Come registrare tutte le mie query DNS?

18

Come posso creare i log di ogni query DNS che il mio computer fa insieme alle risposte che riceve?

logs  dns 

Risposte:

14

È possibile tcpdumpregistrare tutte le attività UDP e TCP della porta 53.

Aaron D. Marasco
fonte
6
Qualche dettaglio su come?
e-sushi,
Questa è la risposta migliore in quanto non possiamo essere sicuri che l'OP (o altri lettori) abbiano accesso al server DNS - solo il loro computer locale. Per rispondere alla domanda di @ e-sushi, prendi un tcpdump usando l'utility (controlla la pagina man o un buon primer con esempi ). La soluzione migliore è scaricare su un file e quindi estrarre quei dati in WireShark per la revisione e l'analisi.
James Shewey,
1
github.com/gamelinux/passivedns sembra stia facendo proprio questo, vedi./doc/How-it-works.txt
mxmlnkn,
5
tcpdump udp port 53
Brannon,
1
Potrebbe non selezionare l'interfaccia di rete in uscita per impostazione predefinita, quindi è necessario un po 'di più: tcpdump --list-interfaces, tcpdump udp port 53 --interface (pickone). Considera anche la verbosità:-vv
nobar
9

Il modo più semplice è installare Bind localmente. La maggior parte delle distribuzioni predefinite di installazione di Bind saranno solo cache non autoritative.

Aggiungi semplicemente un logging {}blocco di configurazione (come descritto nel riferimento alla configurazione di Bind 9 ), quindi imposta il tuo sistema da utilizzare 127.0.0.1o ::1come resolver DNS.

bahamat
fonte
2
Considerato quanto sia grande il bind e il suo record di sicurezza poco brillante, penso che molte persone esiterebbero a installare qualcosa del genere al solo scopo di accedere.
jw013,
il bind non ha il problema che i nameserver in /etc/resolv.conf non sono usati ma i nameserver devono essere elencati esplicitamente nella configurazione del bind?
Bananguin,
No. /etc/resolv.confè l'elenco dei risolutori di sistema. La configurazione predefinita di Bind è quella di cercare i server dei nomi autorevoli e chiedere loro. Si potrebbe inoltrare tutte le richieste a un server specifico (o set, come il tuo ISP, OpenDNS o Google Public DNS), ma non è tenuto a farlo nella configurazione. Lo faccio sempre. Non riesco nemmeno a contare il numero di volte in cui ho impostato la memorizzazione nella cache solo dei server dei nomi.
Bahamat,
6

dnsmasq è molto più semplice da configurare come aggregatore DNS / daemon di cache rispetto a BIND e, a tale scopo, le prestazioni potrebbero essere semplicemente migliori. Se si accede al "debug", tutte le domande e le risposte vengono visualizzate in qualsiasi cosa sia syslogstata configurata per i messaggi di debug.

Dnsmasq semplifica anche la liberazione di inserzionisti offensivi e la privacy della borsa sporca che invade i brividi "analitici" aliasando interi domini su 127.0.0.1

Bruce Ediger
fonte
1

Se ricordo bene Snort può monitorare selettivamente il traffico in base a regole definite dall'utente. Tuttavia, Snort non creerà registri per le richieste DNS quando il tuo computer, ovvero il suo resolver, può rispondere alla domanda dalla sua cache.

Bananguin
fonte
1

Per mostrare e salvare nel file tutte le Arichieste DNS, eseguire questo:

script -q -c "sudo tcpdump -l port 53 2>/dev/null | grep --line-buffered ' A? ' | cut -d' ' -f8" | tee dns.log

Esempio di output:

google.com.
wikipedia.org.

Vanni
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.