저는 CS 학생이고 현재 정보 보안에 대한 (기본) 과정을 수강하고 있습니다. 나는 Wireshark를 사용하여 주어진 .pcap 파일을 분석하고 호스트의 IP 주소, 브라우저, 라우터의 MAC 주소 등에 대한 정보를 얻어야 하는 과제를 받았습니다. 질문 중 하나는 DNS 서버의 IP 주소를 결정해야 했습니다. 호스트가 사용하지만 어떻게 해야 할지 모르겠습니다. 자신의 라우터에서 사용하는 DNS 서버의 IP 주소를 찾는 방법을 알려주는 웹사이트를 본 적이 있지만, 다른 사람이 사용하는 DNS 서버의 IP 주소를 찾는 방법은 우리가 그 사람의 MAC 주소를 알고 있다는 점입니다. 그 사람 라우터?
답변1
대상 호스트의 트래픽 pcap이 있는 경우 DNS 포트(TCP/UDP 53)에서 대상 IP에 대한 열린 연결을 찾아 DNS 서버의 IP 주소를 확인할 수 있다고 가정합니다.
답변2
DNS 트래픽에 필터를 사용하면 됩니다. 클라이언트 IP를 대상으로 하는 DNS 서버의 응답을 찾으세요. 예를 들어 dns and ip.dst==1.2.3.4(여기는 1.2.3.4클라이언트의 IP 주소로 바꿔야 합니다) 와 같은 것을 시도해 볼 수 있습니다 .
답변3
Wireshark는 MAC 주소도 확인합니다. 귀하가 선택하는 도구 옵션입니다. 위에서 설명한 대로 기본 DNS 포트에서 실행 중인 트래픽을 추가로 찾아보세요. 프로토콜 대화를 볼 수도 있습니다.