本文最后更新于 2023-08-12,文章内容可能已经过时。

应急响应-主机IP请求恶意域名DNS告警排查

某次应急响应过程中,态势感知设备告警发现某IP存在恶意域名的请求,经初步排查,该IP为内部DNS服务器IP,此刻可以判断这个IP大概率并不是真正发起恶意请求的主机,如何才能找到真正的恶意IP呢。

最简单的方法就是在dns服务器上抓包,命令如下tcpdump -nnnve -i xxx udp port 53|grep baidu.com 其中xxx为服务器网卡的接口,如eth0 baidu.com 改成实际的恶意域名,等等一段时间应该就能抓到请求恶意域名的IP了,由于涉及到客户信息,就不配图了。找到对应IP后,发现是一台Windows机器,于是在该终端上安装Microsoft Network Monitor 进行抓包,只选择DNS请求

20230812050834.png

或者直接选择DNSQueryName 指定 baidu.com域名 (这里替换成要找的恶意域名即可)

20230812052336.png耐心等待就能找到了,这里其实还有个问题就是,找不到具体是哪个进程发起的这个请求,这个的话就要用到另外一个微软自家的工具sysmon 下次再说(下次一定)。