TWPCAP：DNSで検索している名前をログに出力できるようにした

今朝は５時前に猫に起こしてもらいました。猫が起こしてくれたのは３日ぶりです。
パケットキャプチャーでネットワークの情報を集めるTWPCAPの開発の続きです。昨日IPアドレスとMACアドレスの関係を調べる機能を作りました。今朝、取得しているパケットを眺めていると不明なEther Typeのパケットをみつけました。gopcacketのライブラリでデコードエラーになっていました。
タイプは、0x8899です。Googleさんに聞いてみると、

『Ethernetフレームタイプ番号 0x8899』

がありました。確かにBuffaloのHUB付き無線ルータを使ってました。
この調査からEtherType別に集計するというアイデアを思いつきました。
早速作ってみました。

type=EtherType,0x86dd=181,0x8899=30,0x0806=52,0x0800=73276

というようなログを定期的に送信するようにしました。IPv6とIPv4の割合の変化や未知のEtherTypeを検知できるかもしれません。この開発は、

EtherType別の集計を追加 · twsnmp/twpcap@7c79e5f

です。
その後、念願のDNSで検索している名前をログに出力できるようにしました。

type=DNS,DNSType=A,Name=mail.twise.co.jp,count=2,change=1,lastIP=240d:2:6306:6700:225:36ff:feab:7753,lastMAC=00:25:36:ab:77:53,ft=2021-07-10T10:54:14+09:00,lt=2021-07-10T10:54:14+09:00

のような感じです。この例では、mail.twise.co.jpのIPアドレスを検索した端末と回数が記録されています。
DNSの名前検索をモニタすれば、どの端末がどこと通信しようとしているわかります。マルウェアに感染した端末の通信先を調べるなどセキュリティー分野でかなり効果のある情報です。この開発は、

DNS縺ョ蝠上＞蜷医ｏ縺帶ュ蝣ア繧偵Δ繝九ち蜿ッ閭ス縺ォ縺励◆ ツキ twsnmp/twpcap@734e89b

いちおうDocker版を公開しました。

Docker Hub

説明とか書いていません。

# docker run --rm twsnmp/twpcap -h
Usage of /twpcap:
 -cpuprofile file
   	write cpu profile to file
 -iface string
   	monitor interface
 -interval int
   	syslog send interval(sec) (default 300)
 -list
   	list interface
 -memprofile file
   	write memory profile to file
 -retention int
   	data retention time(sec) (default 3600)
 -syslog string
   	syslog destnation lisｔ
   
  

のように起動できます。
Linux上のDocker環境ならば、

# docker run --net host --rm twsnmp/twpcap -iface enp2s0 -syslog 192.168.1.13

のような感じで起動できると思います。

他のプロトコルにも拡張して行きたいのですが、今日はここまで、
明日に続く