Wireshark过滤DNS协议包语法实战

Wireshark过滤DNS协议包语法实战

news/2024/11/12 2:01:04/文章来源:https://blog.csdn.net/qq_36588424/article/details/136218760

背景

现网DNS服务器发现CPU突增，发现有可能是客户恶意发起的随机子域名扫描，对服务器进行抓包分析，记录下当时的操作。

抓包

执行命令 tcpdump -iany port 53 and host '$ip' -nnv -w $ip.pcap进行抓包导出到本地，使用Wireshark进行打开分析

使用sz ip.pcap命令导出到本地

分析

Wireshark有自带的统计功能，非常好用，这里使用如下：

1、先找出请求量最大的客户端IP：
在这里插入图片描述
2、根据客户端IP找出请求量大的域名有哪些
1.模糊匹配域名
使用命令 ip.src == ip && dns.qry.name contains "域名"这个是模糊匹配域名
2.精确匹配域名
ip.src == ip && dns.qry.name == "域名"

处理

找出域名后，可以利用iptables对域名进行限频或者封禁
封禁
iptables -I INPUT -p udp --dport 53 -m string --hex-string "ipt|03|aol|03|com" --algo bm --icase --to 1480 -j DROP
iptables -I INPUT -p udp --dport 53 -m string --hex-string "|2a 2e 62 79 64 2a|" --algo bm --icase -j DROP
限频
iptables -I INPUT -p udp --dport 53 -m string --hex-string "|2a 2e 62 79 64 2a|" --algo bm --icase -m limit --limit 1000/s --limit-burst 100 -j ACCEPT

更多命令

1、dns.flags.response
dns.flags.response 的值为 0 时
在这里插入图片描述
表示该数据包是一个 DNS 查询

dns.flags.response 的值为 1 时
在这里插入图片描述
表示该数据包是一个 DNS 响应

2、包含9.146.178.132这个地址的
ip.addr == 9.146.178.132

3、指定目标地址
ip.dst == 221.182.227.3

4、指定请求方法
ip.addr == 113.31.104.71 and http.request.method == POST

5、根据http协议过滤包内容
http.request.method == POST and ip.src != 11.142.163.186 and http contains "vspRegistrantUpload"

6、过滤数据包内容包含的字符串
http.request.method == POST and ip.src != 11.142.163.186 and frame contains "cnRegistrantQuery" "

7、过滤时间
http.date >= "Tue, 15 Nov 2022 07:05:36 GMT" && http.date <= "Tue, 15 Nov 2022 07:05:37 GMT"

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/694821.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

相关文章

人工智能|深度学习——基于数字图像处理和深度学习的车牌定位

人工智能|深度学习——基于数字图像处理和深度学习的车牌定位

1.研究背景及研究目的和意义车牌识别Vehicle License Plate Recognition VLPR) 是从一张或一系列数字图片中自动定位车牌区域并提取车牌信息的图像识别技术。车牌识别以数字图像处理、模式识别、计算机视觉等技术为基础，是现代智能交通系统的重要组成部分&#xf…

阅读更多...

C#知识点-16（计算器插件开发、事件、递归、XML）

C#知识点-16（计算器插件开发、事件、递归、XML）

计算器插件开发 1、Calculator.cs using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks;namespace Calculator_DLL {//用来明确所有插件开发人员的开发规范public abstract class Calculator{public int N…

阅读更多...

设计模式浅析(六) ·命令模式

设计模式浅析(六) ·命令模式

设计模式浅析(六) 命令模式日常叨逼叨 java设计模式浅析，如果觉得对你有帮助，记得一键三连，谢谢各位观众老爷😁😁 命令模式概念命令模式（Command Pattern）是一种行为设计模式&#xff0c…

阅读更多...

YOLOv5代码解读[02] models/yolov5l.yaml文件解析

YOLOv5代码解读[02] models/yolov5l.yaml文件解析

文章目录 YOLOv5代码解读[02] models/yolov5l.yaml文件解析yolov5l.yaml文件检测头1--->耦合头检测头2--->解耦头检测头3--->ASFF检测头Model类解析parse_model函数 YOLOv5代码解读[02] models/yolov5l.yaml文件解析 yolov5l.yaml文件 # YOLOv5 🚀 by Ult…

阅读更多...

社区分享｜中华保险基于MeterSphere开展接口自动化测试

社区分享｜中华保险基于MeterSphere开展接口自动化测试

中华联合保险集团股份有限公司（以下简称为“中华保险”）始创于1986年，是全国唯一一家以“中华”冠名的国有控股保险公司。截至2022年12月底，中华保险总资产为1006.06亿元，在全国拥有超过2900个营业网点，员工…

阅读更多...

Servlet中的请求与响应

Servlet中的请求与响应

Request和Response 1.Request和Response的概述2.Request对象2.1 Request继承体系2.2 Request获取请求数据2.3 解决post请求乱码问题 *2.4 Request请求转发(-，*)2.5 request的生命周期 3.HTTP响应详解(理解)1.使用抓包查看响应报文协议内容2.HTTP响应报文协议介绍 4.…

阅读更多...

