摘要：防火墙上发现dns服务器频繁访问某个恶意域名，分析下流量。

第一步

防火墙上发现异常，试图解析 4i7i.com 服务器的地址

但是源ip是内网的dns服务器，没用参考价值，一看就是dns递归查询请求。

第二步

网上随便下载个，wireshark，然后装到dns服务器上，开启抓包。
使用 dns.count.queries 命令

第三步

导出结果，到文本里面。注意：导出的时候必须停止抓包，不然不能导出。

第四步

在导出的文本中搜索 4i7i.com 即可查到是哪台电脑向dns服务器发送的dns递归查询请求。

参考资料