Warum zeigt Wireshark keine DNS-Antworten an?
- Einführung
- Grundlegende Funktionsweise von DNS und Wireshark
- Warum keine DNS-Antworten sichtbar sind
- Fazit
Einführung
Wireshark ist ein leistungsfähiges Netzwerk-Analysewerkzeug, das verwendet wird, um Netzwerkpakete mitzuschneiden und zu analysieren.
Insbesondere bei der Untersuchung von DNS-Verkehr (Domain Name System) kann es vorkommen, dass nur DNS-Anfragen sichtbar sind,
aber keine DNS-Antworten erscheinen. Dieses Phänomen lässt sich auf verschiedene technische sowie konfigurationsbedingte Gründe zurückführen.
Grundlegende Funktionsweise von DNS und Wireshark
DNS arbeitet typischerweise über UDP auf Port 53 und besteht aus Anfragen, die von einem Client an einen DNS-Server gesendet werden,
sowie aus Antworten, die der DNS-Server zurückgibt. Wireshark kann grundsätzlich alle Pakete erfassen, die am Interface vorbeifließen,
Warum keine DNS-Antworten sichtbar sind
Einer der häufigsten Gründe, warum in Wireshark keine DNS-Antworten angezeigt werden, ist, dass die Pakete möglicherweise auf einem anderen Netzwerksegment
oder Interface übertragen werden, das von Wireshark nicht korrekt überwacht wird. Wenn zum Beispiel nur der ausgehende Datenverkehr am Client-Interface
erfasst wird und die Antwortpakete eine andere Route nehmen oder auf einem anderen Interface ankommen, sieht Wireshark diese nicht.
Ein weiterer wichtiger Punkt ist die Verwendung von DNS über TCP oder verschlüsseltem DNS wie DNS over TLS (DoT) oder DNS over HTTPS (DoH).
In solchen Fällen sind die DNS-Antworten nicht mehr im Klartext auf Port 53 zu sehen und können daher nicht als klassische DNS-Antworten erkannt werden.
Zudem können Filtereinstellungen in Wireshark dazu führen, dass DNS-Antworten ausgeblendet werden. Oft wird ein Filter verwendet,
der nur auf DNS-Anfragen (etwa durch "dns.flags.response == 0") eingestellt ist, wodurch automatisch die Antworten (mit dem Wert 1) nicht angezeigt werden.
In einigen Fällen sind DNS-Antworten fragmentiert oder durch Firewall-Regeln blockiert bzw. anders geroutet, was ebenfalls dazu führt,
dass sie im Mitschnitt fehlen. Auch Netzwerk-Switches können den Datenverkehr so handhaben, dass nicht alle Pakete an das Überwachungsgerät (Promiscuous Mode) weitergeleitet werden.
Fazit
Das Fehlen von DNS-Antworten in Wireshark ist meist auf Probleme bei der Paketerfassung, Filtereinstellungen, unterschiedliche Übertragungswege oder verschlüsselte DNS-Protokolle zurückzuführen.
Um DNS-Antworten zu sehen, sollte sichergestellt werden, dass das richtige Interface überwacht wird, keine restriktiven Filter gesetzt sind und die eingesetzten DNS-Protokolle im Klartext vorliegen.
Zusätzlich ist es wichtig, dass das Netzwerk-Setup es erlaubt, Antwortpakete am Capture-Standort abzufangen.