Passivedns: investiga un incidente relacionado con un ataque DNS

Los servidores de nombres de dominio (DNS) pueden contener varios tipos de vulnerabilidades que permiten a un usuario malintencionado redirigir a los visitantes de un sitio web a otro de terceros. Los ataques más comunes suelen ser envenenamiento de caché o ARP spoofing y suelen ser muy efectivos en caso de que el servidor DNS no esté parcheado o fortificado.

Passivedns es una herramienta de código abierto que se puede utilizar para investigar un incidente relacionado con un ataque DNS. La herramienta permite que el analista de seguridad pueda recoger el tráfico DNS pasivamente y leerlo en forma de archivo pcap o archivos de registro. Esto ayuda a identificar la respuesta del DNS y averiguar dónde está la redirección o el problema con el servidor.

Passivedns se puede utilizar como un sniffer de paquetes estándar de DNS para monitorizar el tráfico de red y para buscar en el historial y mostrar la primera vez que se ha consultado una URL y la IP contestada por el DNS.



Los logs se van a almacenar en passivedns.log. Esto será útil para el analista de seguridad y puede ser utilizado para crear el informe relacionado con el incidente. Puedes descargar la herramienta en el siguiente enlace: https://github.com/gamelinux/passivedns

Fuente: passivedns network sniffer to log DNS query

Comentarios