Сообщество системных администраторов Litl-Admin.ru Уроки Wireshark: Смотрим на DNS-трафик (comp.soft.litladmin) : Рассылка : Subscribe.Ru

Подписаться Бесплатная «Серебряная» новостная рассылка . Подписчиков 141 RSS

← Декабрь 2013 →
	1
2	3	4	5	6	7	8
9	10 10.12.2013 06:02:16 14:58:20	11 11.12.2013 02:35:40 09:52:42 11:21:44	12	13	14	15
16	17	18	19	20	21	22
23	24	25 25.12.2013 05:56:29 09:35:59	26	27	28	29
30	31

За последние 60 дней ни разу не выходила

Сайт рассылки: http://litl-admin.ru
Открыта: 26-01-2012

Автор

seqular

Статистика

141 подписчиков
0 за неделю

← Все выпуски →

Сообщество системных администраторов Litl-Admin.ru Уроки Wireshark: Смотрим на DNS-трафик

Ссылка на материал

Привет всем! Пришла пора посмотреть на трафик DNS через увеличительное стекло WireShark-а.

Напоминаю, что протокол DNS служит для преобразования понятного людям символьного имени, такого как, к примеру, litl-admin.ru в IP адрес, на который выполняется запрос.

Качаем файл трафика.Открываем его в WireShark и смотрим:

Образец трафика DNS

Как видим, протокол DNS (в выделенной зоне он самый нижний — domain name system) является надстройкой в протокол UDP, лежащий на 4-ом уровне. То есть без установки постоянного соединения, а простой отправкой пакетов (дэйтаграмм). Как и TCP, протокол UDP имеет порты. Для DNS это порт с номером 53, что легко прослеживается в дереве протоколов.

Спускаемся ещё ниже, UDP протокол опирается на IP — протокол передачи между сетями. В настоящее время — основной протокол передачи данных в сети Internet. На этом уровне у нас имеется информация об IP-адресах источника и назначения. Ну и так же сведения об инкапсулированном пакете UDP.

В качестве адреса источника будет наша машина (запросившая информацию по DNS), а в качестве IP адреса назначения — сам DNS сервер, который (подразумевается), должен иметь базу данных таких соответствий.

В этой базе данных хранятся записи нескольких видов:

A (host) — связывает имя узла и его IP адрес;
AAAA (host) — связывает имя узла и его IPv6 адрес;
CNAME (alias) — связывает имя узла и его псевдоним, для перенаправления на другое имя узла;
MX (mail exchange) — указывает на IP адрес почтового сервера, обрабатывающего этот домен;
NS (name server) — указывает на DNS-сервер, обслуживающим данный домен;
SOA (start of authority) — указывает на начальную зону для этого домена, содержит IP основного DNS-сервера, адрес и контактные данные лица, владельца домена, временные метки и т.д.;
PTR (pointer) — указатель на обратную связь, преобразующую IP адрес в каноническое имя;
SRV (server) — указатель на различные сервисы;
Полный список записей можно посмотреть наhttp://www.iana.org/assignments/dns-parameters/dns-parameters.xhtml

Итак, вернёмся к нашему запросу. Рассматриваем первый пакет:

Стандартный запрос

Как видим, если развернуть дерево информации в анализе пакета, то видно, что поступил запрос (Queries), получения стандартной записи хоста (Type: A) по имени (Name: www.iana.org). То есть в переводе с DNS на русский будет так:

«Эй, 68.87.76.178! Сообщи-ка мне, какой IP у чувака по имени www.iana.org, хочу ему кое-что сообщить».

Вот такие у них беседы протекают. На что сервер ему отвечат (пакет 2):

Вот такой ответ приходит

Здесь мы видим ответ на вопрос. Иначе говоря, DNS-сервер отвечает хосту, отправившему запрос:

«Эй, 71.198.243.158, ты спрашивал какой адрес у www.iana.org, так вот, его адрес 192.0.34.162!, теперь пиши ему напрямую»

Детально тут так же следовало бы обратить внимание на поля Flags, которые показывают характеристики запросов и ответов:

Характеристики запроса

Здесь я снова обратился к 1-ому пакету, в котором происходит запрос на сервер.

Обратите внимание на Transaction ID: Это числовое значение должно повториться в ответе, что будет означать, что ответ именно на этот запрос.

Далее, поля флагов. Они различны для запроса и для ответа. WireShark весьма неплохо их интерпретировал, так что всё должно быть понятно:

Стандартное двухбайтовое поле, значения которого складываются из бит:

первый бит (1)показывает, что это запрос;
2-5 биты (4) — что это стандартный запрос;
7 бит (1) — что это не обрезанный запрос;
8 бит (1) — рекурсивный запрос (т.е. если наш ДНС-сервер не знает IP хоста, который мы запросили, он сам уже будет опрашивать другие DNS-сервера, пока не найдёт ответ;
10 бит (1) — зарезервирован;
12 бит (1) — принимать неавторитетные ответы. Авторитетным называется ответ от сервера, если тот заявляет, что сам обслуживает данную зону. Если же сервер получил ответ от других серверов, то такой ответ для нас является неавторитетным.

