Como filtrar TODOS os pedidos de DNS com tshark

4

Alguém sabe como eu posso filtrar solicitações de DNS em tshark que solicitam o registro ANY?
Até agora eu sou capaz de filtrar consultas DNS com:
tshark -r capture.cap -T fields -e ip.src -e ip.dst -e dns.qry.name -R "dns.flags.response eq 0"
Como eu também filtraria por QUALQUER?

    
por user2284355 30.07.2014 / 14:41

1 resposta

7

Você precisaria filtrar as consultas em que o QTYPE é * (também conhecido como ANY) (representado pelo número inteiro 255):

No WireShark ou NetMon isso seria

"dns.qry.type==255"

Portanto, para tshark , suponho que seja:

"dns.qry.type eq 255"

Você pode encontrar os valores numéricos para todos os tipos de consulta em RFC 1035 §3.2.3 "Valores QTYPE"

    
por 30.07.2014 / 14:59