Jump to content
Калькуляторы

tshark - выцепить секцию из ответа DNS

Всем доброе время суток!

 

Подскажите плз как с помощью tshark выцепить из ответа DNS поле Description секции Answers?

 

К примеру, запрос в DNS - "дай мне A для www.ru"

если запускать

 tshark -R "dns.resp.name"

, в ответ вижу

 
15.838484 ip.ip.ip.ip -> ip.ip.ip.ip DNS Standard query response A 194.87.0.50

А хотелось бы видеть в результате и запрашиваемое имя, и возвращаемый ответ, как это выглядит в поле Description секции Answers:

www.ru: type A, class IN, addr 194.87.0.50

Как?

 

# tshark -v

TShark 1.2.7

 

Edited by Serhio Go

Share this post


Link to post
Share on other sites

Или подскажите плз другой способ решения.

В конце концов нужно получить текстовый файл с ответами DNS-сервера на запросы A? (один запрос - одна строка), в которых фигурировали бы оба компонента А записи - и доменное имя, и IP-адрес.

Edited by Serhio Go

Share this post


Link to post
Share on other sites
Или подскажите плз другой способ решения.

В конце концов нужно получить текстовый файл с ответами DNS-сервера на запросы A? (один запрос - одна строка), в которых фигурировали бы оба компонента А записи - и доменное имя, и IP-адрес.

# Запускаем на нашем DNS tcpdump:
ns # tcpdump -nvvi eth0 -s0 port 53 and host myworkstation

# С рабочей станции, которую мы указали в фильтре, формируем запрос (man host, nslookup):
myworkstation $ ping xxx.ru

# Получаем вывод tcpdump на DNS:
18:38:38.989132 IP (tos 0x0, ttl 62, id 4024, offset 0, flags [DF], proto UDP (17), length 52)
   213.148.160.88.57268 > 213.148.161.1.53: [udp sum ok] 40650+ A? xxx.ru. (24)
18:38:39.008111 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 68)
   213.148.161.1.53 > 213.148.160.88.57268: [bad udp cksum 7ac8!] 40650 q: A? xxx.ru. 1/0/0 xxx.ru. A 188.127.235.68 (40)

 

Думаю про дальнейший grep и прочую ты знаешь и без меня :)

Share this post


Link to post
Share on other sites
Или подскажите плз другой способ решения.

В конце концов нужно получить текстовый файл с ответами DNS-сервера на запросы A? (один запрос - одна строка), в которых фигурировали бы оба компонента А записи - и доменное имя, и IP-адрес.

# Запускаем на нашем DNS tcpdump:
ns # tcpdump -nvvi eth0 -s0 port 53 and host myworkstation

# С рабочей станции, которую мы указали в фильтре, формируем запрос (man host, nslookup):
myworkstation $ ping xxx.ru

# Получаем вывод tcpdump на DNS:
18:38:38.989132 IP (tos 0x0, ttl 62, id 4024, offset 0, flags [DF], proto UDP (17), length 52)
   213.148.160.88.57268 > 213.148.161.1.53: [udp sum ok] 40650+ A? xxx.ru. (24)
18:38:39.008111 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 68)
   213.148.161.1.53 > 213.148.160.88.57268: [bad udp cksum 7ac8!] 40650 q: A? xxx.ru. 1/0/0 xxx.ru. A 188.127.235.68 (40)

 

Думаю про дальнейший grep и прочую ты знаешь и без меня :)

Главное - вовремя сняться со ступора :)

Спасибо, это подходит.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this