Wireshark过滤DNS协议包语法实战

Wireshark过滤DNS协议包语法实战

news/2025/4/18 17:17:40/文章来源:https://blog.csdn.net/qq_36588424/article/details/136218760

背景

现网DNS服务器发现CPU突增，发现有可能是客户恶意发起的随机子域名扫描，对服务器进行抓包分析，记录下当时的操作。

抓包

执行命令 tcpdump -iany port 53 and host '$ip' -nnv -w $ip.pcap进行抓包导出到本地，使用Wireshark进行打开分析

使用sz ip.pcap命令导出到本地

分析

Wireshark有自带的统计功能，非常好用，这里使用如下：

1、先找出请求量最大的客户端IP：
在这里插入图片描述
2、根据客户端IP找出请求量大的域名有哪些
1.模糊匹配域名
使用命令 ip.src == ip && dns.qry.name contains "域名"这个是模糊匹配域名
2.精确匹配域名
ip.src == ip && dns.qry.name == "域名"

处理

找出域名后，可以利用iptables对域名进行限频或者封禁
封禁
iptables -I INPUT -p udp --dport 53 -m string --hex-string "ipt|03|aol|03|com" --algo bm --icase --to 1480 -j DROP
iptables -I INPUT -p udp --dport 53 -m string --hex-string "|2a 2e 62 79 64 2a|" --algo bm --icase -j DROP
限频
iptables -I INPUT -p udp --dport 53 -m string --hex-string "|2a 2e 62 79 64 2a|" --algo bm --icase -m limit --limit 1000/s --limit-burst 100 -j ACCEPT

更多命令

1、dns.flags.response
dns.flags.response 的值为 0 时
在这里插入图片描述
表示该数据包是一个 DNS 查询

dns.flags.response 的值为 1 时
在这里插入图片描述
表示该数据包是一个 DNS 响应

2、包含9.146.178.132这个地址的
ip.addr == 9.146.178.132

3、指定目标地址
ip.dst == 221.182.227.3

4、指定请求方法
ip.addr == 113.31.104.71 and http.request.method == POST

5、根据http协议过滤包内容
http.request.method == POST and ip.src != 11.142.163.186 and http contains "vspRegistrantUpload"

6、过滤数据包内容包含的字符串
http.request.method == POST and ip.src != 11.142.163.186 and frame contains "cnRegistrantQuery" "

7、过滤时间
http.date >= "Tue, 15 Nov 2022 07:05:36 GMT" && http.date <= "Tue, 15 Nov 2022 07:05:37 GMT"

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/694821.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

相关文章

人工智能|深度学习——基于数字图像处理和深度学习的车牌定位

人工智能|深度学习——基于数字图像处理和深度学习的车牌定位

1.研究背景及研究目的和意义车牌识别Vehicle License Plate Recognition VLPR) 是从一张或一系列数字图片中自动定位车牌区域并提取车牌信息的图像识别技术。车牌识别以数字图像处理、模式识别、计算机视觉等技术为基础，是现代智能交通系统的重要组成部分&#xf…

阅读更多...

前端项目docker部署

前端项目docker部署

以react项目为例，理论上vue项目也支持。打包。最好在package.json 里加上"homepage": "."，打包好后，会生成build目录将build目录下的所有文件上传到服务器，假设放在/root/service/shop-h5/public 目录下编写…

阅读更多...

C#知识点-16（计算器插件开发、事件、递归、XML）

C#知识点-16（计算器插件开发、事件、递归、XML）

计算器插件开发 1、Calculator.cs using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks;namespace Calculator_DLL {//用来明确所有插件开发人员的开发规范public abstract class Calculator{public int N…

阅读更多...

2024-02-21 算法: 测试链表是否有环

2024-02-21 算法: 测试链表是否有环

点击 <C 语言编程核心突破> 快速C语言入门算法: 测试链表是否有环前言一、双指针 ( 快慢指针 )二、代码总结前言要解决问题: 一道简单的算法题, 测试链表是否含有环. 想到的思路: 哈希表, 将链表指针强制转换为整型, 利用求余法建立哈希函数. 太复杂, 内存效率不高…

阅读更多...

MyBatis的注解式开发

MyBatis的注解式开发

MyBatis的注解式开发一、准备开发环境1.添加依赖2.jdbc.properties3.mybatis-config.xml4.Article实体类5.SqlSessionUtil工具类二、Insert三、Delete四、Update五、Select mybatis 中也提供了注解式开发⽅式，采⽤注解可以减少 Sql 映射⽂件的配置。使⽤注解式开发…

阅读更多...

设计模式浅析(六) ·命令模式

设计模式浅析(六) ·命令模式

设计模式浅析(六) 命令模式日常叨逼叨 java设计模式浅析，如果觉得对你有帮助，记得一键三连，谢谢各位观众老爷😁😁 命令模式概念命令模式（Command Pattern）是一种行为设计模式&#xff0c…

阅读更多...

YOLOv5代码解读[02] models/yolov5l.yaml文件解析

YOLOv5代码解读[02] models/yolov5l.yaml文件解析

文章目录 YOLOv5代码解读[02] models/yolov5l.yaml文件解析yolov5l.yaml文件检测头1--->耦合头检测头2--->解耦头检测头3--->ASFF检测头Model类解析parse_model函数 YOLOv5代码解读[02] models/yolov5l.yaml文件解析 yolov5l.yaml文件 # YOLOv5 🚀 by Ult…

阅读更多...

FPGA SERDESE2 (SDR收发仿真)

FPGA SERDESE2 (SDR收发仿真)

高速 Serdes 环路测试高速串行通信优势非常巨大，只需要很少的IO引脚就可以实现高速通信，这也是当今FPGA高速接口的核心技术。比如XILINX的7代FPGA，GTX可以达到10.3125Gbps,ultrascale FPGA的GTH可以达到16Gbps。目前国产FPGA还难以达到这么高的接口速度。高速串行通信经…

阅读更多...

社区分享｜中华保险基于MeterSphere开展接口自动化测试

社区分享｜中华保险基于MeterSphere开展接口自动化测试

中华联合保险集团股份有限公司（以下简称为“中华保险”）始创于1986年，是全国唯一一家以“中华”冠名的国有控股保险公司。截至2022年12月底，中华保险总资产为1006.06亿元，在全国拥有超过2900个营业网点，员工…

阅读更多...

Servlet中的请求与响应

Servlet中的请求与响应

Request和Response 1.Request和Response的概述2.Request对象2.1 Request继承体系2.2 Request获取请求数据2.3 解决post请求乱码问题 *2.4 Request请求转发(-，*)2.5 request的生命周期 3.HTTP响应详解(理解)1.使用抓包查看响应报文协议内容2.HTTP响应报文协议介绍 4.…

阅读更多...

汇编英文全称

汇编英文全称

mov move mvn Mov Negative ldr LoaD Register str Store Register lsl Logic Shift Left lsr Logic Shift Right asr Arithmetic Shift Right 算数右移 ror Rotate right 循环右移…

阅读更多...

人工智能讲师AI讲师大模型讲师叶梓介绍及大语言模型技术原理与实践提纲

人工智能讲师AI讲师大模型讲师叶梓介绍及大语言模型技术原理与实践提纲

叶梓，上海交通大学计算机专业博士毕业，高级工程师。主研方向：数据挖掘、机器学习、人工智能。历任国内知名上市IT企业的AI技术总监、资深技术专家，市级行业大数据平台技术负责人。长期负责城市信息化智能平台的建设工作&#xff…

阅读更多...

angular-引用本地json文件

angular-引用本地json文件

angular-引用json文件，本地模拟数据时使用在assets目录下存放json文件大佬们的说法是：angular配置限定了资源文件的所在地（就是assets的路径），放在其他文件夹中，angular在编译过程中会忽略，会…

阅读更多...

云计算的两地三中心和灾备介绍

云计算的两地三中心和灾备介绍

两地三中心是指在不同的地理位置建立两个数据中心和一个灾备中心，其中一个数据中心为主数据中心，另一个数据中心为备用数据中心，灾备中心则用于备份数据和在主数据中心或备用数据中心发生故障或灾难时提供应急支持。异地灾备则是指在不同的地…

阅读更多...

Docker之查看并获取最新Ubuntu镜像(十)

Docker之查看并获取最新Ubuntu镜像(十)

简介： CSDN博客专家，专注Android/Linux系统，分享多mic语音方案、音视频、编解码等技术，与大家一起成长！ 优质专栏：Audio工程师进阶系列【原创干货持续更新中……】🚀 优质专栏：多媒…

阅读更多...

基于springboot+vue的教学资源库系统(前后端分离)

基于springboot+vue的教学资源库系统(前后端分离)

博主主页：猫头鹰源码博主简介：Java领域优质创作者、CSDN博客专家、阿里云专家博主、公司架构师、全网粉丝5万、专注Java技术领域和毕业设计项目实战，欢迎高校老师\讲师\同行交流合作主要内容：毕业设计(Javaweb项目|小程序|Pyt…

阅读更多...

Nginx配置组成与性能调优

Nginx配置组成与性能调优

目录一、Nginx配置介绍 1. 模块组成 2. 图示 3. 相关框架二. 配置调优 1. 全局配置 1.1 关闭版本和修改版本 1.2 修改启动的进程数 1.3 cpu与work进程绑定 1.4 pid路径 1.5 nginx进程的优先级（work进程的优先级） 1.6 调试work进程打开的文…

阅读更多...

利用System.Web.HttpRuntime.Cache制作缓存工具类

利用System.Web.HttpRuntime.Cache制作缓存工具类

用到的依赖介绍当谈到 ASP.NET 中的缓存管理时，常涉及到以下三个类：CacheDependency、HttpRuntime.Cache 和 System.Web.Caching。 CacheDependency（缓存依赖项）： CacheDependency 类用于指定一个或多个文件或目录作…

阅读更多...

问题：Spark SQL 读不到 Flink 写入 Hudi 表的新数据，打开新 Session 才可见

问题：Spark SQL 读不到 Flink 写入 Hudi 表的新数据，打开新 Session 才可见

博主历时三年精心创作的《大数据平台架构与原型实现：数据中台建设实战》一书现已由知名IT图书品牌电子工业出版社博文视点出版发行，点击《重磅推荐：建大数据平台太难了！给我发个工程原型吧！》了解图书详情，…

阅读更多...

Predis Multi-Zone

Predis Multi-Zone

A Data Flow Framework with High Throughput and Low Latency for Permissioned Blockchains 联盟链的吞吐瓶颈由共识层和网络层的数据分发过程共同决定。 Predis 协议利用了共识节点的空闲带宽，提前分发区块中的内容即bundle，减少了共识区块中的内容&…

阅读更多...

最新文章