tcpdump 和动态 DNS 更新

tcpdump 和动态 DNS 更新

所以这里有一个例子来说明为什么谷歌会害怕....要求谷歌找到“tcpdump 的咒语是什么来嗅探/过滤”的具体方法仅有的对于 ddns 更新包” 最终得到了十亿页与我感兴趣的内容无关的内容...不过,其中有很多关于设置 dns 服务器的内容。

所以...

有人知道你用来捕获的特定 tcpdump 过滤器仅有的动态 DNS 更新包?

Wireshark 和 tcpdump 似乎都可以识别 ddns 更新数据包,(我使用的是 wireshark 示例 pcap 文件,其中包含来自wireshark 维基)。因此,至少我可以只过滤端口 53 的流量,但在这个链接上,这将是大量的流量。

谢谢!抱歉问了个 101 类型的问题...

答案1

类似这样的方法似乎对 IPv4 有效:

tcpdump 'udp[0xa] & 0x78 = 0x28'

推理(相对于 UDP 数据包开始的偏移量 - 可能最容易跟随 Wireshark 打开):

  • 字节 0-7 = UDP 标头
  • 字节 8-9 = DNS 事务 ID
  • 字节 10 (0xa) = DNS 标志的开始

DNS 操作码是字节 10 的位 3-6(因此掩码为 01111000 = 0x78),对于更新,我们需要 DNS 操作码 5;5 << 3 = 40 = 0x28。

答案2

对于这样的请求,域名解析显然是一个更好的解决方案,因为您可以编写特定于 DNS 的请求。

类似这样的请求:

%dnscap-w更新.pcap-mu-i eth0

文件中将仅保留updates.pcapddns 更新请求。

相关内容