摘要:防火墙上发现dns服务器频繁访问某个恶意域名,分析下流量。

第一步

防火墙上发现异常,试图解析 4i7i.com 服务器的地址

反查病毒1.png

但是源ip是内网的dns服务器,没用参考价值,一看就是dns递归查询请求。

第二步

网上随便下载个,wireshark,然后装到dns服务器上,开启抓包。
使用 dns.count.queries 命令
反查病毒2.png

第三步

导出结果,到文本里面。注意:导出的时候必须停止抓包,不然不能导出。

反查病毒3.png

第四步

在导出的文本中搜索 4i7i.com 即可查到是哪台电脑向dns服务器发送的dns递归查询请求。

文章目录