介绍
在本次挑战中,你将扮演一名网络安全分析师,负责调查通过 DNS 查询进行的潜在数据外泄行为。你的任务是分析保存在 pcapng 文件中的网络流量,识别所有被查询的域名,这些域名可能会暴露与命令与控制(C&C)服务器之间的通信。
你将使用命令行网络协议分析工具 tshark 从捕获文件中提取 DNS 查询名称。挑战要求你过滤出 DNS 流量、提取查询名称、按字母顺序排序、去除重复项,并将结果保存到文件中以便进一步分析。这项实战练习将提升你在网络流量分析方面的技能,并帮助你检测可能预示恶意行为的可疑 DNS 活动。
揭开可疑 DNS 查询的面纱
作为一名网络安全分析师,你被指派调查通过 DNS 查询进行的潜在数据外泄。你的工作是分析网络流量并识别所有被查询的域名,这些域名可能会揭示与命令与控制服务器的通信。
任务
- 从提供的捕获文件中提取所有 DNS 查询名称,按字母顺序排序,去除重复项,并将结果保存到文件中进行分析。
要求
- 使用
tshark命令分析位于/home/labex/project/capture.pcapng的网络流量捕获文件 - 过滤捕获文件,仅显示 DNS 流量
- 使用 tshark 的字段提取功能仅提取 DNS 查询名称
- 将结果按字母顺序排序
- 删除重复条目
- 将最终列表保存到
/home/labex/project/domains.txt - 所有操作应通过单个命令管道完成
示例
如果你正确地从捕获文件中提取了 DNS 查询名称,你的 /home/labex/project/domains.txt 可能会包含如下条目:
amazon.com
example.com
google.com
...
注意:文件中的实际域名可能会根据提供的捕获文件中特定的 DNS 查询而有所不同。
提示
- 使用
-Y "dns"过滤选项来仅关注 DNS 协议数据包 - 可以使用
-T fields -e dns.qry.name提取 DNS 查询名称字段 - 记住 Linux 命令可以使用管道符(
|)连接在一起 sort和uniq命令对于整理输出非常有用
总结
在本次挑战中,我使用 Wireshark 的命令行版本 tshark 分析了网络流量,以识别通过 DNS 查询进行的潜在数据外泄。我从捕获文件中提取了 DNS 查询名称,按字母顺序排序,去除了重复项,并将结果保存到文件中以便进一步分析,从而锻炼了在网络流量分析和命令行过滤方面的实战技能。
该挑战模拟了真实的网络安全场景,即识别可疑域名查询对于检测命令与控制通信或数据外泄企图至关重要。通过学习专门针对 DNS 流量使用 tshark 的字段提取功能,我获得了在安全监控和网络取证方面的宝贵经验,这些经验可应用于识别潜在的恶意网络活动。
