Как можно определить, какой компьютер в локальной сети отправляет DNS-запросы на разрешение конкретного адреса, используя Wireshark?

В локальной сети клиенты получают доступ в интернет через прокси-сервер, который настроен на использование локального DNS. В логах сервера были обнаружены запросы на разрешение доменных имен, которые находятся в списке запрещенных. Как можно определить, с какого устройства приходят эти запросы? Стоит ли включить логирование всех пакетов с направлением назначения к прокси-серверу (dst = proxy) и затем осуществить поиск по логам? Или есть более эффективные методы для этой задачи?
  • 12 марта 2025 г. 19:14
Ответы на вопрос 2
Определение источника DNS-запросов в локальной сети с использованием Wireshark может быть выполнено несколькими способами. Вот несколько шагов, которые могут помочь вам в этой задаче:

### 1. Фильтрация трафика:

Используйте Wireshark для захвата пакетов на интерфейсе, через который проходит трафик из локальной сети к прокси-серверу. Убедитесь, что вы захватываете трафик как с клиентов, так и с прокси-сервера.

#### Фильтрация DNS-запросов:
Вы можете использовать следующий фильтр захвата или дисплея, чтобы ограничить вашу выборку только DNS-запросами:
```
udp.port == 53
```
Это позволит вам видеть только DNS-запросы (обычно отправляются по UDP на порт 53).

### 2. Определение источника запросов:
Затем вы можете отсортировать захваченные пакеты по IP-адресу источника. Это поможет вам выяснить, от какого устройства в локальной сети приходят запросы на разрешение доменных имен.

### 3. Логирование:
Ваше предложение о логировании всех пакетов с направлением назначения к прокси-серверу — хорошая идея. Вы можете добавлять логи на уровне прокси-сервера, где записываются все входящие и исходящие запросы.

#### Логирование DNS-запросов на прокси-сервере:
1. Если ваш прокси-сервер поддерживает функционал логирования, активируйте его. Запись IP-адресов клиентов, отправляющих запросы, может значительно упростить задачу поиска источника неблагоприятных DNS-запросов.
2. Проверьте настройку прокси-сервера для возможности ведения журнала запросов. Это позволит вам увидеть, какие клиенты инициируют соединение.

### 4. Использование дополнительных фильтров:
Можно применить более сложные фильтры для выделения только интересующих вас DNS-запросов, используя, например, текстовые фильтры по запрашиваемым доменам или их частям.

### 5. Анализ логов после захвата:
После захвата и фильтрации пакетов используйте инструменты анализа данных для работы с логами. Можно использовать инструменты для обработки текстов или базы данных, чтобы структурировать информацию о запросах и производить анализ.

В целом, комбинирование захвата трафика с Wireshark вместе с ведением логов на прокси-сервере даст вам наилучшие результаты в определении источника DNS-запросов в пределах вашей сети.
Посмотреть в логах прокси, кто запрашивает эти адреса.
Похожие вопросы