Software Design

Design de software em C, C++, Java, etc…

Linux: Extraindo consultas DNS de um arquivo .CAP

Você pode utilizar uma ferramenta chamada tshark (que vem junto com o wireshark) para extrair algumas informações de arquivos .cap. A dica que eu vou dar agora é como extrair as respostas DNS de um determinado .cap:


$ tshark -nr arquivo.pcap -Y "dns.flags.response == 0" -T fields -e dns.qry.name -e dns.qry | sort | uniq
http://www.reuters.com
http://www.riaa.com
http://www.roadrunnerrecords.com
http://www.rockband2.com
http://www.rockhall.com
http://www.rockonthenet.com
http://www.rollingstone.com
http://www.shacknews.com
http://www.sirius.com
http://www.sittinglittleduck.com

Simples não?

No exemplo acima eu utilizei os comandos sort e uniq para ordenar e imprimir apenas uma vez cada registro encontrado. Se você quiser a quantidade de cada registro, basta adicionar o parâmetro -c ao uniq.

Referências:

* http://www.wireshark.org/docs/man-pages/tshark.html
* http://www.justbeck.com/extracting-domain-lookups-from-a-pcap/

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Informação

Publicado às janeiro 2, 2014 por em Linux, Network, Unix e marcado , , , , .
%d blogueiros gostam disto: