捕获 DNS 请求并分析恶意域名请求脚本

已于 2024-02-01 16:37:26 修改
阅读量404 收藏 9
点赞数 8
文章标签: 网络
于 2024-02-01 15:17:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46356409/article/details/135974854
版权

根据您的要求,我对脚本进行了更新。现在,脚本将记录访问时间、IP 地址和访问的域名,并将这些记录保存到文件中。

  1. 创建一个名为 capture_dns.sh 的脚本文件,并将以下内容复制到该文件中:
#!/bin/bash

# 检查 tcpdump 和 tshark 是否已安装
if ! command -v tcpdump > /dev/null; then
  echo "Error: tcpdump not found. Please install tcpdump."
  exit 1
fi

if ! command -v tshark > /dev/null; then
  echo "Error: tshark not found. Please install tshark (Wireshark)."
  exit 1
fi

# 设置捕获文件、恶意域名列表文件和恶意 IP 记录文件
capture_file="dns_capture.pcap"
malicious_domains_file="malicious_domains.txt"
malicious_ips_file="malicious_ips.txt"

# 使用 tcpdump 抓取 DNS 请求
echo "Capturing DNS requests..."
sudo tcpdump -i any -s 0 -w "$capture_file" 'udp port 53' &

# 保存 tcpdump 进程的 PID,以便稍后停止它
tcpdump_pid=$!

# 捕获持续时间(单位:秒)
capture_duration=60

# 等待捕获完成
echo "Capturing for $capture_duration seconds..."
sleep $capture_duration

# 停止 tcpdump
echo "Stopping capture..."
sudo kill $tcpdump_pid

# 分析捕获的流量并将恶意 IP 记录保存到文件中
echo "Analyzing captured traffic and saving malicious IPs to $malicious_ips_file..."
rm -f "$malicious_ips_file"
tshark -r "$capture_file" -Y "dns.flags.response == 0" -T fields -e frame.time -e ip.src -e dns.qry.name | while read -r line; do
  timestamp=$(echo "$line" | awk '{print $1 " " $2 " " $3}')
  ip=$(echo "$line" | awk '{print $4}')
  domain=$(echo "$line" | awk '{print $5}')
  if grep -q -F "$domain" "$malicious_domains_file"; then
    echo "Malicious domain request: $domain from IP: $ip at $timestamp"
    echo "$timestamp $ip $domain" >> "$malicious_ips_file"
  fi
done

# 删除捕获文件
rm "$capture_file"

echo "Done."

  1. 使用文本编辑器创建一个名为 malicious_domains.txt 的文件,并将已知的恶意域名列表添加到该文件中,每行一个域名。

  2. capture_dns.sh 脚本添加可执行权限:

chmod +x capture_dns.sh
  1. 以管理员权限运行脚本:
sudo ./capture_dns.sh

脚本将捕获 60 秒的 DNS 请求。您可以根据需要更改 capture_duration 变量的值。脚本运行完成后,它将输出发起恶意域名请求的 IP 地址、访问时间和相应的域名,并将这些记录保存到 malicious_ips.txt 文件中。请注意,您需要根据实际情况修改脚本中的文件名和其他参数。

为了运行此脚本,您需要在您的系统上安装以下工具:

  1. tcpdump:这是一个强大的命令行网络分析工具,用于捕获网络流量。

  2. tshark:这是 Wireshark 的命令行版本,用于分析网络流量。

在大多数 Linux 发行版中,您可以使用包管理器来安装这些工具。例如,在基于 Debian 的系统(如 Ubuntu)中,您可以使用以下命令来安装:

sudo apt-get update
sudo apt-get install tcpdump tshark

在基于 Red Hat 的系统(如 CentOS)中,您可以使用以下命令来安装:

