Wireshark过滤DNS协议包语法实战

已于 2024-02-21 19:47:00 修改
阅读量3.2k 收藏 18
点赞数 10
文章标签: wireshark 测试工具 网络
于 2024-02-21 19:46:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36588424/article/details/136218760
版权

背景

现网DNS服务器发现CPU突增,发现有可能是客户恶意发起的随机子域名扫描,对服务器进行抓包分析,记录下当时的操作。

抓包

执行命令 tcpdump -iany port 53 and host '$ip' -nnv -w $ip.pcap进行抓包导出到本地,使用Wireshark进行打开分析

使用sz ip.pcap命令导出到本地

分析

Wireshark有自带的统计功能,非常好用,这里使用如下:

1、先找出请求量最大的客户端IP:
在这里插入图片描述
2、根据客户端IP找出请求量大的域名有哪些
1.模糊匹配域名
使用命令 ip.src == ip && dns.qry.name contains "域名"这个是模糊匹配域名
2.精确匹配域名
ip.src == ip && dns.qry.name == "域名"
在这里插入图片描述

处理

找出域名后,可以利用iptables对域名进行限频或者封禁<

最低0.47元/天 解锁文章
Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工!
网络技术联盟站
07-10 3260
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。
wireshark抓包之DNS协议
qq_45212655的博客
04-01 2860
DNS协议的主要作用是将域名解析为对应的IP地址。当我们在浏览器中输入一个网址时,计算机需要通过DNS协议来查找该网址对应的IP地址,以便能够建立连接并访问目标资源。需要注意的是,DNS协议采用UDP/TCP 53端口进行通讯。其中UDP 53端口主要用于答复DNS客户端的解析请求,而TCP 53端口用于区域复制。很明显的可以看到协议是dns,请求里面有baidu.com。
wireshark抓包分析DNS域名解析过程
m0_73576645的博客
12-09 1万+
DNS是的简称,即域名系统,是一个记录域名和IP地址相互映射的系统,主要作用是为了解决域名与IP之间的相互转换。DNS是一个网络服务,其端口为53号端口。通常DNS在查询时是以UDP协议来进行查询,一旦无法查询到完整信息时,再以TCP协议进行重新查询。因此,DNS服务启动时会同时开启UDP和TCP协议的53号端口。DNS的基本作用:把域名转换成IP地址。DNS工作在应用层。
Wireshark 常用过滤
最新发布
qq_26613259的博客
03-12 637
 ​Wireshark 常用过滤器大全,贴合工作实际,涵盖网络排查、安全分析、协议调试等高频需求,助你快速定位问题。
wireshark过滤源IP和目的IP,Wireshark 抓包过滤命令大全!
logic1001的博客
02-05 2703
Wireshark 是一款,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。目录:抓包过滤基础显示过滤器常用的显示过滤过滤 HTTP 流量过滤 DNS 流量过滤 TCP 流量过滤 UDP 流量。
wireshark过滤规则
chuchen7021的博客
04-29 187
WireShark 过滤 语法 1. 过 滤 IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192...
二.wireshark过滤[如何过滤信息]
热门推荐
黑日里不灭的light
01-04 2万+
一.参数过滤 1.捕获过滤器 解释:该过滤是为了在抓包时筛选出符合指定规则的包,其余包直接丢弃不会抓,该规则同scapy中的sniff(filter='过滤')一样 1.1 语法 语法:<Protocol> <Direction> <Host(s)> < Value> < Logical Operations> <Other expression> 1.2 详细 详细: Protocol(协议): ether, ip,arp, tc
Wireshark分析DNS
ForeverCjl的专栏
10-28 9792