Теперь рассмотрим флаги ответа:

Флаги ответа

Обратите внимание на ID транзакции. Она совпадает с ID предыдущего пакета.

Первый бит (1) — что это ответ;
2-5 биты (4) — стандартный ответ;
6 бит (1) — авторитетность ответа, если сервер сам обслуживает эту зону — вернётся «1″, если получил ответ из другого места — будет «0″;
7 бит (1) — укороченный пакет. На тот случай, если ответ не умещается в размер UDP датаграммы (512 байт);
8 бит (1) — желательно использование рекурсивных запросов. Если флаг будет стоять в «0″, то в ответе клиент получит список других серверов, от которых он может попытаться узнать нужную информацию.
9 бит (1) — сервер делает рекурсивные запросы;
10 бит (1) — зарезервирован;
11 бит (1) — получен авторитетный ответ, то есть сервер сам обслуживает эту зону;
12 бит (1) — принимать неавторитетные ответы?
13-16 биты (4) — код ошибки. Если 0, то всё в порядке.

Ну в целом разобрались со стандартными вопросами-ответами по DNS.

Кстати, существовал троян, который похищал данные с компьютера, отправляя их в виде DNS-запросов на сервер. Представляете себе, как это. Большинство файрволлов разрешает DNS, это ведь нормальная работа клиентского компьютера. А червяк под видом DNS-запросов отсылал на «левый» DNS-сервер приватные данные. Мол, «эй, сервер хозяина, скажи мне IP узла с именем «почта xxx@xxx.xx, пароль yyyyy»?». А сервер фиксировал запросы и мог отправлять ничего не значащие ответы, тем самым записывая все запросы в какой-то файл. Количество DNS-запросов был большим и под их видом можно было передать мегабайты данных совершенно незаметно для пользователя. Если специально не прослушивать трафик, то утечку данных обнаружить не реально.

