Jump to content

tshark - выцепить секцию из ответа DNS

Serhio Go
 Share

Recommended Posts

Serhio Go

Serhio Go

Posted
Posted (edited)

Всем доброе время суток!

 

Подскажите плз как с помощью tshark выцепить из ответа DNS поле Description секции Answers?

 

К примеру, запрос в DNS - "дай мне A для www.ru"

если запускать 

 tshark -R "dns.resp.name"

, в ответ вижу

 
15.838484 ip.ip.ip.ip -> ip.ip.ip.ip DNS Standard query response A 194.87.0.50

А хотелось бы видеть в результате и запрашиваемое имя, и возвращаемый ответ, как это выглядит в поле Description секции Answers:

www.ru: type A, class IN, addr 194.87.0.50

Как?

 

# tshark -v

TShark 1.2.7

 

Edited by Serhio Go
Serhio Go

Serhio Go

Posted
  • Author
Posted (edited)

Или подскажите плз другой способ решения.

В конце концов нужно получить текстовый файл с ответами DNS-сервера на запросы A? (один запрос - одна строка), в которых фигурировали бы оба компонента А записи - и доменное имя, и IP-адрес.

Edited by Serhio Go
RushOnline

RushOnline

Posted
Posted
Или подскажите плз другой способ решения.

В конце концов нужно получить текстовый файл с ответами DNS-сервера на запросы A? (один запрос - одна строка), в которых фигурировали бы оба компонента А записи - и доменное имя, и IP-адрес.

# Запускаем на нашем DNS tcpdump:
ns # tcpdump -nvvi eth0 -s0 port 53 and host myworkstation

# С рабочей станции, которую мы указали в фильтре, формируем запрос (man host, nslookup):
myworkstation $ ping xxx.ru

# Получаем вывод tcpdump на DNS:
18:38:38.989132 IP (tos 0x0, ttl 62, id 4024, offset 0, flags [DF], proto UDP (17), length 52)
   213.148.160.88.57268 > 213.148.161.1.53: [udp sum ok] 40650+ A? xxx.ru. (24)
18:38:39.008111 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 68)
   213.148.161.1.53 > 213.148.160.88.57268: [bad udp cksum 7ac8!] 40650 q: A? xxx.ru. 1/0/0 xxx.ru. A 188.127.235.68 (40)

 

Думаю про дальнейший grep и прочую ты знаешь и без меня :)

Serhio Go

Serhio Go

Posted
  • Author
Posted
Или подскажите плз другой способ решения.

В конце концов нужно получить текстовый файл с ответами DNS-сервера на запросы A? (один запрос - одна строка), в которых фигурировали бы оба компонента А записи - и доменное имя, и IP-адрес.

# Запускаем на нашем DNS tcpdump:
ns # tcpdump -nvvi eth0 -s0 port 53 and host myworkstation

# С рабочей станции, которую мы указали в фильтре, формируем запрос (man host, nslookup):
myworkstation $ ping xxx.ru

# Получаем вывод tcpdump на DNS:
18:38:38.989132 IP (tos 0x0, ttl 62, id 4024, offset 0, flags [DF], proto UDP (17), length 52)
   213.148.160.88.57268 > 213.148.161.1.53: [udp sum ok] 40650+ A? xxx.ru. (24)
18:38:39.008111 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 68)
   213.148.161.1.53 > 213.148.160.88.57268: [bad udp cksum 7ac8!] 40650 q: A? xxx.ru. 1/0/0 xxx.ru. A 188.127.235.68 (40)

 

Думаю про дальнейший grep и прочую ты знаешь и без меня :)

Главное - вовремя сняться со ступора :)

Спасибо, это подходит.

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.