我是安全新手,正在研究一个问题,我需要找出用于将名称解析为IP的外部DNS。我可以过滤如何查找DNS流量,但如何找出用于解析地址的外部DNS?
答案 0 :(得分:0)
可以使用多个DNS解析器。如果您知道它们都在标准端口UDP / 53上侦听,则只需检索目标IP地址:
Select empname
From table t1
Join table t2
Using (empname)
Where t1.deptid = 1
And t2.deptid = 2
以上将为您提供UDP / 53数据包的目标IP地址列表。就我而言,我有一个本地解析器($ tshark -r tmp.pcap -T fields -e ip.dst "udp.dstport eq 53" | sort | uniq -c
31 127.0.0.1
3 192.168.1.3
),它只调用上面的解析器(127.0.0.1)来查找未缓存的记录。因此,大多数请求只会转到本地解析器(34个中的31个)。
DNS解析器侦听 TCP / 53 也很常见。您也可以使用以下命令选择这些请求:
192.168.1.13您还可以在捕获时应用过滤包,以避免保存不必要的数据包:
tshark -r capture.pcap -T fields -e ip.dst "udp.dstport eq 53 or tcp.dstport eq 53" | sort | uniq -c