wireshark抓取dns_利用Scapy打造简单的DNS监测脚本

最新推荐文章于 2024-02-01 19:39:20 发布
最新推荐文章于 2024-02-01 19:39:20 发布
阅读量629 收藏 1
点赞数
文章标签: wireshark抓取dns

简介

因为最近工作中有个需求是需要记录终端的dns请求,并进行对比和记录,这里研究了一下,使用python写了一个简单的本机dns请求的监控脚本。脚本设置后可以监控本机对特定域名的请求记录,以及记录这些dns请求的响应内容。用到了python一个看起来应用可以很广的(据我搜索的结果,可以使用这个模块进行本机的, 好像并没有什么明显的意义, DNS欺骗)模块——scapy。本文只使用了这个模块的一小部分功能。

Scapy

Scapy是python一个非常强大的应用框架,可以非常方便的实现数据包的发送,嗅探,拆解和伪造(原文是forge,想了好几个词,不太确定要用生成和捏造...orz好像更奇怪了)数据包,可以用于编写对网络探测,扫描和攻击的工具。官方的介绍文档在这里:

https:// scapy.readthedocs.io/en /latest/ --scapy official documentation

我在自己的python 3.7环境下使用pip安装了scapy[basic]

pip install --pre scapy[basic]

这里因为时间比较赶,直接使用了官方的推荐安装方式(这种做法以后还是少一点好),之后就可以愉快的使用命令行中的wireshark了。另外需要注意的是,我使用的是win10系统,并且安装了npcap,所以其他版本的捕包软件不一定能和脚本兼容,所以运行前一定先检查scpay能在当前环境下抓取到什么格式的报文,如果报文格式不对,脚本运行不会出结果或直接报错,请知悉。

开始干活!

开始之前有几点需要注意的,scapy会使用wincap捕捉数据包,所以开始前确保电脑是安装了winpcap或npcap的,不然嗅探是无法正常工作的。另外先了解一下TCP/IP四层模型中的DNS协议报文。 我在下面直接贴了一个:

v2-b1a7c330721615b7359ad2b516a24c9a_b.jpg

这个报文是直接使用sniff(filter='udp and port 53', prn=lambda x:x.summary)模块抓取下来的,我对长报文进行了重新排版(狠狠夸一波VScode,相见恨晚),你可以看出这个报文遵循了TCP/IP的四层模型,对应如下:

Ether部分 -- 对应网络接口层
IP部分 -- 对应网络层
UDP部分 -- 对应传输层
DNS部分 -- 对应应用层

从报文的实际内容也可以看出,上面是query,下面是收到的response,即客户机向1.1.1.1这个dns服务器请求http://bing.com的地址,1.1.1.1则回复了两个可用的IP,204开头的和13开头的。下面是实际nslookup的回复内容:

v2-0f301bde1aa6a52d2e5b207c91c23586_b.jpg

上面的dns报文只是使用过滤器简单过滤了可能的dns报文后进行的简单展示,我们后面会展示代码对DNS请求和DNS应答进行进一步过滤。

代码部分

参考了一些其他脚本后写的,使用VScode 预运行的时候提示有很多import了但未使用的组件,估计还有优化空间。(优化和前面的几篇文章说的一样,是以后的事orz..)

# -*- coding:utf8 -*-
from scapy.all import *
from scapy.layers.dns import DNSRR, DNSQR
import time


def dns_sniff(pkt):
    if DNSQR in pkt and pkt.dport == 53:
        if 'bing.com' in str(pkt[DNSQR].qname):
            print(time.strftime("%H:%M:%S",time.localtime()))
            print("Host is requesting for url: %s from %s" %(
                pkt[DNSQR].qname[:-1], pkt[IP].dst))
    elif DNSRR in pkt and pkt.sport == 53:
            if 'bing.com' in str(pkt[DNSRR].rrname):
                for i in range(pkt[DNS].ancount):
                    dnsrr = pkt[DNS].an[i]
                    print("Server offers: %s is in %s" %(
                        dnsrr.rrname[:-1], dnsrr.rdata))

def main():
    sniff(filter="udp and port 53", prn=dns_sniff)
if __name__ == "__main__":
    main()

这里实现的主要是监控并过滤出对http://bing.com的DNS请求。代码部分请结合sniff得到的较原始的报文内容进行查阅,如果有对报文其他部分内容的摘出需求,可以结合报文去修改脚本以实现更自主化的应用。

运行后,我们再在客户机上访问目标地址或直接使用nslookup发送DNS请求,你就可用看到输出的内容了:

v2-7e5416505c27b65f27de12c919f51331_b.png

实际上脚本可以使用python对字符串的操作把域名附近的b'**'内容去掉,不过这是美观的需求了,这个脚本实际上已经可以满足我的需求了,为了方便记录我还加上了时间戳,为了记录DNS请求发生的时间。

后面可以继续使用探测到的结果进行其他的操作,这里就不一一说明了。另外发现nslookup进行DNS请求的时候实际上会进行两次,一次是ipv4的请求,另一次是ipv6的请求,暂时没有对这个现象进行深入的研究,应该是nslookup会默认针对ipv4和ipv6进行两次请求,因为sniff给出的报文在Ether部分有type字段,估计不能在一个请求中同时包含两种地址的type。

参考链接

https:// stackoverflow.com/quest ions/25092538/scapy-dns-sniff-with-additional-records --参考了帖子中对报文解析的思路 https:// blog.csdn.net/nixawk/ar ticle/details/45933299 --参考了sniff的用法
weixin_39675038
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python+scapy 抓包与解析
B0rn_T0_W1n的博客
05-09 8万+
python scapy 抓包 解析
使用dig/nslookup命令查看dns解析详情
JineD的博客
12-15 4717
DNS的配置文件放在 /etc/resolv.conf 如果其中没有域名服务器的ip的话可以自己指定 目前我知道的一个是: 8.8.8.8 另一个是: 114.114.114.114 具体语法 servername 8.8.8.8 一般该文件默认的dns服务器域名IP为网关IP dig - DNS lookup utility 当域名出现访问故障时,可以通过检查域名解析来判断是否是由错误的解析导致的问题。 1.域名解析无结果(不存在或被HOLD...
scapy模拟攻击_用scapy模拟DNS放大攻击
weixin_39761822的博客
02-22 475
首先,DNS放大攻击,简单解释有两点: 1.伪造源IP为其他人的ip地址 2.被请求的记录,要求比较大,比如TXT格式,4000KB 在A机器上,向DNS发送查询那个TXT的记录,并伪造成别人的ip,即可理解为DNS放大攻击。 可以用python的scapy模拟: from scapy import * a首先,DNS放大攻击,简单解释有两点:1.伪造源IP为其他人的ip地址2.被请求的记录,要求...
基于Python3的scapy解析SSL报文(一)
ftzchina的博客
11-17 2211
scapy对于SSL的支持个人觉得不太好,至少在构造报文方面没有HTTP或者DNS这种常见的报文有效方便,但是scapy对于SSL的解析还是可以的。下面我们以一个典型的HTTPS的报文为例,展示scapy解析SSL报文。
网络安全协议分析-wireshark流量监控(未完)
cainiao17441898的博客
10-23 2430
-R 根据上一次进度继续破解 -S 使用SSL协议连接 -s 指定端口 -l 指定用户名 -L 指定用户名字典(文件) -p 指定密码破解 -P 指定密码字典(文件) -e 空密码探测和指定用户密码探测(ns) -C 用户名可以用:分割(username:password)可以代替-l username -p password -o 输出文件 -t 指定多线程数量,默认为16个线程 -vV 显示详细过程 server 目标IP service 指定服务名(telnet ftp pop3 mssql mysq
DNS域名解析基础脚本
qq_59368192的博客
03-13 450
【代码】DNS域名解析基础脚本
Scapy:DNS数据包详解
m0_71713477的博客
01-14 2949
ScapyDNS数据包详解(DNS协议,DNS包参数)
基于Python3的Scapy构造DNS报文
ftzchina的博客
10-21 1038
一文详解利用Scapy构造DNS报文
Python 使用Scapy操作DNS流量
CSDN
10-07 7536
