Кто-нибудь знает, как я могу фильтровать DNS-запросы в tshark, которые запрашивают ЛЮБУЮ запись?
Пока я могу фильтровать DNS-запросы с помощью:
tshark -r capture.cap -T fields -e ip.src -e ip.dst -e dns.qry.name -R "dns.flags.response eq 0"
Как мне также отфильтровать по ЛЮБОМУ?
Вам нужно будет отфильтровать запросы, где QTYPE - * (также известный как ANY) (представленный целым числом 255):
В WireShark или NetMon это будет
"dns.qry.type==255"
Таким образом, для tshark Я предполагаю, что это будет:
"dns.qry.type eq 255"
Вы можете найти числовые значения для всех типов запросов в RFC 1035 §3.2.3 «Значения QTYPE»