从pcap的DNS流量中分离出隐藏信息

最新推荐文章于 2024-06-03 16:42:23 发布
最新推荐文章于 2024-06-03 16:42:23 发布
阅读量4.1k 收藏
点赞数
分类专栏: 安全 文章标签: CTF

参考:
http://blog.csdn.net/u011500307/article/details/25838075

89504e470d0a1a

打开文件是一个pcap文件,在wireshark里面观察可以看到很多dns,这里第一个dns的地址是89504e470d0a1a.asis.io,这个89504e470d0a1a是png的开始的几个数据,叫做magic numbers.

➜  ~  hexdump /Users/caiqiqi/Desktop/截屏/Screenshot_2017-06-09_上午8.34.00.png|head -3        [0:41:40]
0000000 89 50 4e 47 0d 0a 1a 0a 00 00 00 0d 49 48 44 52
0000010 00 00 03 ba 00 00 00 e0 08 06 00 00 00 2d f9 1a
0000020 61 00 00 0a ae 69 43 43 50 49 43 43 20 50 72 6f

所以可以猜测应该是所有的dns请求的地址的第一部分组合成了一个Png图片。

先是用dns.flags == 0x8180 and dns.qry.name matches "[0-9a-f]{14}.asis.io" 来过滤出所有的dns,如下图

再就是选择file—> export specified packets

保存好后可以直接用string来提取此文件中的字符串,用grep过滤出所有的十六进制的字符串,再用tr命令去除换行符号。

strings qweqwe.pcapng | grep '^[a-z0-9]\{14\}$' | tr -d '\n' > test.txt

再将test.txt转化成相应的二进制png就可以了。

xxd -r -p test.txt out.png

最后的图片如下:

caiqiiqi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DNS协议pcap数据包下载;DNS协议报文解析
03-23
DNS协议pcap数据包下载,支持抓包软件(如:wireshark)打开并学习DNS协议报文解析。需要其他协议,请查看我发布的其他资源。
pcap数据包 DNS解析
03-05
pcap包进行解析 获取DNS内容 C语言编写 可以对数据流进行处理
网络流量监控与DNS流量分析
最新发布
Johnstons的博客
06-03 735
网络流量监控是指对网络数据包的传输进行实时监测和分析,以了解网络的使用情况和性能指标。这一过程通常涉及对网络带宽的利用率、流量的来源和去向、传输的协议类型等进行详细的记录和分析。DNS(域名系统)流量分析是对DNS请求和响应的数据包进行分析,以了解域名解析的行为和潜在问题。通过分析DNS流量,IT运维人员可以检测域名解析过程的异常情况,如域名劫持、缓存污染等。网络流量监控和DNS流量分析是现代IT运维不可或缺的技术手段。
pcap5元组和DNS记录
cnbird's blog
10-08 1946
http://stackoverflow.com/questions/10207423/code-to-analyze-pcap-file http://www.secdev.org/projects/scapy/
CTF Misc(3)流量分析基础以及原理
Ba1_Ma0的博客
10-11 3725
流量分析基础以及原理
CTF 流量包相关-流量分析(1)
热门推荐
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
DNS隐秘隧道pcap
10-08
DNS隐秘隧道样本,pcap格式,支持各种环境下回放数据包
使用tshark 和 shell脚本分析 DNS pcap
lepton126的专栏
06-06 4535
使用tshark 和 shell脚本分析 DNS pcap包1、使用tshark过滤dns cap包源ip、目的ip、request请求tshark -r test.cap -T fields -e frame.time -e ip.src -e ip.dst -e dns.qry.name -R 'udp.dstport==53 || dns'2、编写shell脚本,在指定目录下对一批pcap...
pcap4j 实现本地抓包以及解析DNS
09-10
前段时间搞抓包程序,使用Pcap4J实现,简单写了一个demo小程序,有需要的下。
DNS传输协议解析!pcap报文的域名获取
chen1415886044的博客
04-11 3119
回想一下,当我们想访问谷歌的时候,通常输入域名(网址):https://www.google.com,其实这就是一个域名。 DNS 解析过程涉及将主机名(例如 https://www.google.com)转换为计算机友好的 IP 地址(例如 64.233.161.84)。Internet 上的每个设备都被分配了一个 IP 地址,必须有该地址才能找到相应的 Internet 设备 。就像使用街道地址来查找特定住所一样。 我们今天主要做的就是解析DNS协议的域名。 域名系统(DNS) IP地址是计算机识别I
dns查询/响应 实例 pcap
11-20
执行命令:dig @202.106.0.20 www.baidu.com 返回的数据包。 可以用来分析dns协议。深入了解dns
PCAPAnalyzer:从PCAP格式进行网络流量分析-开源
05-08
PCAP分析器是一种工具,可以帮助分析以PCAP格式(tcpdump的标准)捕获的网络流量。 它具有可扩展的过滤器,负责剖析数据包并打印信息,例如吞吐量或可以由过滤器分析的任何内容(例如,数据包丢失,重新排序等)。 ...
pcap2wav:从pcap(RTP)提取WAV
05-01
pcap文件(RTP)以WAV格式提取音频 支持的编解码器: PCMA PCMU 要求 nodejs> = 8.0.0 tshark 2.4.5 袜14.4.2 安装 npm i pcap2wav 使用 const { pcap2wav } = require ( 'pcap2wav' ) ; const options = ...
用winpcap实现局域网DNS欺骗之一(基础知识)
leotangcw的专栏
05-23 6242
          随便转载,转载请注明处http://blog.csdn.net/leotangcw/    欢迎大家和我交流Email:tangchengwen@163.com     学校网络心的老师叫帮忙做一个DNS欺骗的软件。主要用于在学校网络现问题时把大家的上网请求都转向到一个通知网页上。关于DNS欺骗网上已经有很多文章了,不过实例还是比较少的,特别是使用我们经常使用
DNS工作原理和UDP报文结构
LeanKing847的博客
11-28 660
DNS工作原理:   1:客户机提域名解析请求,并将该请求发送给本地的域名服务器。   2:当本地的域名服务器收到请求后,就先查询本地的缓存,如果有该纪录项,则本地的域名服务器就直接把查询的结果返回。   3:如果本地的缓存没有该纪录,则本地域名服务器就直接把请求发给根域名服务器,然后根域名服务器再返回给本地域名服务器一个所查询域(根的子域) 的主域名服务器的地址。   4:本地服务器再向上一步返回的域名服务器发送请求,然后接受请求的服务器查询自己的缓存,如果没有该纪录,则返回相关的下级的域名服务器的地
Wireshark TS | DNS 案例分析之外的思考
7ACE的博客
03-23 940
以上就是在之前 DNS 案例分析延伸来的一点思考,选项供参考使用。
网络分析笔记01:pcapng格式的整体解包
snmplink的博客
08-19 6947
本文首先介绍对pcapng格式进行介绍,然后讲解pcapng的整体结构,并使用Python语言进行块(block)的解包。在此需要说明的是,本文是为了能够深入对pcapng格式进行分析,所以不使用python的scapy库,网络上的数据是以流的方式进行数据传输的,我们从网络上抓包后,需要进行数据分析,所以需要对数据进行存储,pcapng就是用于存储的格式。pcnpng来源于IETF(互联网工程工作组),是pcap的新一代格式,相比较于原有的pcap格式,更具有逻辑性和可扩展性。
Wireshark TS | Packet Challenge 之 DNS 案例分析
7ACE的博客
12-23 2381
Wireshark TS | Packet Challenge 之 DNS 案例分析
Hack The Boo 2022 CTF题目writeups
Ba1_Ma0的博客
11-15 1870
HackTheBoo 2022 CTF WP
用python读取pcapdns流量,并保存域名
04-11
和IP地址的对应关系,你可以使用Python第三方库Scapy来读取pcap文件,以下是参考代码: ``` from scapy.all import * # 读取pcap文件 packets = rdpcap('traffic.pcap') # 提取DNS流量 dns_packets = [p for p in packets if DNS in p] # 提取域名和IP地址的对应关系 dns_dict = {} for p in dns_packets: if p.haslayer(DNSRR): dns_dict[p[DNSQR].qname] = p[DNS].an.rdata # 保存结果到文件 with open('dns_results.txt', 'w') as f: for k, v in dns_dict.items(): f.write(k.decode() + ' : ' + str(v) + '\n') ``` 这段代码可以读取名为'traffic.pcap'的pcap文件,提取其DNS流量,然后提取域名和IP地址的对应关系,并将结果保存到名为'dns_results.txt'的文本文件。您可以根据实际需要修改文件名和路径。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值