Wireshark过滤DNS协议包语法实战

Wireshark过滤DNS协议包语法实战

news2025/1/12 16:18:34

背景

现网DNS服务器发现CPU突增，发现有可能是客户恶意发起的随机子域名扫描，对服务器进行抓包分析，记录下当时的操作。

抓包

执行命令 tcpdump -iany port 53 and host '$ip' -nnv -w $ip.pcap进行抓包导出到本地，使用Wireshark进行打开分析

使用sz ip.pcap命令导出到本地

分析

Wireshark有自带的统计功能，非常好用，这里使用如下：

1、先找出请求量最大的客户端IP：
在这里插入图片描述
2、根据客户端IP找出请求量大的域名有哪些
1.模糊匹配域名
使用命令 ip.src == ip && dns.qry.name contains "域名"这个是模糊匹配域名
2.精确匹配域名
ip.src == ip && dns.qry.name == "域名"

处理

找出域名后，可以利用iptables对域名进行限频或者封禁
封禁
iptables -I INPUT -p udp --dport 53 -m string --hex-string "ipt|03|aol|03|com" --algo bm --icase --to 1480 -j DROP
iptables -I INPUT -p udp --dport 53 -m string --hex-string "|2a 2e 62 79 64 2a|" --algo bm --icase -j DROP
限频
iptables -I INPUT -p udp --dport 53 -m string --hex-string "|2a 2e 62 79 64 2a|" --algo bm --icase -m limit --limit 1000/s --limit-burst 100 -j ACCEPT

更多命令

1、dns.flags.response
dns.flags.response 的值为 0 时
在这里插入图片描述
表示该数据包是一个 DNS 查询

dns.flags.response 的值为 1 时
在这里插入图片描述
表示该数据包是一个 DNS 响应

2、包含9.146.178.132这个地址的
ip.addr == 9.146.178.132

3、指定目标地址
ip.dst == 221.182.227.3

4、指定请求方法
ip.addr == 113.31.104.71 and http.request.method == POST

5、根据http协议过滤包内容
http.request.method == POST and ip.src != 11.142.163.186 and http contains "vspRegistrantUpload"

6、过滤数据包内容包含的字符串
http.request.method == POST and ip.src != 11.142.163.186 and frame contains "cnRegistrantQuery" "

7、过滤时间
http.date >= "Tue, 15 Nov 2022 07:05:36 GMT" && http.date <= "Tue, 15 Nov 2022 07:05:37 GMT"

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/1471252.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！

相关文章

网站开发--详解Servlet

网站开发--详解Servlet

💕"Echo"💕 作者：Mylvzi 文章主要内容：网站开发–详解Servlet 一.基本介绍 tomcat是Java中开发服务器的重要的一个工具,任何开发的服务器都要部署在tomcat之上,可以说tomcat是所有服务器的底座,为了更好的操作http,to…

阅读更多...

网络安全Web Hacking 101笔记，2023年最新整理！

网络安全Web Hacking 101笔记，2023年最新整理！

在计算机技术如日中天的今天，Web安全问题也接踵而来。但Web安全却“入门简单精通难”，涉及技术非常多且广，学习阻力很大。为此今天分享一份94页的《Web Hacking 101》笔记，包含Web安全知识，例如HTML注入、XSS、CSRF、…

阅读更多...

MATLAB Function转C代码实战

MATLAB Function转C代码实战

文章目录前言1. 准备工作2. 使用MATLAB Coder2.1 确定输入输出的类型2.2 MATLAB Coder过程 3. 代码调整和优化4. 编译和测试5. 性能分析和优化结语前言在科学与工程领域，MATLAB（Matrix Laboratory）是一种广泛使用的高级技术计算软件&…

阅读更多...

Spring Boot 接口请求日志（基于AOP和自定义注解）

Spring Boot 接口请求日志（基于AOP和自定义注解）

一、需求在Spring Boot应用中，实现接口请求日志记录功能，要求能够记录包括请求方法、接口路径及请求参数等核心信息，并提供灵活的开关配置。二、方案概述采用AOP（面向切面编程）结合自定义注解的方式实现。具体…

阅读更多...

1904_ARM Cortex M系列芯片特性小结

1904_ARM Cortex M系列芯片特性小结

1904_ARM Cortex M系列芯片特性小结全部学习汇总： g_arm_cores: ARM内核的学习笔记 (gitee.com) ARM Cortex M系列的MCU用过好几款了，也涉及到了不同的内核。不过，关于这些内核的基本的特性还是有些不了解。从ARM的官方网站上找来了一个对比…

阅读更多...

《游戏引擎架构》 -- 学习4

《游戏引擎架构》 -- 学习4

资源及文件系统文件系统游戏引擎的文件系统API通常提供以下功能： 搜需路径：是含一串路径的字符串，各路径之间以特殊字符（如冒号或分号）分隔，找文件时就会从这些路径进行搜寻。例如在命令行下执行程序&a…

阅读更多...

2023年06月CCF-GESP编程能力等级认证Scratch编程一级真题解析

2023年06月CCF-GESP编程能力等级认证Scratch编程一级真题解析

一、单选题（共10题，共30分） 第1题以下不属于计算机输出设备的有（ ）。 A：麦克风 B：音箱 C：打印机 D：显示器答案：A 第2题点击下面哪个图标可以使舞台区…

阅读更多...

真香！NineData SQL开发全面适配 GaiaDB

真香！NineData SQL开发全面适配 GaiaDB

2 月，新年伊始，NineData 重磅发布，提供了对百度云原生关系型数据库 GaiaDB 的支持。这一次的发布不仅仅是简单的数据源支持，而是覆盖了整个 SQL 开发能力的重要发布，意味着您已经可以完整地使用 NineData SQL 开发的…

阅读更多...

Redis高并发分布锁实战

Redis高并发分布锁实战

Redis高并发分布锁实战问题场景场景一: 没有捕获异常 // 仅仅加锁 // 读取 stock15 Boolean ret stringRedisTemplate.opsForValue().setIfAbsent("lock_key", "1"); // jedis.setnx(k,v) // TODO 业务代码 stock-- stringRedisTemplate.delete(&quo…

阅读更多...

AI时代编程高手的秘密武器：世界顶级大学推荐的计算机教材

AI时代编程高手的秘密武器：世界顶级大学推荐的计算机教材

文章目录 01 《深入理解计算机系统》02 《算法导论》03 《计算机程序的构造和解释》04 《数据库系统概念》05 《计算机组成与设计：硬件/软件接口》06 《离散数学及其应用》07 《组合数学》08《斯坦福算法博弈论二十讲》清华、北大、MIT、CMU、斯坦福的学霸们在新学…

阅读更多...

MySQL篇—持久化和非持久化统计信息介绍（第一篇，总共三篇）

MySQL篇—持久化和非持久化统计信息介绍（第一篇，总共三篇）

☘️博主介绍☘️： ✨又是一天没白过，我是奈斯，DBA一名✨ ✌✌️擅长Oracle、MySQL、SQLserver、Linux，也在积极的扩展IT方向的其他知识面✌✌️ ❣️❣️❣️大佬们都喜欢静静的看文章，并且也会默默的点赞收藏加关注❣…

阅读更多...

Spring事务模板及afterCommit存在的坑

Spring事务模板及afterCommit存在的坑

大家好，我是墨哥（隐墨星辰）。今天的内容来源于两个线上问题，主要和大家聊聊为什么支付系统中基本只使用事务模板方法，而不使用声明式事务Transaction注解，以及使用afterCommit()出现连接未按预期释放导致的…

阅读更多...

科技云报道：黑马Groq单挑英伟达，AI芯片要变天？

科技云报道：黑马Groq单挑英伟达，AI芯片要变天？

科技云报道原创。近一周来，大模型领域重磅产品接连推出：OpenAI发布“文字生视频”大模型Sora；Meta发布视频预测大模型 V-JEPA；谷歌发布大模型 Gemini 1.5 Pro，更毫无预兆地发布了开源模型Gemma… 难怪网友们感叹&am…

阅读更多...

不可错过的Telegram神器：十个实用Telegram机器人介绍

不可错过的Telegram神器：十个实用Telegram机器人介绍

Telegram机器人是基于Telegram平台上的自动化程序，通过Telegram Bot API来与用户交互，执行各种任务，大大拓宽了Telegram这个软件的功能。不只是可以进行简单的自动化任务如提醒服务、天气预报、个人助理，也可以完成复杂的商业行为…

阅读更多...

SpringBoot自带的tomcat的最大连接数和最大的并发数

SpringBoot自带的tomcat的最大连接数和最大的并发数

先说结果：springboot自带的tomcat的最大并发数是200， 最大连接数是：max-connectionsaccept-count的值再说一下和连接数相关的几个配置： 以下都是默认值： server.tomcat.threads.min-spare10 server.tomcat.threa…

阅读更多...

基于Pytorch的猫狗图片分类【深度学习CNN】

基于Pytorch的猫狗图片分类【深度学习CNN】

猫狗分类来源于Kaggle上的一个入门竞赛——Dogs vs Cats。为了加深对CNN的理解，基于Pytorch复现了LeNet,AlexNet,ResNet等经典CNN模型，源代码放在GitHub上，地址传送点击此处。项目大纲如下： 文章目录一、问题描述二、数据集处理…

阅读更多...

【Vue3】学习watch监视：深入了解Vue3响应式系统的核心功能（上）

【Vue3】学习watch监视：深入了解Vue3响应式系统的核心功能（上）

💗💗💗欢迎来到我的博客，你将找到有关如何使用技术解决问题的文章，也会找到某个技术的学习路线。无论你是何种职业，我都希望我的博客对你有所帮助。最后不要忘记订阅我的博客以获取最新文章，也欢…

阅读更多...

Linux基础命令—进程管理

Linux基础命令—进程管理

基础知识 linux进程管理什么是进程开发写代码->代码运行起来->进程运行起来的程序叫做进程程序与进程区别 1.程序是一个静态的概念,主要是指令集和数据的结合,可以长期存放在操作系统中 2.进程是一个动态的概念,主要是程序的运行状态,进程存在生命周期,生命周期结…

阅读更多...

nginx.conf配置文件详解、案例，Nginx常用命令与模块

nginx.conf配置文件详解、案例，Nginx常用命令与模块

目录一、Nginx常用命令二、Nginx涉及的文件 2.1、Nginx 的默认文件夹 2.2、Nginx的主配置文件nginx.conf nginx.conf 配置的模块 2.2.1、全局块：全局配置，对全局生效 2.2.2、events块：配置影响 Nginx 服务器与用户的网络连接 2.2.3…

阅读更多...

docker 容器访问 GPU 资源使用指南

docker 容器访问 GPU 资源使用指南

概述 nvidia-docker 和 nvidia-container-runtime 是用于在 NVIDIA GPU 上运行 Docker 容器的两个相关工具。它们的作用是提供 Docker 容器与 GPU 加速硬件的集成支持，使容器中的应用程序能够充分利用 GPU 资源。 nvidia-docker 为了提高 Nvidia GPU 在 docker 中的…

阅读更多...

推荐文章

最新文章