В избранное

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} {#if $P.login_register_tab == 1} <form class="authentication-form" method="post" action="/MEMBERLOGIN_authen_cred"> <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <h1>Войти на сайт</h1> {* {#include js_tmpl_auth_reg_button} *} {#include js_tmpl_auth_reg_action} <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones"><p>{#include js_tmpl_auth_reg_descr} </p></div> <div class="logreg_advice noPhones"> Если вы еще не с нами, то начните с <a href="#" onclick="rgNav('js_tab_reg');return false;" class="dashed" data-func="registr">регистрации</a> </div> <br><br> <a class="dashed auth-enter" href="/manage/author/"><b>Вход для авторов</b></a> </dt> </dl> </form> {#/if} {#if $P.login_register_tab == 2} <div class="rg_block_options"> <div id="js_tap_panel_auth"> <h1>Регистрация</h1> <div class="social_reg"> {* <div class="rg_description">{#include js_tmpl_soc_auth_reg_descr}</div> *} {#include js_tmpl_auth_reg_soc} <div class="rg_soc_auth_agree">{#include js_tmpl_auth_reg_agree}</div> </div> <div class="subscribe_reg"> {* <div class="rg_description"> #include js_tmpl_auth_reg_descr </div> *} {#include js_tmpl_auth_reg_action} </div> {* {#include js_tmpl_auth_reg_button} *} <div class="clr"> </div> <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones">{#include js_tmpl_auth_reg_descr} {#include js_tmpl_soc_auth_reg_descr} </div> </div> </div> {#/if} </div> {* <div class="gray_bg register_shadow"></div> *} </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_auth" class="{#if $P.login_register_tab == 1} rg_active_nav {#/if} rg_first_nav"><a onclick="rgNav('js_tab_auth');return false;" href="">Вход на сайт</a></li> <li id="js_tab_reg" class="{#if $P.login_register_tab == 2} rg_active_nav {#/if}"><a onclick="rgNav('js_tab_reg');return false;" href="">Регистрация </a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_action} {#if $P.login_register_tab == 1} {#include js_tmpl_auth_reg_soc} {#/if} <div class="rg_forms"> <input type="hidden" id="login_register_destination" value="{$P.login_register_destination}"/> {#if $P.login_register_tab == 1} <div class="rg_for_input"> <span class="rg_text_inner">E-mail или код подписчика</span> <input id="credential_0" class="js_keydown_selector rg_input_text" data-js_submit="no" data-js_next_input_name="credential_1" name="" type="text" /> </div> <div class="rg_for_input"> <span class="rg_text_inner">Пароль</span> <input id="credential_1" class="js_keydown_selector rg_input_text" data-js_submit="yes" data-js_action="js_loginFormBut" name="" type="password" onkeyup="showAttention(this,!!window.event.shiftKey)" /> <span class="pswd_attention" id="attention_pswd"> <span class="icon_attention"></span> <span class="pswd_attention-text" id="attention-text_pswd1">Русская раскладка клавиатуры!</span> <span class="pswd_attention-text" id="attention-text_pswd2">У вас включен Caps Lock!</span> <span class="pswd_attention-text" id="attention-text_pswd3">У вас включен Caps Lock и русская раскладка клавиатуры!</span> </span> </div> <div class="rg_for_input input-alien"> <span class="chk noPhones"><input id="chk_alien" name="" type="checkbox" /></span><label for="chk_alien" class="noPhones"> Чужой компьютер</label> <a class="forgot_pass" href="/member/totalrecall">Забыли пароль?</a> </div> <div class="rg_for_input"> <em id="auth_msg" class="reg_error"></em> <input id="lf_typeauthid" value="email" type="hidden"> <input type="submit" class="button button-red logreg_submit" id="js_loginFormBut" value="Войти">  <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} {#if $P.login_register_tab == 2} <div class="rg_for_input"> <span class="rg_text_inner">E-mail</span> <input id="arfemail" class="js_keydown_selector rg_input_text" name="" type="text" data-js_submit="yes" data-js_action="js_regFormBut"/> </div> <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a> </label> <br /> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_personal' type="checkbox" data-js_submit="yes" /></span> Нажимая на кнопку "Готово!", я даю <a class="link_txd logreg_accLink" href="/faq/persverordnung.html">согласие на обработку персональных данных</a> </label> </div> {* <div style="float: left;position: absolute;left: 11em;"> <img src="http://www.kupivip.ru/images/vip/logo.png?1604" style="width: 86px; vertical-align: middle;display: block;"> </div> <div class="rg_for_input rg_set_lineh"> <label class="js_tap_panel_checkbox"><input name="" id="js_tap_panel_checkbox_kupivip" type="checkbox" data-js_submit="yes"> Я хочу получать новости о скидках на одежду</label> </div> *} <div class="rg_for_input"> <em id="reg_msg" class="reg_error rg_for_input_wide"></em> <em id="reg_msg2" class="reg_error rg_for_input_wide"></em> <input id="rf_typeauthid" value="email" type="hidden"> <a class="button button-red logreg_submit" id="js_regFormBut" href="#">Готово!</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} </div> {#/template js_tmpl_auth_reg_action} {#template js_tmpl_auth_reg_agree} <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms_reg' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a></label> <em id="reg_msg_soc" class="reg_error rg_for_input_wide"></em> </div> {#/template js_tmpl_auth_reg_agree} {#template js_tmpl_auth_reg_button} <div class="rg_butons_socials"> {#if $P.login_register_tab == 1} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} {#if $P.login_register_tab == 2} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} </div> {#/template js_tmpl_auth_reg_button} {#template js_tmpl_auth_reg_descr} {#if $P.login_register_tab == 1} Для оформления подписки на выбранную рассылку, работы с интересующей вас группой или доступа в нужный вам раздел, просим авторизоваться на Subscribe.ru {#/if} {#if $P.login_register_tab == 2} Для регистрации укажите ваш e-mail адрес. Адрес должен быть действующим, на него сразу после регистрации будет отправлено письмо с инструкциями и кодом подтверждения. {#/if} {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_soc_auth_reg_descr} Или зарегистрируйтесь через социальную сеть. {#/template js_tmpl_soc_auth_reg_descr} {#template js_tmpl_auth_reg_soc} <div class="rg_soc"> {#if $P.login_register_tab == 1} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/login/vk/&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} {#if $P.login_register_tab == 2} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/join/vk&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} </div> {#/template js_tmpl_auth_reg_soc}

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <p class="rg_description">{#include js_tmpl_auth_reg_descr}</p> <div class="clr"> </div> {#include js_tmpl_auth_reg_action} <div class="clr"> </div> </dt> </dl> </div>  </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_reg" class="rg_active_nav rg_first_nav"><a href="" onclick="return false;" >Регистрация</a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_descr} <strong>Пожалуйста, подтвердите ваш адрес.</strong><br><br>Вам отправлено письмо для подтверждения вашего адреса {$P.register_confirm_mail}.<br>Для подтверждения адреса перейдите по ссылке из этого письма. {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_auth_reg_action} <div class="rg_forms confirm_code_from_letter"> <div class="rg_for_input"> <span class="rg_inp_descr" style="width:15em;">Или введите код из письма:</span> <input type="text" value="" id="confirm_code" name="" data-js_submit="yes" data-js_action="js_confirmFormBut" class="js_keydown_selector rg_input_text_conf" > </div> <div class="rg_for_input"><label>Не пришло письмо? <b>Пожалуйста, проверьте папку Спам</b><br /> (папку для нежелательной почты).</label><br /> <a href="" onclick="ajax_recall_code();return false" >Вышлите мне письмо еще раз!</a></div> <div class="rg_for_input"> <em class="reg_error" id="confirm_msg"></em> <a href="#" class="button button-red" id="js_confirmFormBut">Готово</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> <br> </div> </div> {#/template js_tmpl_auth_reg_action}

← Декабрь 2013 →
						1
2	3	4	5	6	7	8
9	10 10.12.2013 06:02:16 14:58:20	11 11.12.2013 02:35:40 09:52:42 11:21:44	12	13	14	15
16	17	18	19	20	21	22
23	24	25 25.12.2013 05:56:29 09:35:59	26	27	28	29
30	31