Làm cách nào để đăng nhập tất cả các truy vấn DNS của tôi?

18

Làm cách nào tôi có thể tạo nhật ký của mọi truy vấn DNS mà máy tính của tôi thực hiện cùng với các phản hồi mà nó nhận được?

logs dns

13

Bạn có thể tcpdumpđăng nhập tất cả cổng 53 hoạt động UDP và TCP.

— Aaron D. Marasco
nguồn

6

Bất kỳ chi tiết về làm thế nào?

— e-sushi

Đây là câu trả lời tốt nhất vì chúng tôi không thể chắc chắn OP (hoặc các độc giả khác) có quyền truy cập vào máy chủ DNS - chỉ máy cục bộ của họ. Để trả lời câu hỏi của @ e-sushi, hãy sử dụng tiện ích tcpdump bằng cách sử dụng tiện ích (kiểm tra trang hướng dẫn hoặc trang mồi tốt với các ví dụ ). Đặt cược tốt nhất của bạn là kết xuất vào một tệp và sau đó kéo dữ liệu đó vào wireshark để xem xét & phân tích.

— James Shewey

1

github.com/gamelinux/passivingns dường như đang làm điều đó, xem./doc/How-it-works.txt

— mxmlnkn

5

tcpdump udp port 53

— Brannon

1

Nó có thể không chọn giao diện mạng bên ngoài theo mặc định, vì vậy bạn cần thêm một chút: tcpdump --list-interfaces, tcpdump udp port 53 --interface (pickone). Cũng xem xét tính dài dòng:-vv

— tộc

9

Cách dễ nhất là cài đặt Bind cục bộ. Hầu hết các bản cài đặt mặc định của Bind sẽ chỉ là bộ đệm ẩn không tự động.

Chỉ cần thêm một logging {}khối cấu hình (như được mô tả trong Tham chiếu cấu hình Bind 9 ) sau đó đặt hệ thống của bạn sử dụng 127.0.0.1hoặc ::1làm trình phân giải DNS.

— bahamat
nguồn

2

Cho rằng mức độ ràng buộc lớn và hồ sơ bảo mật mờ nhạt của nó, tôi nghĩ nhiều người sẽ ngần ngại cài đặt một cái gì đó như thế cho mục đích duy nhất là đăng nhập.

— jw013

không ràng buộc có vấn đề rằng các máy chủ tên trong /etc/resolv.conf không được sử dụng nhưng máy chủ tên phải được liệt kê rõ ràng trong cấu hình liên kết?

— Bananguin

Số /etc/resolv.conflà danh sách trình giải quyết hệ thống. Cấu hình mặc định của Bind là tìm kiếm các máy chủ tên có thẩm quyền và hỏi họ. Bạn có thể chuyển tiếp tất cả các yêu cầu đến một máy chủ cụ thể (hoặc được đặt, chẳng hạn như ISP, OpenDNS hoặc Google Public DNS) nhưng không bắt buộc phải làm như vậy trong cấu hình. Tôi làm điều này tất cả các thời gian. Tôi thậm chí không thể đếm số lần tôi đã thiết lập bộ đệm chỉ các máy chủ tên.

— bahamat

6

dnsmasq dễ dàng hơn nhiều để định cấu hình như một trình tổng hợp / bộ đệm ẩn DNS so với BIND và với mục đích đó, hiệu suất có thể tốt hơn. Nếu bạn chuyển đăng nhập thành "gỡ lỗi", tất cả các câu hỏi và câu trả lời sẽ hiển thị trong bất cứ điều gì syslogđã được cấu hình cho các thông báo gỡ lỗi.

Dnsmasq cũng giúp bạn dễ dàng thoát khỏi các nhà quảng cáo lạm dụng và quyền riêng tư bẩn thỉu xâm chiếm creep "phân tích" bằng cách đặt bí danh toàn bộ tên miền thành 127.0.0.1

— Bruce Ediger
nguồn

1

Nếu tôi nhớ lại chính xác, Snort có thể theo dõi có chọn lọc lưu lượng dựa trên các quy tắc do người dùng xác định. Tuy nhiên, Snort sẽ không tạo nhật ký cho các yêu cầu DNS khi máy tính của bạn, tức là trình phân giải, có thể trả lời câu hỏi từ bộ đệm của nó.

— Bananguin
nguồn

1

Để hiển thị và lưu vào tệp tất cả các Ayêu cầu DNS, hãy chạy này:

script -q -c "sudo tcpdump -l port 53 2>/dev/null | grep --line-buffered ' A? ' | cut -d' ' -f8" | tee dns.log

Ví dụ đầu ra:

google.com.
wikipedia.org.

— Vanni
nguồn