应急响应-主机IP请求恶意域名DNS告警排查

应急响应-主机IP请求恶意域名DNS告警排查

某次应急响应过程中，态势感知设备告警发现某IP存在恶意域名的请求，经初步排查，该IP为内部DNS服务器IP，此刻可以判断这个IP大概率并不是真正发起恶意请求的主机，如何才能找到真正的恶意IP呢。

最简单的方法就是在dns服务器上抓包，命令如下tcpdump -nnnve -i xxx udp port 53|grep baidu.com 其中xxx为服务器网卡的接口，如eth0 ，baidu.com 改成实际的恶意域名，等等一段时间应该就能抓到请求恶意域名的IP了，由于涉及到客户信息，就不配图了。找到对应IP后，发现是一台Windows机器，于是在该终端上安装Microsoft Network Monitor 进行抓包，只选择DNS请求

或者直接选择DNSQueryName 指定 baidu.com域名 （这里替换成要找的恶意域名即可）

耐心等待就能找到了，这里其实还有个问题就是，找不到具体是哪个进程发起的这个请求，这个的话就要用到另外一个微软自家的工具sysmon 下次再说（下次一定）。