UJP - 技術情報1

Life is fun and easy!
不正IP報告数

Okan Sensor
Home Information Service Tech(Free) Tech(Member) Blog FAQ
 
メイン
ログイン

ユーザー名:


パスワード:





パスワード再発行手続き  |無料会員入会手続へ...
ブログ カテゴリ一覧
tcpdumpでDNSリクエストをモニタリングする on Mojave

tcpdumpでDNSリクエストをモニタリングする on Mojave

更新履歴

  • 2021.04.14

はじめに

  • このドキュメントでは,tcpdumpコマンドを使って,Mac上で行われているDNSリクエストを調査する.
  • tcpdumpは,最初から入っているかな?
  • 利用したのは,macOS Mojave.

監視の開始

  • 以下のコマンドを実行.

$ sudo tcpdump -n -i any dst port 53🆑

  • digコマンドでDNSリクエストを実行.

 $ dig www.apple.com🆑

; <<>> DiG 9.10.6 <<>> www.apple.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: FORMERR, id: 29984
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; WARNING: EDNS query returned status FORMERR - retry with '+noedns'

;; QUESTION SECTION:
;www.apple.com.            IN    A

;; Query time: 2 msec
;; SERVER: 192.168.99.1#53(192.168.20.1)
;; WHEN: Wed Apr 14 11:48:52 JST 2021
;; MSG SIZE  rcvd: 31

$

  • tcpdumpのログを確認.

$ sudo tcpdump -n -i any dst port 53🆑
tcpdump: data link type PKTAP
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type PKTAP (Apple DLT_PKTAP), capture size 262144 bytes
11:48:32.022869 IP 192.168.99.34.65533 > 192.168.99.1.53: 4505+ AAAA? self.events.data.microsoft.com. (48)
11:48:32.023238 IP 192.168.99.34.53035 > 192.168.99.1.53: 22502+ A? self.events.data.microsoft.com. (48)
11:48:32.034118 IP 192.168.99.34.65533 > 192.168.99.1.53: 4505+ AAAA? skypedataprdcoleus14.cloudapp.net. (51)
11:48:32.034149 IP 192.168.99.34.53035 > 192.168.99.1.53: 22502+ A? skypedataprdcoleus14.cloudapp.net. (51)
11:48:52.355383 IP 192.168.99.34.60860 > 192.168.99.1.53: 29984+ [1au] A? www.apple.com. (42)🈁
11:49:15.765275 IP 192.168.99.34.43917 > 192.168.99.1.53: 11187+ A? merchandise.opera-api.com. (43)
11:49:15.765411 IP 192.168.99.34.3914 > 192.168.99.1.53: 37305+ AAAA? merchandise.opera-api.com. (43)
11:49:45.366843 IP 192.168.99.34.53505 > 192.168.99.1.53: 8961+ AAAA? www.deepl.com. (31)
11:49:45.366976 IP 192.168.99.34.58252 > 192.168.99.1.53: 41578+ A? www.deepl.com. (31)
11:49:45.393241 IP 192.168.99.34.53505 > 192.168.99.1.53: 8961+ AAAA? ff8d28cacfe549d280afa21886239fe4.pacloudflare.com. (67)

  • 192.168.99.34がダンプしているMacで,192.168.99.1がルータ(DNSサーバのフォワーダ)
  • よくわからないDNSリクエストもでているなぁ...
広告スペース
Google