Я студент факультета компьютерных наук и в настоящее время прохожу (базовый) курс по информационной безопасности. Мне дали задание, которое требовало от меня проанализировать заданный файл .pcap с помощью Wireshark и получить информацию об IP-адресе хоста, браузере, MAC-адресе маршрутизатора и т. д. Один из вопросов требовал от меня определить IP-адрес DNS-сервера, который использует хост, но я не уверен, как это сделать. Я видел веб-сайты, на которых рассказывается, как найти IP-адрес DNS-сервера, используемого вашим собственным маршрутизатором, но как узнать IP-адрес DNS-сервера, используемого другим человеком, если мы знаем MAC-адрес его маршрутизатора?
решение1
Я предполагаю, что если у вас есть pcap трафика с целевого хоста, вы можете определить IP-адрес DNS-сервера, поискав открытые соединения с целевым IP-адресом на порту DNS (TCP/UDP 53).
решение2
Просто используйте фильтр для DNS-трафика. Ищите ответы от DNS-сервера с вашим клиентским IP в качестве назначения. Например, вы можете попробовать что-то вроде dns and ip.dst==1.2.3.4(где 1.2.3.4следует заменить на IP-адрес вашего клиента).
решение3
Wireshark также разрешает MAC-адреса. Это опция инструмента, которую вы можете выбрать. Далее ищите трафик, как указано выше, который работает на порту DNS по умолчанию. Вы также можете просматривать разговоры протоколов.