派调查可能通过 DNS 查询进行的数据泄露。你的工作是分析网络流量，并识别所有被查询的域名，这些域名可能揭示与命令和控制（C&C, Command and Control）服务器的通信。

任务

从提供的捕获文件中提取所有 DNS 查询名称，按字母顺序排序，删除重复项，并将结果保存到文件中以供分析。

要求

使用 tshark 命令分析位于 /home/labex/project/capture.pcapng 的网络流量捕获文件
过滤捕获文件，仅显示 DNS 流量
仅使用 tshark 的字段提取功能提取 DNS 查询名称
按字母顺序对结果进行排序
删除重复条目
将最终列表保存到 /home/labex/project/domains.txt
所有操作应使用单个命令管道执行

示例

如果你正确地从捕获文件中提取了 DNS 查询名称，你的 /home/labex/project/domains.txt 可能包含如下条目：

amazon.com
example.com
google.com
...

注意：你的文件中的实际域名可能会因提供的文件中捕获的特定 DNS 查询而异。

提示

使用 -Y "dns" 过滤选项仅关注 DNS 协议数据包
可以使用 -T fields -e dns.qry.name 提取 DNS 查询名称字段
请记住，Linux 命令可以使用管道 (|) 链接在一起
sort 和 uniq 命令对于组织输出非常有用
你可以在 /home/labex/project/tshark_cheatsheet.txt 提供的速查表文件中查看基本的 tshark 命令

✨ 查看解决方案并练习

总结

在这个挑战中，我分析了网络流量，以识别可能通过 DNS 查询进行的数据泄露，我使用了 tshark（Wireshark 的命令行版本）。我从捕获文件中提取了 DNS 查询名称，按字母顺序排序，删除了重复项，并将结果保存到文件中以供进一步分析，从而培养了网络流量分析和命令行过滤方面的实践技能。

这个挑战模拟了一个真实的网络安全场景，其中识别可疑的域名查询对于检测命令和控制（C&C, Command and Control）通信或数据泄露尝试至关重要。通过学习使用 tshark 的字段提取功能（专门针对 DNS 流量），我在安全监控和网络取证方面获得了宝贵的经验，这些经验可用于识别潜在的恶意网络活动。