Foro de elhacker.net

Comunicaciones => Redes => Mensaje iniciado por: virtualedu en 11 Marzo 2015, 13:29 pm


Título: Como saber que DNS utiliza un nodo ?
Publicado por: virtualedu en 11 Marzo 2015, 13:29 pm
Hola, que tal, quisiera saber si existe alguna forma de saber que DNS esta usando un nodo dentro de una red LAN, sin tenen acceso fisico al pc obviamente
Ya que aunque los DNS se dejen predefinidos en los PCs, de todas formas también se pueden cambiar por otros como los de google


Título: Re: Como saber que DNS utiliza un nodo ?
Publicado por: MinusFour en 11 Marzo 2015, 16:29 pm
Tendrias que sniffear los paquetes, el puerto 53 TCP/UDP para ser mas exactos. De ahi es cuestion de revisar la ip destino, si no es la ip del server local pues estan usando otro dns.

Título: Re: Como saber que DNS utiliza un nodo ?
Publicado por: el-brujo en 11 Marzo 2015, 18:24 pm
Si, opino lo mismo.

Tendrás que monitorizar sólo el tráfico UDP 53 (usando filtros) para ver las consultas y respuestas DNS que se realizan.

Ejemplo con Wireshark en modo consola (thsark):

Código:
tshark udp port 53 -b filesize:100000 -a files:250 -w /tmp/traffic.pcap &

Título: Re: Como saber que DNS utiliza un nodo ?
Publicado por: virtualedu en 12 Marzo 2015, 16:52 pm
Gracias  ;-)

Título: Re: Como saber que DNS utiliza un nodo ?
Publicado por: virtualedu en 23 Marzo 2015, 16:47 pm
Hola soy yo de nuevo, tengo una duda con el Wireshark
Cuando pongo un filto para que monitoree una ip, me monitorea otras que nada que ver, y ademas siempre en Protocol me arroja lo mismo, con o sin filtros.
La primera vez que lo ejecute sin filtros me escaneaba todo, ahora como que se quedo pegado en alguna configuración

http://sia1.subirimagenes.net/img/2015/03/23/150323044644529716.jpg

Que estoy haciendo mal? :-\

Título: Re: Como saber que DNS utiliza un nodo ?
Publicado por: MinusFour en 23 Marzo 2015, 17:16 pm
Cita de: virtualedu en 23 Marzo 2015, 16:47 pm
Hola soy yo de nuevo, tengo una duda con el Wireshark
Cuando pongo un filto para que monitoree una ip, me monitorea otras que nada que ver, y ademas siempre en Protocol me arroja lo mismo, con o sin filtros.
La primera vez que lo ejecute sin filtros me escaneaba todo, ahora como que se quedo pegado en alguna configuración

http://sia1.subirimagenes.net/img/2015/03/23/150323044644529716.jpg

Que estoy haciendo mal? :-\

No es relevante al tema, seria mejor que abrieras otro... No estoy muy seguro si el filtro de addr deba funcionar asi, yo por lo general uso ip.src o ip.dst:

Mis dns queries a google:

(http://i.imgur.com/RaJgQjb.png)


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines