Aufgabe 2 – DNS-Analyse

Ziel

Du analysierst den DNS-Traffic und suchst nach verdächtigen Mustern wie ungewöhnlichen Domains oder regelmässigen Anfragen.

Dauer: 15 Minuten

---

Vorbereitung

Setze in Wireshark den Filter:

dns

Tipp

Nach dem Setzen des Filters siehst du nur noch DNS-Pakete. Drücke Enter oder klicke den Pfeil, um den Filter anzuwenden.

---

Aufgaben

2.1 Domains identifizieren

Frage: Welche Domains werden aufgelöst?

1. Filtere nach DNS (dns)
2. Schau in die Spalte “Info” – dort siehst du die angefragten Domains
3. Notiere alle Domains, die du findest

---

2.2 Verdächtige Domains

Frage: Gibt es Domains, die “zufällig” oder verdächtig aussehen?

Achte auf:

• Domains mit zufälligen Zeichenketten (z.B. x7k2m9.example.com)
• Unbekannte oder seltsam klingende Domain-Namen
• Domains, die versuchen, legitim zu wirken

Hinweis

DGA (Domain Generation Algorithm): Manche Malware generiert zufällige Domains, um Detection zu erschweren. Diese sehen oft aus wie Buchstabensalat.

---

2.3 DNS-Antworten

Frage: Welche IP-Adressen werden für die Domains zurückgegeben?

1. Schau dir die DNS-Response-Pakete an
2. Im Detail-Bereich unter “Answers” findest du die aufgelösten IPs

---

2.4 Zeitliche Muster

Frage: Gibt es wiederholte DNS-Anfragen in festen Intervallen?

Tipp

Ändere das Zeitformat: View → Time Display Format → Seconds Since Beginning of Capture

So kannst du die Abstände zwischen den Anfragen besser erkennen.

Prüfe:

• Werden die gleichen Domains mehrfach angefragt?
• In welchen Abständen?
• Sieht das nach einem automatischen Prozess aus?

---

Für deinen Bericht

• Welche Domains werden aufgelöst?
• Gibt es Domains, die “zufällig” aussehen (DGA)?
• Welche IP-Adressen werden zurückgegeben?
• Gibt es wiederholte DNS-Anfragen in festen Intervallen?

---