什么是DNS DNS指的是域名系统,它在内部有一个存储域名和对应IP地址的数据库,用于将网站的域名转换为服务器的具体IP地址。 例如,我们在浏览器打开baidu.com时,浏览器需要先请求DNS服务器获取域名baidu.com对应服务器的IP地址,然后浏览器与该IP建议消息通道来传输数据。 我们可以在系统命令行中通过nslookup命令来查询某个域名DNS的记录,如下图所示: 这里我们指定使用阿里云的DNS服务器 223.5.5.5 来查询域名baidu.com映射的IP地址。从图中可以看到,查询结果返
结合Wireshark捕获分组深入理解DNS协议
zhaqiwen的专栏
01-09 2万+
一、概述 1.1 DNS     识别主机有两种方式:主机名、IP地址。前者便于记忆(如www.yahoo.com),但路由器很难处理(主机名长度不定);后者定长、有层次结构,便于路由器处理,但难以记忆。折中的办法就是建立IP地址与主机名间的映射,这就是域名系统DNS做的工作。DNS通常由其他应用层协议使用(如HTTP、SMTP、FTP),将主机名解析为IP地址,其运行在UDP之上,使用53号
4.5.1 捕获过滤器 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
你可以通过设备的MAC地址、IPv4地址、IPv6地址或DNS主机名设置过滤条件。例如,`host 172.16.16.149`会捕获与IPv4地址为172.16.16.149的主机相关的所有数据包。对于IPv6环境,你可以使用`host 2001:db8:85`这样的...
Wireshark数据包分析实战(第三版)抓包资源文件.tar.gz
06-24
3. **过滤语法**:Wireshark提供了两种过滤器——显示过滤器和捕获过滤器。显示过滤器用于筛选当前捕获的数据显示,而捕获过滤器则在捕获数据包阶段就进行过滤。熟悉过滤语法可以帮助快速定位问题。 4. **颜色...
Wireshark数据包分析实战(第2版)捕获文件
12-05
5. **过滤与搜索**:Wireshark提供了强大的过滤语法,允许用户快速定位特定数据包。同时,通过关键字搜索功能,可以在大量数据包中找到感兴趣的信息。 6. **书本实例应用**:书中提供的捕获文件,涵盖了各种网络...
Wireshark网络协议分析中的应用:抓包实战与案例解析
![Wireshark网络协议分析中的应用:抓包实战与案例解析]... # 摘要 本文介绍了网络协议分析的基本概念,并详细探讨了Wireshark这一强大的网络协议分析工具的使用和高级功能。首先,本文对Wireshark界面布局和功能...
wireshark过滤器基本语法分析
tecoes的博客
04-13 3635
Wireshark抓包过滤语法设置 1. 抓包过滤器 BPF语法(Berkeley Packet Filter)——基于libpcap/wincap库,在抓包的过程中过滤掉某些类型的协议,不抓取过滤掉的协议。(建议在流量特别大的情况下使用) 1.1 语法说明 类型Type: host、net、port 方向Dir: src、dst 协议Proto: ether、ip、tcp、ud...
wireshark捕获DNS
qq_61814350的博客
10-28 812
事务id相同,flag里 QR字段==1,表示响应,answers rrs变成了2.类型:CNAME(别名的规范名称)(5)并且响应报文多了Answers。访问www.baidu.com。
《计算机网络—自顶向下方法》 Wireshark实验(三):DNS协议分析
CarpeDiem
05-10 7266
域名系统 DNS(Domain Name System) 是互联网使用的命名系统,用于把便于大家使用的机器名字转换为 IP 地址。许多应用层软件经常直接使用 DNS,但计算机的用户只是间接而不是直接使用域名系统。本文就详细讲解DNS协议,包括nslookup域名解析,查看与设置DNS服务器,DNS报文分析,最后通过实验抓包分析DNS协议。
Wireshark-Lab3:DNS
MINGgoS的博客
03-04 4810
更好的阅读体验 Lab3:DNS 如书中第2.5节所述,域名系统(DNS)将主机名转换为IP地址,在互联网基础架构中发挥关键作用。在本实验中,我们将仔细查看DNS在客户端的细节。回想一下,客户端在DNS中的角色相对简单——客户端向其本地DNS服务器发送请求,并接收一个响应。如书中的图2.21和2.22所示,由于DNS分层服务器之间相互通信,可以递归地或迭代地解析客户端的DNS查询请求,而大多数操作是不可见的。然而,从DNS客户端的角度来看,协议非常简 ——将查询指向为本地DNS服务器,并从该服务器接收到响应
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

刘先生我在呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值