监控出站DNS (网站)流量

Question

我试图过滤出日志，以寻找可疑的对外流量到外部网站。在DNS服务器上，我可以设置调试日志记录，但我看不到查看向服务器发出DNS请求的计算机的原始源的方法。是否有方法捕获这些数据以了解到达我的服务器的DNS请求的源IP地址？

Answer 1

我会考虑使用Wireshark或微软的网络监视器，使用一个足够粒度的捕获过滤器，将捕获限制在您要寻找的DNS流量上。一旦捕获了数据，就可以返回并执行分析。

我可能会使用Wireshark中的tshark命令行程序将流量捕获到相对较小的文件中，然后在另一台计算机上再次使用tshark将文件和grep通过它们转储。捕获命令行可能类似于：

tshark -i <inteface number here> -b filesize:32768 -w dns_capture udp and dst port 53 and dst host x.x.x.x

您可以使用tshark -D获取您的机器的接口号。-b filesize:32768参数指定在启动新捕获文件之前捕获到32,768 of (32 Of)的缓冲区中。-w dns_capture指定dns_capture的基本输出文件名(它将在每个文件填充时添加一个增量计数和时间戳)。udp and dst port 53 and dst host x.x.x.x是一个tcpdump捕获过滤器，它指定只有具有目标端口53的udp数据包和x.x.x.x的目标地址(您应该替换DNS服务器的IP地址)才会被捕获。

一旦获得了这些文件，就可以使用任意数量的PCAP文件分析工具。就我个人而言，我只是使用tshark与-r参数一起读取文件，并使用-T text参数将它们作为人类可读的文本转储出来。然后我就把输出调到grep。)我这么做主要是因为我已经准备好了所有的工具。还有很多其他的方法可以做到。)