W jaki sposób dokonać analizy ruchu DNS w Wireshark
Czym jest DNS
Domain Name System inaczej DNS określa się jako hierarchiczny i zdecentralizowany system nazewnictwa komputerów, usług albo innych zasobów jakie są podłączone do Internetu bądź sieci prywatnej. Nazwy mnemoniczne (słowne) czytelne i zrozumiałe dla człowieka zamienia na adresy IP hostów w sieci i na odwrót. Jeżeli by DNS nie działał wówczas zamiast adresu domenowego z powyższego przykładowego rysunku domena.pl w miejscu adresu przeglądarki należałoby wpisać adres IP serwera 216.50.10.10 – bo właśnie tutaj ta strona byłaby hostowana.
Jeśli interesuje Cię ten temat w formie video – kliknij 🙂
Czym jest nslookup
Nslookup.exe jest narzędziem administracyjnym wiersza poleceń dzięki któremu istnieje możliwość testowania oraz rozwiązywania problemów z serwerami DNS. Jest dostępne w każdym systemie operacyjnym MS Windows (w przypadku GNU/Linux należy doinstalować właściwy pakiet z repozytorium). Jeśli chodzi o nslookup nie jest narzędziem, które trzeba w jakiś dodatkowy sposób instalować. Wykorzystując nslookup mamy możliwość połączenia się z serwerami DNS i pobrania z nich informacji.
Analiza DNS przy użyciu Wireshark z wykorzystaniem nslookup
Proces analizy
- Na samym początku nastąpi uruchomienie w wierszu poleceń komendy nslookup dla przykładowej domeny i przejrzenie wyników:
nslookup idg.com.pl
Wpisując komendę nslookup idg.com.pl udało się uzyskać adres IP na jakim działa strona, natomiast przypadku wprowadzenia IP 194.69.207.152 wynik będzie zawierać nazwę domeny:
- Analiza przy wykorzystaniu Wireshark będzie się opierać o adres wireshark.org – dla niego będzie wykorzystana komenda
nslookup wireshark.org
- Uruchomienie programu Wireshark z następnym Start capture „łapaniem pakietów” i utworzeniu filtru DNS
- Określenie warstw sieci przy użyciu standard query
- Wyświetlenie answers
