@kizijo

Как отследить сетевые запросы программы в linux (отлов DNS утечек)?

Добрый день.

Некоторые программы в моем Debian настроены на работу через SOCKS5 proxy.
Как я могу узнать с какого адреса они делают DNS запросы (тоже через прокси или напрямую)?

Заранее спасибо.

UPD.

Был поставлен wireshark и через него попытался найти запросы на 53 порт, но там пусто. Уточню, что у меня два сетевых интерфейса: wlp60s0 и tun0 (VPN).

Судя по wireshark:

Весь трафик на wlp60s0 ходит от 192.168... до VPN сервера и обратно.
На интерфейсе tun0 уже куча всяких разных адресов в dest и src, но там тоже вообще нет запросов на 53 порт. Использовал фильтр udp.port == 53 || tcp.port == 53
  • Вопрос задан
  • 241 просмотр
Решения вопроса 1
@armodim
tcpdump -i wlp60s0 udp port 53 > dns_wifi.txt

Идете и тыкаете в свои программы, которые работают у вас через сокс5.
Останавливаете tcpdump. И изучайте файл dns.txt
То же самое
tcpdump -i tun0 udp port 53 > dns_tun0.txt
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
Zoominger
@Zoominger
Сись админ
Через Wireshark смотрите, с какого IP идут запросы на 53 порт.
Ответ написан
d4mk0f
@d4mk0f
Старость - не страшно, а PHP - не смертельно.
Установите wireshark
sudo apt-get install tshark

Запустите её с фильтром по порту 53
sudo tshark port 53

Проанализируйте лог
1 0.000000000 ВАШ_ИП_СЕРВЕРАИП_АДРЕС_DNS_ИЛИ_ПРОКСИ


Если ИП_АДРЕС_DNS_ИЛИ_ПРОКСИ равен адресу вашего прокси сервера - получается трафик гуляет через прокси. Если там фигурирует адрес DNS сервера - трафик идёт напрямую.
Ответ написан
fara_ib
@fara_ib
А какой впн у вас? Если openvpn добавить в файл конфигурации block-outside-dns и все пойдет через впн ваш на том конце и все :)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы