Come raccogliere richieste di record DNS A?

Devo registrare tutti i record in uscita Asu un PC RedHat. Ho provato a usare tcpdump:

tcpdumpdns=OUTPUT-FILENAME-HERE
nohup tcpdump -K dst port 53 -w $tcpdumpdns > /dev/null 2>&1 &

Crea un file di output come:

19:26:12.185392 IP 172.16.0.6.57977 > google-public-dns-a.google.com.domain: 51198+ A? yahoo.com. (27)

Quindi devo elaborarlo per ottenere yahoo.com:

echo $tcpdumpdns | awk '/ A\? / {u = NF - 1; print $u}' | sed 's/^www.//g; s/.$//g' | sort -u

Esiste una soluzione migliore per raccogliere tutte le Arichieste di record in uscita ?

ps: raccolta di record DNS A è necessario solo per avere un elenco aggiornato di siti Web raggiungibili tramite HTTPS. Quindi posso generare file XML per il componente aggiuntivo HTTPSEverywhere Firefox. Quindi questa è solo una parte di una sceneggiatura.

Usa Wireshark:

tshark -f "udp port 53" -Y "dns.qry.type == A and dns.flags.response == 0"

Se non hai installato WireShark allora

tcpdumpdns=/tmp/tcpdumps
tcpdump -lvi any "udp port 53" | tee $tcpdumpdns

dovrebbe funzionare per te. Come volevi limitare l'output al secondo all'ultimo valore, analizzerei il tuo file di registro con:

grep -E 'A\?' $tcpdumpdns |sed -e 's/^.*A? //' -e 's/ .*//'|sort -u

Se lo vuoi dal vivo, allora:

tcpdump -lvi any "udp port 53" 2>/dev/null|grep -E 'A\?'|awk '{print $(NF-1)}'

dovrebbe farlo, (qui sed e awk sono intercambiabili; e sceglierei awk.)