Soy estudiante de informática y actualmente estoy tomando un curso (básico) en seguridad de la información. Me asignaron una tarea que requería que analizara un archivo .pcap determinado usando Wireshark y obtuviera información sobre la dirección IP del host, el navegador, la dirección MAC del enrutador, etc. Una de las preguntas requería que determinara la dirección IP del servidor DNS que usos del host, pero no estoy seguro de cómo hacerlo. He visto sitios web que le dicen cómo encontrar la dirección IP del servidor DNS utilizado por su propio enrutador, pero ¿cómo encontramos la dirección IP del servidor DNS que usa otra persona, dado que conocemos la dirección MAC de su propio enrutador? ¿Su enrutador?
Respuesta1
Supongo que si tiene un pcap de tráfico desde el host de destino, podría determinar la dirección IP del servidor DNS buscando conexiones abiertas a una IP de destino en el puerto DNS (TCP/UDP 53).
Respuesta2
Simplemente use un filtro para el tráfico DNS. Busque respuestas del servidor DNS con la IP de su cliente como destino. Por ejemplo, podrías intentar algo como dns and ip.dst==1.2.3.4(dónde 1.2.3.4debería reemplazarse con la dirección IP de tu cliente).
Respuesta3
Wireshark también resuelve direcciones MAC. Es una opción de herramienta que puedes seleccionar. Busque más tráfico como se indicó anteriormente que se esté ejecutando en el puerto DNS predeterminado. También puedes ver conversaciones de protocolo.