Як ловити dns пакети

Коли користувач набирає в браузері доменне ім`я ресурсу, інформація про нього по протоколу UDP відправляється на DNS-сервер. Сервер шукає в своїй базі IP-адресу, що відповідає домену, знаходить його і повертає браузеру. Після цього браузер з`єднується зі знайденим IP-адресою. Таким чином, DNS-сервер виступає в якості своєрідного адресного бюро, забезпечуючи зіставлення доменів і IP-адрес.

У даної схеми є один недолік: вона досить вразлива. А саме, DNS-пакет має досить ущербні засоби ідентифікації, на відміну від TCP-пакета. Це означає, що такий пакет може бути підмінений іншим. В результаті нічого не підозрюючи користувач набирає одну адресу, а потрапляє на зовсім інший. Знання механізму перехоплення дозволяє робити і заходи протидії йому, підвищуючи безпеку користування інтернетом.

Так як перехоплення і аналіз чужих DNS-пакетів є незаконною дією, тренуватися найкраще на своєму комп`ютері. Для аналізу трафіку вам знадобиться чудова програма Wireshark, ви можете завантажити її з сайту виробника. Завантаживши програму, встановіть її і запустіть. У меню знайдіть пункт Capture - Interfaces. З`явиться віконце з інформацією про вашу мережевої карти. Поставте галочку в лівому кутку і натисніть кнопку Start.

Ви запустили аналіз мережевого трафіку. Відкрийте браузер і перейдіть по якомусь адресою. У вікні програми Wireshark ви побачите список всіх пакетів із зазначенням їх протоколів. Для зручності рядки виділені різними кольорами. DNS-пакети будуть відзначені блакитним кольором. Клацніть мишкою рядок будь-якого пакета - в нижній частині екрана з`явиться інформація про нього, а також його вміст в 16-річної кодуванні. Ви можете аналізувати цей пакет, змінювати, доповнювати і т.д. Для зупинки аналізу трафіку знову відкрийте Capture - Interfaces і натисніть кнопку Stop.