sudo yum install tcpdump wireshark

请注意,安装 wireshark 包通常也会安装 tshark

在运行脚本之前,您还需要创建一个包含恶意域名的文本文件(如 malicious_domains.txt),并将已知的恶意域名添加到该文件中,每行一个域名。

进击的程序汪
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WireShark抓DNS请求和回复数据报的分析
码莎拉蒂
01-12 2万+
1 DNS简单理解 我们简单理解DNS功能是把域名转成IP地址,我们先发送一个NDS请求数据包到本地域名服务器去找,找不到我们就去根域名服务器去找,根域名找不到我们再把顶级域名服务器地址回复给本地域名服务器,然后本地域名服务器到顶级域名服务器去查询,如果依然找不到,同理,再到权限域名服务器去找 ,如果不清楚再到我的这篇博客里面去看下 DNS的理解 2 DNS请求数据包和回复...
postbin:捕获分析您的 POST 请求
06-02
一定要抓住他们! #####贡献 要开始贡献,首先分叉 repo。 然后将上游遥控器添加到原点。 ...#####安装 ...添加、提交、拉取请求、合并、变基、重复! #####技术栈 前端 角 材料设计 后端 节点 表示 插座!
外网出口IP存在大量恶意域名访问,如何排查
vivlol918的博客
08-27 1788
以下工作场景中,发现外网出口IP存在大量恶意域名访问是一个严重的安全问题,需要及时排查和处理。
【Nginx】Nginx配置加固之阻止恶意域名访问
cnskylee的博客
05-08 3745
【问题背景】 一般一个大型的互联网站点都会有一个域名(比如:www.aaa.com、www.bbb.com.cn),这个域名在申请的时候,必须向工信部备案。此外,这个域名会绑定一个或者多个公网IP(国内一般需要向三大运营商购买)。这个公网IP一般用的是80端口,并且公网的IP和80端口,会映射到内网的一个IP地址(负载的IP+端口),然后负载后面会挂N个内网应用服务器的地址。这样公网的用户就可以通过这个域名来访问内网的应用了。 比如,我们日常使用的微软的搜索引擎(cn.bing.com)
邮件服务器一些A和MX类型恶意域名请求的解释
weixin_34152820的博客
03-28 861
很经常看到一些邮件服务器主动请求一些恶意域名的的请求。这里边,有个smtp协议发件人任意伪造的漏洞。在不要用户登录的情况下,我们连接企业的邮件服务器,输入mail form字段的值,即可以使服务器主动去请求这个值的域名服务器。 如下,我们的值为[email protected],当服务器接收到这个命令后会主动去查找wannay.com这个地址,如果自己的mx中没有这个记录,会主动请求域名解析,也就产生...
利用WireShark进行DNS协议分析
热门推荐
明风的博客
12-22 5万+
一.准备工作 系统是Windows 8.1Pro 分析工具是WireShark1.10.8 Stable Version 使用系统Ping命令发送ICMP报文. 二.开始工作 打开CMD.exe键入: ping www.oschina.net 将自动进行域名解析,默认发送4个ICMP报文. 启动Wireshark,选择一个有效网卡,启动抓包. 在控制台回车执行完毕后停止监控.
PowerShell脚本trap语句捕获异常写法实例
01-09
 ‘在trap中捕获脚本异常’  $_.Exception.Message  continue } .\3.three.test.ps1 异常捕获成功,输出: 代码如下:在trap中捕获脚本异常 The term ‘Get-FanBingbing’ is not recognized as the name of ...
Powershell小技巧之捕获脚本内部的异常
01-10
 ‘在trap中捕获脚本异常’  $_.Exception.Message  continue } .\3.three.test.ps1 异常捕获成功,输出: 代码如下: 在trap中捕获脚本异常 The term ‘Get-FanBingbing’ is not recognized as the name ...
捕获关闭窗口的脚本
12-10
<html> <body> [removed] function LeaveWin(){ event.returnValue=”call,确定要关闭吗”; } [removed]=LeaveWin; [removed] </body> </html>
SQLServer 2008 CDC功能实现数据变更捕获脚本
12-15
CDC:Change Data Capture 代码如下:–步骤:本文中以GPOSDB为例 –第一步、对目标库显式启用CDC:–在当前库使用sys.sp_cdc_enable_db。返回0(成功)或1(失败)。–注意,无法对系统数据库和分发数据库启用该功能...
基于DNS数据分析恶意域名检测
四个菜
10-22 2万+
导读:本文对基于DNS数据分析来进行恶意域名检测的研究进行简要的介绍。本文的目的,是让刚进入该领域的学者(或是一般的读者)能对该领域的情况有一个初步的了解,为之后的深入探究做准备。 本文主要参考的是Zhauniarovich Y, et al[1]的工作,发表在Acm Computer Surveys上的一篇较为系统地阐述了基于DNS数据分析来进行恶意域名检测的研究背景,研究过程和研究建议等内容的...
域名恶意解析的技术解决方案
redwand的博客
05-29 4093
什么是域名恶意解析? 域名恶意解析会造成哪些后果? 技术解决思路及细节
域名被人恶意解析的解决方法
年华
07-24 9279
我们要知道一个网站有多少访问量除了其它因素之外,跟一个好的域名也是有很大的关系的。特别是对喜欢通过域名直接打开网站的用户来说就显得更为重要。但是关于域名被人恶意解析的事件也是时常发生,域名恶意解析轻者影响流量和用户体验导致网站权重下降,严重者网站承载的服务器都会被关闭。那么域名恶意解析有哪些解决方法呢? 解析过程演示图   我们要知道,域名恶意解析和网站的安全性没有直接关...
阿里云服务器访问恶意域名_处理方法
DreamsArchitects的博客
02-04 1337
问题 解决方法 点击详情找到ip,配置安全组规则;
基于域名恶意网站检测
siri的世界
02-11 1万+
基于域名恶意网站检测0x00. 数据来源0x01. 基于网页内容的判别方法0x02. 基于域名数据的判别方法0x03. 参考文献 0x00. 数据来源 根据老师给的 300w 域名列表爬到的相应 DNS 响应数据。 0x01. 基于网页内容的判别方法 数据获取 考虑到爬取执行的时间,首先对300w个域名进行数据清洗。 去掉重复的请求以及一些不指向具体网页的域名, 这类域名请求中频繁出现, ...
哪个进程在访问这个恶意域名???
lidonghit的专栏
03-27 9131
本文提供两种通过恶意域名定位进程的方法。第一种是使用SYSMON监控程序,该方法需要部署,定位进程比较准确。第二种方法是使用两款windows电子取证工具,无需部署,但是监测时间视具体情况而定,准确性也需要实践检验。这里分享给大家,提供思路,大家结合实际情况运用。
域名恶意指向的问题解决
weixin_30432579的博客
05-06 3016
在IIS中我们可以方便的通过不同的IP或者端口再或者主机头来设置虚拟主机,在apache中也一样可以。 假设有www.123.com和www321.com两个域名,要同时指向一个服务器地址,通过这两个域名访问时,要呈现不同的内容,那就需要设置虚拟主机了。域名设置虚拟主机还需要DNS服务器的支持。 #Vi /etc/apache/httpd.conf namevirtualhost * ...
                      域名恶意指向
weixin_34194551的博客
06-09 271
域名恶意指向题材:一家名为abc的公司域名为www1.leo.net的公司,域名恶意指向,现通过www.leo.net也能访问到www1.leo.net的网站。实验环境: 一台centos6.4虚拟机,安装apache服务,ip地址192.168...
使用MPLS解决BGP的路由黑洞(详解)
最新发布
qq_64302290的博客
05-18 326
我们知道在MPLS中数据的转发不再依靠路由表而是靠标签(注意:标签是在路由的基础上形成的)。所以在BGP中,我们依靠的就是这个特性来解决BGP的路由黑洞。BGP路由黑洞的解释:BGP的路由黑洞其实就是路由层面可达,数据层面不可达。(你可以收到对方的路由,但是不能和对方通讯。
postman捕获请求
08-05
6. Postman将自动捕获并显示请求和响应的详细信息。 请注意,确保在执行请求之前启动捕获,并且在捕获期间只执行与您想要捕获请求相关的操作。完成后,您可以在Postman中查看捕获请求和响应,包括头部、参数、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值