Определение источника DNS-запросов в локальной сети с использованием Wireshark может быть выполнено несколькими способами. Вот несколько шагов, которые могут помочь вам в этой задаче:
### 1. Фильтрация трафика:
Используйте Wireshark для захвата пакетов на интерфейсе, через который проходит трафик из локальной сети к прокси-серверу. Убедитесь, что вы захватываете трафик как с клиентов, так и с прокси-сервера.
#### Фильтрация DNS-запросов:
Вы можете использовать следующий фильтр захвата или дисплея, чтобы ограничить вашу выборку только DNS-запросами:
```
udp.port == 53
```
Это позволит вам видеть только DNS-запросы (обычно отправляются по UDP на порт 53).
### 2. Определение источника запросов:
Затем вы можете отсортировать захваченные пакеты по IP-адресу источника. Это поможет вам выяснить, от какого устройства в локальной сети приходят запросы на разрешение доменных имен.
### 3. Логирование:
Ваше предложение о логировании всех пакетов с направлением назначения к прокси-серверу — хорошая идея. Вы можете добавлять логи на уровне прокси-сервера, где записываются все входящие и исходящие запросы.
#### Логирование DNS-запросов на прокси-сервере:
1. Если ваш прокси-сервер поддерживает функционал логирования, активируйте его. Запись IP-адресов клиентов, отправляющих запросы, может значительно упростить задачу поиска источника неблагоприятных DNS-запросов.
2. Проверьте настройку прокси-сервера для возможности ведения журнала запросов. Это позволит вам увидеть, какие клиенты инициируют соединение.
### 4. Использование дополнительных фильтров:
Можно применить более сложные фильтры для выделения только интересующих вас DNS-запросов, используя, например, текстовые фильтры по запрашиваемым доменам или их частям.
### 5. Анализ логов после захвата:
После захвата и фильтрации пакетов используйте инструменты анализа данных для работы с логами. Можно использовать инструменты для обработки текстов или базы данных, чтобы структурировать информацию о запросах и производить анализ.
В целом, комбинирование захвата трафика с Wireshark вместе с ведением логов на прокси-сервере даст вам наилучшие результаты в определении источника DNS-запросов в пределах вашей сети.