人工智能讲师AI讲师大模型讲师叶梓介绍及大语言模型技术原理与实践提纲

人工智能讲师AI讲师大模型讲师叶梓介绍及大语言模型技术原理与实践提纲

叶梓，上海交通大学计算机专业博士毕业，高级工程师。主研方向：数据挖掘、机器学习、人工智能。历任国内知名上市IT企业的AI技术总监、资深技术专家，市级行业大数据平台技术负责人。长期负责城市信息化智能平台的建设工作&#xff…

阅读更多...

angular-引用本地json文件

angular-引用本地json文件

angular-引用json文件，本地模拟数据时使用在assets目录下存放json文件大佬们的说法是：angular配置限定了资源文件的所在地（就是assets的路径），放在其他文件夹中，angular在编译过程中会忽略，会…

阅读更多...

Docker之查看并获取最新Ubuntu镜像(十)

Docker之查看并获取最新Ubuntu镜像(十)

简介： CSDN博客专家，专注Android/Linux系统，分享多mic语音方案、音视频、编解码等技术，与大家一起成长！ 优质专栏：Audio工程师进阶系列【原创干货持续更新中……】🚀 优质专栏：多媒…

阅读更多...

基于springboot+vue的教学资源库系统(前后端分离)

基于springboot+vue的教学资源库系统(前后端分离)

博主主页：猫头鹰源码博主简介：Java领域优质创作者、CSDN博客专家、阿里云专家博主、公司架构师、全网粉丝5万、专注Java技术领域和毕业设计项目实战，欢迎高校老师\讲师\同行交流合作主要内容：毕业设计(Javaweb项目|小程序|Pyt…

阅读更多...

Nginx配置组成与性能调优

Nginx配置组成与性能调优

目录一、Nginx配置介绍 1. 模块组成 2. 图示 3. 相关框架二. 配置调优 1. 全局配置 1.1 关闭版本和修改版本 1.2 修改启动的进程数 1.3 cpu与work进程绑定 1.4 pid路径 1.5 nginx进程的优先级（work进程的优先级） 1.6 调试work进程打开的文…

阅读更多...

问题：Spark SQL 读不到 Flink 写入 Hudi 表的新数据，打开新 Session 才可见

问题：Spark SQL 读不到 Flink 写入 Hudi 表的新数据，打开新 Session 才可见

博主历时三年精心创作的《大数据平台架构与原型实现：数据中台建设实战》一书现已由知名IT图书品牌电子工业出版社博文视点出版发行，点击《重磅推荐：建大数据平台太难了！给我发个工程原型吧！》了解图书详情，…

阅读更多...

Predis Multi-Zone

Predis Multi-Zone

A Data Flow Framework with High Throughput and Low Latency for Permissioned Blockchains 联盟链的吞吐瓶颈由共识层和网络层的数据分发过程共同决定。 Predis 协议利用了共识节点的空闲带宽，提前分发区块中的内容即bundle，减少了共识区块中的内容&…

阅读更多...

在vue3中使用canvas实现雨滴效果

在vue3中使用canvas实现雨滴效果

在vue3中使用canvas实现雨滴效果这是封装的一个组件DotAndRain（ ） <script setup> import { ref, onMounted } from "vue"; import { onUnmounted } from "vue";let animationFrameId null;const el ref(null); let canv…

阅读更多...

5 原型模式 Prototype

5 原型模式 Prototype

1.模式定义: 指原型实例指定创建对象的种类，并且通过拷贝这些原型创建新的对象 2.应用场景： 当代码不应该依赖于需要复制的对象的具体类时，请使用Prototype模式。 Spring源码中的应用 org.springframework.beans.factory.support.AbstractB…

阅读更多...

蓝桥杯嵌入式第12届真题(完成) STM32G431

蓝桥杯嵌入式第12届真题(完成) STM32G431

蓝桥杯嵌入式第12届真题(完成) STM32G431 题目程序 main.c /* USER CODE BEGIN Header */ /********************************************************************************* file : main.c* brief : Main program body**************************…

阅读更多...

Linux常见的指令

Linux常见的指令

目录 01. ls 指令02. pwd命令03. cd 指令04. touch指令05.mkdir指令（重要）：06.rmdir指令 && rm 指令（重要）：07.man指令（重要）：08.cp指令（重要&#x…

阅读更多...

浅谈maven的生命周期

浅谈maven的生命周期

正文：在Maven中，生命周期定义了项目构建过程的不同阶段以及在每个阶段中执行的插件目标。Maven的生命周期是由一系列阶段组成的，每个阶段都有一个唯一的标识符。 Clean生命周期：用于清理项目的构建目录。它包含以下阶段： pre-clean：执行在清理操作之前的任何操作。clea…

阅读更多...

【Vuforia+Unity】AR05-实物3D模型识别功能实现

【Vuforia+Unity】AR05-实物3D模型识别功能实现

对于3D物体的识别，可以是虚拟的也可以是实物的，但是对于虚拟的三维模型意义不大，我们完全可以把三维模型放在屏幕上截一张图，以图片识别的方式召唤数字内容，不过在虚拟现实中或许有用。因此本文探讨的技术路线主要是…

阅读更多...

【云原生】Docker consul的容器服务更新与发现

【云原生】Docker consul的容器服务更新与发现

目录什么是服务注册与发现什么是consul consul提供的一些关键特性： consul 部署 consul服务器 1. 建立 Consul 服务设置代理，在后台启动 consul 服务端 2. 查看集群信息查看members状态查看集群状态 3. 通过 http api 获取集群信息 regi…

阅读更多...

推荐文章

最新文章