如何打印在tcpdump捕获文件中解析的DNS名称?
答案 0 :(得分:2)
最简单的方法是使用tshark(与wireshark捆绑在一起)。类似的东西:
tshark -nr <your_capture.cap> -Y "dns.flags.response == 0" -T fields -e dns.qry.name -e dns.qry
将打印您在该捕获文件中的所有DNS响应。您可以使用以下方法仅打印唯一结果来改善结果:
tshark -nr <your_capture.cap> -Y "dns.flags.response == 0" -T fields -e dns.qry.name -e dns.qry | sort | uniq
或者通过计算每个名称出现的次数来进一步改进,将-c添加到uniq:
tshark -nr <your_capture.cap> -Y "dns.flags.response == 0" -T fields -e dns.qry.name -e dns.qry | sort | uniq -c
会打印出类似的内容:
2 www.ac-dc.cc
2 www.acdc.com
2 www.acdc-discography.com
2 www.acdcrocks.com
2 www.albertmusic.com
2 www.allmusic.com
2 www.amazon.com
2 www.apra.com.au