Захват трафика DNS: DNSCAP

dnscap — это утилита сетевого захвата, специально разработанная для трафика DNS.

Он создает двоичные данные в pcap (3) и другом формате.

Эта утилита похожа на tcpdump (1), но имеет ряд функций, адаптированных к транзакциям DNS и параметрам протокола. DNS-OARC использует dnscap для сбора данных DITL.

Некоторые из его функций включают в себя:

Понимает как IPv4, так и IPv6
Захватывает UDP, TCP и IP фрагменты.
Соберите только запросы, ответы или оба варианта (-s)
Соберите только для определенных адресов источника / получателя (-a -z -A -Z)
Периодически создает новые файлы pcap (опция -t)
Создает сценарий загрузки после закрытия файла pcap (опция -k)
Начинает и прекращает сбор в определенное время (-B -E)

Зависимости

dnscap имеет необязательную зависимость от библиотеки PCAP и дополнительных зависимостей от LDNS.

Библиотека BIND libbind считается необязательной, но она необходима в OpenBSD для различных заголовков arpa / nameser * include.

Чтобы установить зависимости в Debian / Ubuntu:

# apt-get install -y libpcap-dev libldns-dev libbind-dev zlib1g-dev 

Чтобы установить зависимости в CentOS (с включенным EPEL):

 # yum install -y libpcap-devel ldns-devel openssl-devel bind-devel zlib-devel 

Чтобы установить некоторые из зависимостей под FreeBSD 10+, используя pkg:

 # <span id="result_box" class="short_text" lang="ru"><span class="">pkg install -y libpcap ldns</span></span> 

Чтобы установить некоторые зависимости в OpenBSD 5+ с помощью pkg_add:

 # pkg_add libldns 

Создание из исходного архива

Исходный архив из DNS-OARC подготовлен с помощью configure:

# tar zxvf dnscap-version.tar.gz
# cd dnscap-version
# ./configure [options]
# make
# make install 

Ограничения, отклонения и проблемы

Поскольку это еще экспериментальный выпуск, есть, конечно, некоторые проблемы:

RDATA находится в двоичном формате
DNS-пакет анализируется с помощью LDNS, который может выйти из строя, если сформированы неверные пакеты
dateSeconds добавляется в виде двойника C, который может потерять часть времени

Скачать DNSCAP

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *