Como registrar todas as minhas consultas DNS?

18

Como posso criar registros de todas as consultas DNS que meu computador faz junto com as respostas recebidas?


fonte

Respostas:

13

Você pode tcpdumpregistrar todas as atividades UDP e TCP da porta 53.

Aaron D. Marasco
fonte
6
Algum detalhe de como?
e-sushi
Essa é a melhor resposta, pois não podemos ter certeza de que o OP (ou outros leitores) tenha acesso ao servidor DNS - apenas sua máquina local. Para responder à pergunta de @ e-sushi, use um tcpdump usando o utilitário (consulte a página de manual ou uma boa cartilha com exemplos ). Sua melhor aposta é despejar em um arquivo e puxar esses dados para o wireshark para revisão e análise.
precisa saber é o seguinte
1
github.com/gamelinux/passivedns parece estar fazendo exatamente isso, ver./doc/How-it-works.txt
mxmlnkn
5
tcpdump udp port 53
Brannon
1
Pode não selecionar a interface de rede de saída por padrão, então você precisa de um pouco mais: tcpdump --list-interfaces, tcpdump udp port 53 --interface (pickone). Considere também a verbosidade:-vv
nobar
9

A maneira mais fácil é instalar o Bind localmente. A maioria das distribuições padrão de instalação do Bind será somente em cache não autoritativo.

Simplesmente adicione um logging {}bloco de configuração (conforme descrito na Referência de configuração do Bind 9 ) e defina seu sistema para usar 127.0.0.1ou ::1como o resolvedor de DNS.

bahamat
fonte
2
Dado o tamanho da ligação e seu registro de segurança sem brilho, acho que muitas pessoas hesitariam em instalar algo assim com o único objetivo de registrar.
Jw013 23/07/12
não vincula tem o problema de que os servidores de nomes no /etc/resolv.conf não são usados, mas os servidores de nomes devem ser listados explicitamente na configuração da ligação?
Bananguin
Não. /etc/resolv.confÉ a lista de resolvedores do sistema. A configuração padrão do Bind é procurar os servidores de nomes com autoridade e perguntar a eles. Você pode encaminhar todas as solicitações para um servidor específico (ou conjunto, como seu ISP, OpenDNS ou DNS público do Google), mas não é necessário fazer isso na configuração. Eu faço isso toda hora. Não consigo nem contar o número de vezes que configurei o cache apenas de servidores de nomes.
bahamat
6

O dnsmasq é muito mais fácil de configurar como um agregador / cache de DNS daemon do que o BIND e, para esse propósito, o desempenho pode ser apenas melhor. Se você ativar o log para "debug", todas as perguntas e respostas aparecerão no que syslogfor configurado para mensagens de debug.

O Dnsmasq também facilita a eliminação de anunciantes abusivos e a privacidade do imbecil que invade rastejamentos "analíticos", aliasando domínios inteiros para 127.0.0.1

Bruce Ediger
fonte
1

Se bem me lembro, o Snort pode monitorar seletivamente o tráfego com base nas regras definidas pelo usuário. No entanto, o Snort não criará logs para solicitações de DNS quando o seu computador, ou seja, seu resolvedor, puder responder à pergunta do cache.

Bananguin
fonte
1

Para mostrar e salvar em todos os Apedidos de DNS, execute o seguinte:

script -q -c "sudo tcpdump -l port 53 2>/dev/null | grep --line-buffered ' A? ' | cut -d' ' -f8" | tee dns.log

Exemplo de saída:

google.com.
wikipedia.org.

Vanni
fonte