通常一个DNS数据包,客户端发送DNSQR请求包,服务器发送DNSRR响应包。一个DNSQR包含有查询的名称qname、查询的类型qtype、查询的类别qclass。一个DNSRR包含有资源记录名名称rrname、类型type、资源记录类别rtype、TTL等等。流量,解析DNSRR的数据包,提取分别含有查询的域名和对应的IP的rrname和rdata变量。这里只检查服务器53端口的数据包,DNS数据包有个rcode字段,当其值为3时表示域名不存在。
数据包处理利器——Scapy高级使用
wanger5354的博客
07-15 1105
微信公众号:运维开发故事 ,作者:wanger 主机探测 TCP SYN Ping 发送仅设置了SYN的空TCP数据包。 SYN/ACK或RST响应表示机器已启动并正在运行。 >>> ans,unans=sr(IP(dst="60.205.177.0/28")/TCP(dport=80,flags="S")) Begin emission: Finished sending 16 packets. .*********.................................
利用python+scapy抓取DNS数据包
01-04
程序只会抓取DNS数据包。不会去抓取其他类型的数据包!
Wireshark_DNS_solution
05-07
计算机网络实验Wireshark_DNS_solution
Wireshark_DNS_July_22_2007
04-21
计算机网络课程实验,wireshark实验抓包分析,分析网路dns协议
wireshark_winpcap_filter_learning.zip_winpcap filter_wireshark
09-14
wireshark过滤表达式讲解,很好的一个教程
实验3 利用Wireshark分析DNS协议
最新发布
05-07
实验3 利用Wireshark分析DNS协议 班级:物联191 姓名: 焦海洋 学号:1908070108 一、实验目的 分析DNS协议 二、实验环境 与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件。 三、实验步骤 ...
wireshark_cn_wireshark_
09-28
网络调试工具wireshark的中文手册,包含使用教程(doc格式)
【捕获 DNS 请求并记录恶意域名访问--实时记录】亲测可行
weixin_46356409的博客
02-01 566
捕获 DNS 请求并记录恶意域名访问–实时记录。
WireSharkDNS请求和回复数据报的分析
热门推荐
码莎拉蒂
01-12 2万+
1 DNS简单理解 我们简单理解DNS功能是把域名转成IP地址,我们先发送一个NDS请求数据包到本地域名服务器去找,找不到我们就去根域名服务器去找,根域名找不到我们再把顶级域名服务器地址回复给本地域名服务器,然后本地域名服务器到顶级域名服务器去查询,如果依然找不到,同理,再到权限域名服务器去找 ,如果不清楚再到我的这篇博客里面去看下 DNS的理解 2 DNS请求数据包和回复...
wireshark实验三:DNS
wz_cow的博客
08-10 1万+
一,实验目的 掌握使用NSLOOKUP命令进行域名解析 掌握IPCONFIG命令的使用 学会用Wireshark的的掌握DNS报文格式 二,实验环境 客户机:安装有Wireshark的的的的的Windows7及以上系统 三,实验原理 1,概念 DNS(域名系统,域名系统),万维网上作为域名和IP地址相互映射的一个分布式数据库,能够使用用户更方便的访问互联网,而不用去记住能够被机器直...
add_library(qtui OBJECT #Included so that Visual Studio can properly put header files in solution ${WIRESHARK_QT_HEADERS} ${WIRESHARK_WIDGET_HEADERS} ${WIRESHARK_3RD_PARTY_WIDGET_HEADERS} ${WIRESHARK_MANAGER_HEADERS} ${WIRESHARK_UTILS_HEADERS} ${WIRESHARK_MODEL_HEADERS} ${WIRESHARK_QT_NONGENERATED_SRC} # For AUTOUIC and AUTORCC. ${WIRESHARK_QT_UI} ${WIRESHARK_QT_QRC} ${WIRESHARK_QT_TAP_SRC} wireshark-tap-register.c )
06-09
- ${WIRESHARK_QT_HEADERS}:Wireshark Qt 用户界面的头文件 - ${WIRESHARK_WIDGET_HEADERS}:Wireshark Qt 部件的头文件 - ${WIRESHARK_3RD_PARTY_WIDGET_HEADERS}:Wireshark Qt 第三方部件的头文件 - ${WIRESHARK...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值