DNS в Wireshark

Benzema

Публикатор
Команда форума
Регистрация
27.01.18
Сообщения
375
Реакции
149
Баллы
560
FTC
130¢
1663892864733

DNS или система доменных имен, сокращенно DNS, - это система, используемая для разрешения доменных имен, IP-адресов, различных серверов, например, FTP-серверов, игровых серверов, активных каталогов и т. Д., И ведения их записей. DNS, изобретенный Джоном Постелом и Полом Мокапетрисом в 1982 году, в настоящее время стал одним из самых значительных игроков в современном мире Интернета.

DNS фактически предоставляет сопоставление имени хоста сети и его адреса. Доказано, что он многократно облегчает человеческую жизнь, если посмотреть на его работу и предлагаемые им услуги. Это помогает пользователям, переводя доменные имена в IP-адреса, позволяя им просматривать веб-страницы, не запоминая такие сложные IP-коды. Переходим к Wireshark, который является анализатором пакетов с открытым исходным кодом и широко используется с момента его создания в мире Интернета для анализа пакетов, полученных или отправленных в сети. Мы можем использовать Wireshark для сегментирования системы DNS и получения подробного представления о ней. Порт по умолчанию для DNS-трафика в Wireshark равен 53, а протокол - UDP (User Datagram Protocol). После запуска Wireshark мы сможем легко анализировать DNS-запросы. Мы будем следовать следующим шагам:

  • В строке меню выберите пункт Захват → Интерфейсы.
  • Выберите конкретный адаптер Ethernet и нажмите кнопку Пуск.
  • После этого перейдите к любому веб-адресу, а затем вернитесь в Wireshark. При просмотре будут захвачены пакеты, а в Wireshark нажмите стоп в меню захвата, чтобы остановить захват.
  • Если у вас еще нет списка пакетов, вы можете получить к нему доступ с помощью команды Редактировать → Найти пакеты. Это даст вам список пакетов.
  • Поскольку мы собираемся анализировать DNS, мы будем изучать только DNS-пакеты, и для получения DNS-пакетов только вы можете применить DNS в приведенных выше фильтрах.
dnsrecon1.png
Вы можете получить доступ к сведениям DNS любого пакета, щелкнув метку системы доменных имен в разделе сведений о фрейме окна Wireshark. Вы можете ознакомиться с различными разделами интерфейса на изображении выше.

Базовый ответ DNS имеет:
  1. Идентификатор транзакции - для идентификации выполненной связи.
  2. Флаги - для проверки ответа, является ли он действительным или нет.
  3. Вопросы - значение по умолчанию равно 1 для любого отправленного или полученного запроса. В основном это означает, запрашивали ли вы что-то или нет.
  4. Ответы - значение по умолчанию равно 0, если ответ отправлен, и 1, если получен. Если полученный пакет просматривается, то в разделе ответов указывается IP-адрес желаемого доменного имени вместе со временем жизни, которое в основном является счетчиком, срок действия которого истекает по истечении отведенного времени.
dnsquery.png

Ответ DNS​

Кроме того, в нем есть раздел запросов, в котором приводятся субъективные подробности общения. Раздел запросов содержит следующее:
  1. Имя: доменное имя получателя или веб-адрес, который должен быть достигнут или достигнут в случае получения пакета. Далее в этом разделе указывается его длина, посимвольно под [Name-Length], и количество слов, разделенных разделителями, т.е. Точкой (.) под именем[Labels].
  2. Тип: который является ‘A‘ для IPv4 (32 бита) и ‘AAAA‘ для IPv6 (128 бит).
  3. Класс: который по умолчанию включен, что означает, что был запрошен IP-адрес в Интернете.
Захваченные пакеты также хранятся на локальном компьютере, мы также можем просмотреть полученные пакеты в командной строке, введя следующую инструкцию:

ipconfig /displaydns:

Вы можете взглянуть на приведенную ниже схему для справки. После того, как вы посетили определенный ресурс, он будет сохранен, и в следующий раз, когда вы захотите найти определенный ресурс, хост попытается найти его в локальном хранилище. Таким образом, мы можем анализировать DNS-запросы в Wireshark и получать подробные сведения о функциях пакетов DNS. Проверка DNS-запросов в Wireshark является одним из основных инструментов для изучения поведения сети, а Wireshark на сегодняшний день является ведущим форумом для анализа протоколов из-за его удобного для начинающих и подробного характера.

displaydns.jpg

ipconfig /displaydns​

Сбор пакетов Wireshark и дополнительные функции декодирования различных ответов протокола стали важнейшим фактором в сетевом анализе в современном мире. Изучение DNS может быть очень полезным, поскольку оно показывает, где в сети присутствуют недостатки. Особенно в случае неправильного поведения DNS возникают проблемы, такие как задержка загрузки веб-страницы или большее время отклика. Странное поведение DNS является основным признаком взломанной системы или сети. Такие случаи в основном относятся к типу, называемому “MIM” (Man-in-the-Middle), который вызывает задержку в обмене пакетами, поскольку он получает доступ ко всем пакетам, тем самым ставя под угрозу систему. Аналитики кибербезопасности часто сначала ищут ответы на запросы DNS, чтобы понять недостатки сети.
 
Сверху Снизу