DNS Cache Snooping en 4 líneas
Hombre que tal. Mi primer post 🙂
Una bonita manera de seguir el rastro a un gusano es el DNS Cache Snooping técnica presentada por Luis Grangeia. La API de win32 relacionada con consultas DNS nos permite hacer un cutreprograma para comprobar lo explicado en el paper, en unas pocas líneas. El último parámetro, documentado como reservado por Microsoft, es usado como puntero (en el caso de que no sea null) a registros devueltos por el servidor DNS.
DNS_RECORD *pQueryResults, *pQueryRec;
DNS_STATUS statusDns;
IP4_ADDRESS piruli;
IP4_ARRAY pDnsArray;
PVOID pera;
piruli = inet_addr(«127.0.0.1»);
pDnsArray.AddrArray[0]=piruli;
pDnsArray.AddrCount=1;
statusDns = DnsQuery_A(DnsServer,DNS_TYPE_A,
DNS_QUERY_RETURN_MESSAGE|
DNS_QUERY_NO_RECURSION,
&pDnsArray,&pQueryResults,&pera);
Un saludo,
– Rubén.