Essa é a melhor resposta, pois não podemos ter certeza de que o OP (ou outros leitores) tenha acesso ao servidor DNS - apenas sua máquina local. Para responder à pergunta de @ e-sushi, use um tcpdump usando o utilitário (consulte a página de manual ou uma boa cartilha com exemplos ). Sua melhor aposta é despejar em um arquivo e puxar esses dados para o wireshark para revisão e análise.
Pode não selecionar a interface de rede de saída por padrão, então você precisa de um pouco mais: tcpdump --list-interfaces, tcpdump udp port 53 --interface (pickone). Considere também a verbosidade:-vv
nobar
9
A maneira mais fácil é instalar o Bind localmente. A maioria das distribuições padrão de instalação do Bind será somente em cache não autoritativo.
Simplesmente adicione um logging {}bloco de configuração (conforme descrito na Referência de configuração do Bind 9 ) e defina seu sistema para usar 127.0.0.1ou ::1como o resolvedor de DNS.
Dado o tamanho da ligação e seu registro de segurança sem brilho, acho que muitas pessoas hesitariam em instalar algo assim com o único objetivo de registrar.
Jw013 23/07/12
não vincula tem o problema de que os servidores de nomes no /etc/resolv.conf não são usados, mas os servidores de nomes devem ser listados explicitamente na configuração da ligação?
Bananguin
Não. /etc/resolv.confÉ a lista de resolvedores do sistema. A configuração padrão do Bind é procurar os servidores de nomes com autoridade e perguntar a eles. Você pode encaminhar todas as solicitações para um servidor específico (ou conjunto, como seu ISP, OpenDNS ou DNS público do Google), mas não é necessário fazer isso na configuração. Eu faço isso toda hora. Não consigo nem contar o número de vezes que configurei o cache apenas de servidores de nomes.
bahamat
6
O dnsmasq é muito mais fácil de configurar como um agregador / cache de DNS daemon do que o BIND e, para esse propósito, o desempenho pode ser apenas melhor. Se você ativar o log para "debug", todas as perguntas e respostas aparecerão no que syslogfor configurado para mensagens de debug.
O Dnsmasq também facilita a eliminação de anunciantes abusivos e a privacidade do imbecil que invade rastejamentos "analíticos", aliasando domínios inteiros para 127.0.0.1
Se bem me lembro, o Snort pode monitorar seletivamente o tráfego com base nas regras definidas pelo usuário. No entanto, o Snort não criará logs para solicitações de DNS quando o seu computador, ou seja, seu resolvedor, puder responder à pergunta do cache.
./doc/How-it-works.txttcpdump udp port 53tcpdump --list-interfaces,tcpdump udp port 53 --interface (pickone). Considere também a verbosidade:-vvA maneira mais fácil é instalar o Bind localmente. A maioria das distribuições padrão de instalação do Bind será somente em cache não autoritativo.
Simplesmente adicione um
logging {}bloco de configuração (conforme descrito na Referência de configuração do Bind 9 ) e defina seu sistema para usar127.0.0.1ou::1como o resolvedor de DNS.fonte
/etc/resolv.confÉ a lista de resolvedores do sistema. A configuração padrão do Bind é procurar os servidores de nomes com autoridade e perguntar a eles. Você pode encaminhar todas as solicitações para um servidor específico (ou conjunto, como seu ISP, OpenDNS ou DNS público do Google), mas não é necessário fazer isso na configuração. Eu faço isso toda hora. Não consigo nem contar o número de vezes que configurei o cache apenas de servidores de nomes.O dnsmasq é muito mais fácil de configurar como um agregador / cache de DNS daemon do que o BIND e, para esse propósito, o desempenho pode ser apenas melhor. Se você ativar o log para "debug", todas as perguntas e respostas aparecerão no que
syslogfor configurado para mensagens de debug.O Dnsmasq também facilita a eliminação de anunciantes abusivos e a privacidade do imbecil que invade rastejamentos "analíticos", aliasando domínios inteiros para 127.0.0.1
fonte
Se bem me lembro, o Snort pode monitorar seletivamente o tráfego com base nas regras definidas pelo usuário. No entanto, o Snort não criará logs para solicitações de DNS quando o seu computador, ou seja, seu resolvedor, puder responder à pergunta do cache.
fonte
Para mostrar e salvar em todos os
Apedidos de DNS, execute o seguinte:Exemplo de saída:
fonte