मेरे सभी DNS प्रश्नों को कैसे लॉग करें?

18

मैं प्रत्येक DNS क्वेरी के लॉग कैसे बना सकता हूं जो मेरे कंप्यूटर को प्राप्त प्रतिक्रियाओं के साथ बनाता है?

logs dns

14

आप tcpdumpसभी पोर्ट 53 यूडीपी और टीसीपी गतिविधि लॉग इन कर सकते हैं ।

— आरोन डी। मरास्को
स्रोत

6

कैसे पर कोई विवरण?

— ई-सुशी

यह सबसे अच्छा उत्तर है क्योंकि हम यह सुनिश्चित नहीं कर सकते हैं कि ओपी (या अन्य पाठकों) की DNS सर्वर तक पहुंच हो - केवल उनकी स्थानीय मशीन। @ ई-सुशी के प्रश्न का उत्तर देने के लिए उपयोगिता का उपयोग करके एक tcpdump लें ( उदाहरण के साथ मैन पेज या एक अच्छा प्राइमर देखें )। आपकी सबसे अच्छी शर्त एक फ़ाइल को डंप करना और फिर उस डेटा को समीक्षा और विश्लेषण के लिए वायरशार्क में खींचना है ।

— जेम्स शेवी

1

github.com/gamelinux/passivedns में बस यही लगता है, देखिए./doc/How-it-works.txt

— mxmlnkn

5

tcpdump udp port 53

— ब्रांचनोन

1

यह डिफ़ॉल्ट रूप से आउटबाउंड नेटवर्क इंटरफ़ेस का चयन नहीं कर सकता है, इसलिए आपको थोड़ी अधिक आवश्यकता है: tcpdump --list-interfaces, tcpdump udp port 53 --interface (pickone)। वर्बोसिटी पर भी विचार करें:-vv

— nobar

9

सबसे आसान तरीका है स्थानीय स्तर पर बिंद को स्थापित करना। बिंद की अधिकांश डिस्ट्रॉफ डिफ़ॉल्ट स्थापना केवल गैर-ऑटोरेटिक कैशिंग होगी।

बस एक जोड़ने logging {}config ब्लॉक (में वर्णित के रूप बाइंड 9 विन्यास संदर्भ ) तो उपयोग करने के लिए आपके सिस्टम सेट 127.0.0.1या ::1DNS रिसोल्वर के रूप में।

— bahamat
स्रोत

2

यह देखते हुए कि कितना बड़ा बाँध है और इसका अभाव सुरक्षा रिकॉर्ड है, मुझे लगता है कि बहुत से लोग लॉगिंग के एकमात्र उद्देश्य के लिए ऐसा कुछ स्थापित करने में संकोच करेंगे।

— jw013

बाइंड के पास यह समस्या नहीं है कि /etc/resolv.conf में नेमसर्वर्स का उपयोग नहीं किया गया है, लेकिन बाइंड कॉन्फ़िगरेशन में नेमसर्वर्स को स्पष्ट रूप से सूचीबद्ध किया जाना चाहिए?

— बनगुंगिन

नंबर /etc/resolv.confसिस्टम रिज़ॉल्वर सूची है। बिंद का डिफ़ॉल्ट कॉन्फ़िगरेशन आधिकारिक नाम सर्वर को देखने और उनसे पूछने के लिए है। आप किसी विशिष्ट सर्वर (या अपने ISP, OpenDNS या Google सार्वजनिक DNS) के लिए सभी अनुरोधों को अग्रेषित कर सकते हैं, लेकिन यह ऐसा करने की आवश्यकता नहीं है। मेरे द्वारा हमेशा ऐसा ही किया जाता है। मैं केवल नाम सर्वर की कैशिंग स्थापित करने की संख्या को भी नहीं गिन सकता।

— १

6

dnsmasq को BIND की तुलना में DNS एग्रीगेटर / कैशिंग डेमॉन के रूप में कॉन्फ़िगर करना कहीं अधिक आसान है, और इस उद्देश्य के लिए, प्रदर्शन बेहतर हो सकता है। यदि आप लॉगिंग को "डीबग" तक करते हैं, तो syslogडिबग संदेशों के लिए जो भी कॉन्फ़िगर किया गया है उसमें सभी प्रश्न और उत्तर दिखाई देते हैं ।

Dnsmasq ने अपमानजनक विज्ञापनदाताओं से छुटकारा पाना आसान कर दिया है और पूरे डोमेन को 127.0.0.1 पर अलियास करके "एनालिटिक" ढोंगी पर हमला करने वाली गोपनीयता की गंदगी को हटा दिया है।

— ब्रूस एडिगर
स्रोत

1

यदि मुझे सही ढंग से याद है तो Snort चुनिंदा ट्रैफ़िक को उपयोगकर्ता परिभाषित नियमों के आधार पर देख सकता है। हालाँकि, Snort DNS अनुरोधों के लिए लॉग नहीं बनाएगा, जब आपका कंप्यूटर, अर्थात इसका रिज़ॉल्वर, इसके कैश से प्रश्न का उत्तर दे सकता है।

— Bananguin
स्रोत

1

सभी ADNS अनुरोधों को दर्ज करने के लिए दिखाने और सहेजने के लिए , इसे चलाएं:

script -q -c "sudo tcpdump -l port 53 2>/dev/null | grep --line-buffered ' A? ' | cut -d' ' -f8" | tee dns.log

उदाहरण आउटपुट:

Google.com।
wikipedia.org।

— Vanni
स्रोत