Como saber que DNS utiliza un nodo ?

Iniciado por virtualedu, 11 Marzo 2015, 13:29 PM

0 Miembros y 2 Visitantes están viendo este tema.

virtualedu

Hola, que tal, quisiera saber si existe alguna forma de saber que DNS esta usando un nodo dentro de una red LAN, sin tenen acceso fisico al pc obviamente
Ya que aunque los DNS se dejen predefinidos en los PCs, de todas formas también se pueden cambiar por otros como los de google


MinusFour

Tendrias que sniffear los paquetes, el puerto 53 TCP/UDP para ser mas exactos. De ahi es cuestion de revisar la ip destino, si no es la ip del server local pues estan usando otro dns.

el-brujo

Si, opino lo mismo.

Tendrás que monitorizar sólo el tráfico UDP 53 (usando filtros) para ver las consultas y respuestas DNS que se realizan.

Ejemplo con Wireshark en modo consola (thsark):

tshark udp port 53 -b filesize:100000 -a files:250 -w /tmp/traffic.pcap &


virtualedu

#4
Hola soy yo de nuevo, tengo una duda con el Wireshark
Cuando pongo un filto para que monitoree una ip, me monitorea otras que nada que ver, y ademas siempre en Protocol me arroja lo mismo, con o sin filtros.
La primera vez que lo ejecute sin filtros me escaneaba todo, ahora como que se quedo pegado en alguna configuración

http://sia1.subirimagenes.net/img/2015/03/23/150323044644529716.jpg

Que estoy haciendo mal? :-\

MinusFour

Cita de: virtualedu en 23 Marzo 2015, 16:47 PM
Hola soy yo de nuevo, tengo una duda con el Wireshark
Cuando pongo un filto para que monitoree una ip, me monitorea otras que nada que ver, y ademas siempre en Protocol me arroja lo mismo, con o sin filtros.
La primera vez que lo ejecute sin filtros me escaneaba todo, ahora como que se quedo pegado en alguna configuración

http://sia1.subirimagenes.net/img/2015/03/23/150323044644529716.jpg

Que estoy haciendo mal? :-\

No es relevante al tema, seria mejor que abrieras otro... No estoy muy seguro si el filtro de addr deba funcionar asi, yo por lo general uso ip.src o ip.dst:

Mis dns queries a google: