抓取特定DNS查询包:tcpdump vs wireshark

已于 2022-01-24 20:30:22 修改
阅读量1.4k 收藏 2
点赞数 1
分类专栏: 技术点滴 网络安全保密 文章标签: tcpdump wireshark 网络
于 2022-01-24 17:16:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/McwoLF/article/details/122671397
版权

近期,在办公网络中出现网络不稳定问题,经过分析发现是网内大量的终端安装的安全软件,每秒钟都定期进行地址探测,其中需要探测taobao.com之类的域名地址,造成大量的DNS查询,如果终端数上千之后,很快防火墙的并发连接数都超过了300万(类似UDP攻击)。为解决问题,先用抓包工具对DNS协议进行了一点研究。

DNS UDP包基本分析

UDP包
在这里插入图片描述

DNS包
imgDNS协议的详细分析,参考:https://www.jianshu.com/p/43d316f8ed4c

tcpdump 与wireshark抓取查询域名

基本使用参考一下:超详细的网络抓包神器 tcpdump 使用指南,和https://blog.csdn.net/qq_42672770/article/details/107032894

这篇有包头部分析偏移量https://www.cnblogs.com/chenpingzhao/p/9108570.html

tcpdump监控DNS包,没有直接的过滤器可以显示所查询的域名,需要自行构造。

下面网站有一个原始的DNS 位置过滤器在线生成,https://www.time-travellers.org/dnstcpdump/,也可以自行构造

## 119 119 119是www
tcpdump -i enp4s0f1  'port 53 and (udp[21]==119) and (udp[22]==119) and (udp[23]==119

偏移量计算:udp包头 4个2 [0]-[7], DNS头部6个2 [8]-[19],[20]是0x03查询开始,[21-23]正好是查询的前三个字母。

而wireshark在命令行可以直接使用display filter,这个要强大和语义更丰富的多。

tshark -i enp4s0f1 -Y 'dns.qry.name ~ www.taobao.com'

附录1:在线生成tcpdump的DNS域名过滤器

地址:https://www.time-travellers.org/dnstcpdump/

DNS截图

附录2 ,tcpdump过滤器图示

tcpdump是更底层的,依赖过滤器

img

https://blog.csdn.net/weixin_33797791/article/details/92514147

附录3:ASCII码表

点击查看图片来源

McwoLF
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用python+scapy抓取DNS数据包
01-04
程序只会抓取DNS数据包。不会去抓取其他类型的数据包
使用tcpdump抓取DNS
CrazyRabbitttt
04-19 6042
本文主要是介绍了我们使用tcpdump工具进行DNS数据包抓取与分析,希望能够帮助到大家
tcpdump进行DNS
bugcat的博客
08-06 3742
第一个数据包中(DNS查询报文),从ip:10.0.4.5(本机)端口39454发向ip:183.60.83.19(DNS服务器)的53端口(DNS服务的端口),47814是DNS查询报文的标识值,因此该值也出现在DNS应答报文中。”表示使用A类型的查询方式。“CNAME www.a.shifen.com., A 112.80.248.76, A 112.80.248.75”则表示3个应答资源记录的内容。其中CNAME表示紧随其后的记录是机器的别名,A表示紧随其后的记录是ip地址。...
tcpdump 抓取DNS流量
weixin_42280274的博客
12-02 1601
sudo tcpdump -i enp61s0f3 port domain -w ./test.pcap
tcpdump dns(linux高性能编程读书笔记2)
weixin_30364325的博客
03-10 122
tcpdump -i eth0 -nt -s 500 port domain host -t A www.baidu.com www.baidu.com is an alias for www.a.shifen.com. www.a.shifen.com has address 119.75.217.109 www.a.shifen.com has address 119...
Tcpdump & Wireshark
06-05
TcpdumpWireshark网络分析领域的两个重要工具,它们主要用于抓取和分析网络报文,对于网络故障排查、性能优化和安全审计具有重要作用。 **Tcpdump** Tcpdump是一款命令行式的网络数据包分析工具,它能够实时...
Linux基础学习之利用tcpdump实例代码
09-15
9. **限制抓数量**:`-c`参数用于限制抓取的封数量,如`tcpdump -c 1000`只捕获前1000个封。 10. **其他高级选项**:`-t`不显示时间戳,`-s`设置抓取数据包长度,默认68字节,`-S 0`可以抓取完整,`-vvv`...
linux系统下使用tcpdump进行抓方法
09-15
- 远程执行TCPDump并通过Wireshark分析,利用SSH连接到远程系统,并将输出传递给Wireshark。 - 通过shell命令获取最频繁出现的IP地址,结合`cut`, `sort`, `uniq`, `sort -nr` 和 `head` 进行统计。 最后,我们提到...
安卓抓tcpdump工具.rar
05-07
7. 分析抓结果:Wireshark是一款强大的网络分析工具,可以解析各种协议,帮助你理解app的网络行为,括HTTP请求、DNS查询、TCP连接等。 8. 注意隐私和合规性:使用tcpdump进行抓分析时,一定要确保你有合法的...
工具tcpdump
12-12
tcpdump是一款强大的网络分析软件,主要用于在网络层截取并分析网络数据包。它在各种操作系统上都有应用,括Unix、Linux以及Android等。在Android平台上,tcpdump成为开发者和网络管理员诊断网络问题、监控...
dns查询/响应 实例 pcap
11-20
执行命令:dig @202.106.0.20 www.baidu.com 返回的数据包。 可以用来分析dns协议。深入了解dns
使用tcpdump查看DNS信息
weixin_34122548的博客
10-11 2749
tcpdump观察域名解析过程。首先,在终端输入:tcpdump port 53 ,过滤DNS端口的报文。然后另外打开一个终端:ping 一个网站,我ping的是: ping www.17173.comtcpdump如下:09:17:59.658394 IP datou97-Lenovo.local.55968 > es.sia.a...
使用tcpdump+wireshark分析网络数据包
weixin_34185364的博客
12-16 1153
最近和学弟在调试一个GPRS通信模块,需求是通过GPRS模块通过http协议发送数据到服务器,但是http协议一直失败,服务器返回400,通过查询http状态码得知,http400错误是请求无效,因为GPRS模块没有实现http协议的封装,需要在TCP协议的基础上,手动拼装http格式的报文.所以初步猜测是http协议格式错误导致的. 这时候,最简单有效...
使用tcpdump观察DNS通信过程
Be The Best!
01-14 8268
使用tcpdump观察DNS通信过程
使用tcpdump,并用Wireshark和Fiddler工具分析
时光钟摆
07-18 5474
我们在排查问题的时候,进程要遇到抓,如果是在windows环境,可以使用wireshark直接抓,如果是在linux环境下,可以使用tcpdump命令进行抓,然后取下来用wireshark或者Fiddler进行分析。 tcpdump命令介绍 命令格式: tcpdump [-adeflnNOpqStvx] [-c 数量] [-F 文件名] [-i 网络接口] ...
wincap 捕获本地 DNS 查询并输出其IP,PORT,DOMAIN(完整版,附程序)
北飞雁
08-21 3533
这几天在实验室敲了几天代码,开始一直不知道怎么捕获DNS,参考了许多的资料,终于弄明白了,现在和还不明白的朋友分享一下。。。 1.关于适配器那一块就跳过了,网上程序写的很清楚。 2.如何获得IP?port? 这个很简单,只需要把指针定义到IP首部,根据IP头部的结构输出相应的源和目的IP,PORT即可。 3.如何捕获DNS查询? 这个对像我一样开始学的菜鸟比较头疼,其实很简单的额,打
wireshark分析DNS域名解析过程
最新发布
m0_73576645的博客
12-09 6635
DNS是的简称,即域名系统,是一个记录域名和IP地址相互映射的系统,主要作用是为了解决域名与IP之间的相互转换。DNS是一个网络服务,其端口为53号端口。通常DNS查询时是以UDP协议来进行查询,一旦无法查询到完整信息时,再以TCP协议进行重新查询。因此,DNS服务启动时会同时开启UDP和TCP协议的53号端口。DNS的基本作用:把域名转换成IP地址。DNS工作在应用层。
1.6.3 使用tcpdump观察DNS通信过程
Howl_1的博客
07-14 319
使用tcpdump观察DNS通信过程前言DNS工作原理linux下访问DNS服务实验开始数据报信息 前言 本篇文章为笔者的读书笔记,未经允许请勿转载。如果对你有帮助记得点个赞(●’◡’●) 本次实验是linux高性能服务器编程的第二个实验,难度不大,巩固tcpdump的一些常用知识。 DNS工作原理 我们通常使用机器的域名来访问这台机器,而不是直接使用IP地址。域名转换成IP地址需要使用域名查询服务。域名查询服务有很多种实现方式,比如NIS(Network Information Service,
怎么使用 tcpdumpWireshark 分析网络流量?
凯凯王的技术生涯
03-11 503
文章目录案例准备再探 pingtcpdumpWireshark小结 上一节,我们学习了 DNS 性能问题的分析和优化方法。简单回顾一下,DNS 可以提供域名和 IP 地址的映射关系,也是一种常用的全局负载均衡(GSLB)实现方法。 通常,需要暴露到公网的服务,都会绑定一个域名,既方便了人们记忆,也避免了后台服务 IP 地址的变更影响到用户。 不过要注意,DNS 解析受到各种网络状况的影响,性能可能不稳定。比如公网延迟增大,缓存过期导致要重新去上游服务器请求,或者流量高峰时 DNS 服务器性能不足等,都会导致
"网络流量分析实战:使用tcpdumpWireshark,优化DNS性能
作者首先介绍了tcpdumpWireshark这两款开源工具的特点和用途,在此基础上,介绍了如何使用tcpdump进行抓和过滤抓数据的方法,以及如何使用Wireshark进行抓文件的打开和分析的方法。通过实例演示和操作步骤的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值