Why is the Wireshark not detecting DNS packet?
i’m simulating a simple DNS Server in JAVA (using UDP). I’ve done DNS Request parsing and sending back response to the client. i’m using DIG command in shell for testing. i’ve this problem here :
In wireshark, when i start monitoring packets on Loopback , it detects DNS request and response packets as Malformed ENIP packets. I’m a beginner, please guide on how to resolve this issue. Thanks in advance.


1 Answer 1
Why is the Wireshark not detecting DNS packet?
Because you’re not using a standard DNS port, and Wireshark only recognizes DNS by port number. You’ll have to use the «Decode As. » menu item in the «Analyze» menu to tell it to decode port 2222 traffic as DNS. You will also need to disable the ENIP dissector, as it dissects traffic to and from port 2222.
Почему Wireshark не видит пакетов других устройств в сети?
Запускаю, значит, акулу (будем так называть) от имени суперюзера. Интерфейс выбираю wlan0 (им я подключен к точке доступа). Телефон тоже подключен, когда я на нем (телефоне) вводил ifconfig, то узнал, то он имеет IP 192.168.0.17 (в ноута последняя цифра — 16).
Но акула не видит ни одного пакета до/из телефона, в то время, так я с него открываю сайтики всякие. Что сделать, чтобы видеть все пакеты от/до всех устройств в сети?
Wireshark не ловит пакеты
Установил на линукс Wireshark попробовать поснифать свой трафик и поанализировать, посмотреть что оно вообще такое сниффер и какие его возможности. Насколько я знаю, если подключится к вай фай сети, то можно снифать трафик всех кто подключен к этой же сети. Так вот проблема в том что трафик который идет с моего ПК на котором и установлен Wireshark снифается без проблем, а вот когда со смартфона подключаюсь к этой же сети то трафик смартфона не перехватывает. Пробовал подключать ПК к роутеру как по кабелю так и по WI-FI, результат одинаковый. Настройки Wireshark дефолтные, там включены вообще все интерфейсы для перехвата трафика. С этой ситуации есть назревает конкретный и главный вопрос: Как снифать трафик других устройств подключенных к моей WI FI сети? И еще дополнительный вопрос о снифферах не касающийся описанной проблемы, можно ли узнать при анализе трафика какие сайты посещал пользователь сети если он использовал https протокол?

Ну ввести в настройках данные шифрования твоего WiFi
Не, дело не в этом.
2ТС: скорее всего, если сетевая карта не в режиме мастера, то трафик не получится увидеть. Попробуй тулзы типа aircrack-ng, может они подойдут лучше.
И при подключении через кабель точно ничего не увидишь.

скорее всего, если сетевая карта не в режиме мастера, то трафик не получится увидеть
А ну это само собой. Интерфейс мониторинга (например mon0) должен быть. Иначе же смотреть нечего и никак 😀
Анализ перехваченных пакетов dns или udp
В части 3 вам необходимо будет изучить пакеты UDP, созданные при обмене данными с DNS-сервером для IP-адресов www.google.com.
Отфильтруйте dns-пакеты.
В главном окне программы Wireshark введите dns в поле Filter (Фильтр). Нажмите Apply (Применить).
Примечание. Если после применения фильтра DNS вы не видите никаких результатов, закройте веб-обозреватель. В окне терминала введите ping www.google.com в качестве альтернативы браузеру.

На панели списка захваченных пакетов (верхний раздел) в главном окне программы найдите пакет с информацией Standard query (Стандартный запрос) и A www.google.com. В качестве примера посмотрите кадр 22 выше.
Изучение полей в пакете запроса dns.
Поля протокола, выделенные серым, отображаются на панели сведений о пакетах (средний раздел) главного окна.
Как показано в первой строке на панели сведений о пакетах, кадр 22 содержал 74 байта данных во время передачи. Это число байтов, потребовавшееся для отправки DNS-запроса на именованный сервер, запросивший IP-адреса сайта www.google.com. Если используется другой веб-адрес, например www.cisco.com, количество байтов может быть иным.
Строка Ethernet II содержит МАС-адреса источника и места назначения. MAC-адрес источника принадлежит вашей ВМ как источнику DNS-запроса. MAC-адрес назначения — это шлюз по умолчанию, поскольку это последняя остановка перед выходом запроса из локальной сети.
Совпадает ли MAC-адрес источника с адресом, записанным в части 1 для ВМ?
В строке Internet Protocol Version 4 перехваченные программой Wireshark данные IP-пакета показывают, что IP-адрес источника данного DNS-запроса — 192.168.1.19, а IP-адрес назначения — 192.168.1.1. В данном примере адрес назначения — это шлюз по умолчанию. В данной сети шлюзом по умолчанию является маршрутизатор.
Можете ли вы указать IP-адрес и МАС-адрес для устройств источника и назначения?
192.168.100.50
08:00:27:0е:8b:4c
Шлюз по умолчанию
IP-пакет и заголовок инкапсулируют сегмент UDP. Сегмент UDP содержит DNS-запрос в виде данных.
Щ
елкните стрелку рядом с протоколом пользовательских датаграмм, чтобы просмотреть сведения. Заголовок UDP имеет только четыре поля: порт источника, порт назначения, длина и контрольная сумма. Как показано ниже, длина каждого поля в заголовке UDP составляет всего 16 бит.
Щ
елкните стрелку рядом с протоколом пользовательских датаграмм, чтобы просмотреть сведения. Обратите внимание на то, что отображаются всего четыре поля. Номер порта источника в данном примере — 39964. Порт источника был случайным образом сформирован ВМ с использованием незарезервированных номеров портов. Порт назначения — 53. Порт 53 — это хорошо известный порт, зарезервированный для использования с DNS. DNS-серверы прослушивают порт 53 для получения DNS-запросов от клиентов.
В данном примере длина сегмента UDP составляет 40 байт. Длина сегмента UDP в данном примере может быть иной. 8 из 40 байт используются в качестве заголовка. Остальные 32 байта используются данными DNS-запроса. На следующем рисунке показаны 32 байта данных DNS-з
апроса на панели отображения байтов пакета (нижний раздел) главного окна Wireshark.
Контрольная сумма используется для определения целостности заголовка UDP после его передачи через Интернет.
Заголовок UDP несет мало служебной информации, поскольку протокол UDP не имеет полей, связанных с трехсторонним квитированием в протоколе TCP. Любые проблемы с надежностью передачи данных должны решаться на уровне приложений.
Запишите результаты захвата данных программой Wireshark в приведенную ниже таблицу.