W jaki sposób dokonać analizy ruchu DNS w Wireshark

Czym jest DNS

Ogólny schemat działania DNS
Ogólny schemat działania DNS

Domain Name System inaczej DNS określa się jako hierarchiczny i zdecentralizowany system nazewnictwa komputerów, usług albo innych zasobów jakie są podłączone do Internetu bądź sieci prywatnej. Nazwy mnemoniczne (słowne) czytelne i zrozumiałe dla człowieka zamienia na adresy IP hostów w sieci i na odwrót. Jeżeli by DNS nie działał wówczas zamiast adresu domenowego z powyższego przykładowego rysunku domena.pl w miejscu adresu przeglądarki należałoby wpisać adres IP serwera 216.50.10.10 – bo właśnie tutaj ta strona byłaby hostowana.

Czym jest nslookup

Nslookup.exe jest narzędziem administracyjnym wiersza poleceń dzięki któremu istnieje możliwość testowania oraz rozwiązywania problemów z serwerami DNS. Jest dostępne w każdym systemie operacyjnym MS Windows (w przypadku GNU/Linux należy doinstalować właściwy pakiet z repozytorium). Jeśli chodzi o nslookup nie jest narzędziem, które trzeba w jakiś dodatkowy sposób instalować. Wykorzystując nslookup mamy możliwość połączenia się z serwerami DNS i pobrania z nich informacji.

Analiza DNS przy użyciu Wireshark z wykorzystaniem nslookup

Proces analizy

  1. Na samym początku nastąpi uruchomienie w wierszu poleceń komendy nslookup dla przykładowej domeny i przejrzenie wyników:
nslookup idg.com.pl
Wynik wykonania komendy nslookup idg.com.pl
Wynik wykonania komendy nslookup idg.com.pl

Wpisując komendę nslookup idg.com.pl udało się uzyskać adres IP na jakim działa strona, natomiast przypadku wprowadzenia IP 194.69.207.152 wynik będzie zawierać nazwę domeny:

Wynik wykonania komendy nslookup  194.69.207.152
Wynik wykonania komendy nslookup 194.69.207.152
  1. Analiza przy wykorzystaniu Wireshark będzie się opierać o adres wireshark.org – dla niego będzie wykorzystana komenda nslookup wireshark.org
Wynik wykonania komendy nslookup  wireshark.org
Wynik wykonania komendy nslookup wireshark.org
  1. Uruchomienie programu Wireshark z następnym Start capture „łapaniem pakietów” i utworzeniu filtru DNS
  1. Określenie warstw sieci przy użyciu standard query
  1. Wyświetlenie answers