DNS查询响应日志记录

Question

我已经用bind9配置了一个CC。我也成功地配置了查询日志记录。但是我不能记录查询响应。

请查看我为查询日志配置的内容：

logging {
    channel queries_file {
        file "/var/named/chroot/var/log/named/queries.log" versions 10 size 10G;
        severity dynamic;
        print-category yes;
        print-severity yes;
        print-time yes;
    };
    category queries { queries_file; };
};

此脚本只记录来自外部的查询。

如何记录这些请求的服务器响应。

Answer 1

在绑定中没有使用logging指令记录查询答案的规定。

此外，除了隐私考虑之外，DNS服务可以更有效地远程记录它们，而不是在文件中。

人们通常运行德斯卡普来捕获/嗅探DNS查询以进行安全分析。

dnscap是专门为DNS流量设计的网络捕获实用工具。它以pcap3格式产生二进制数据。此实用程序类似于tcpdump(1)，但具有一些针对DNS事务和协议选项的功能。

还有一个名为泼斯塔普的捕获/日志记录功能，但它只存在于某些版本的BIND中，并且似乎总是在BIND的最后一个版本(此时为9.11)之后正式包含，在一些发行版中可能尚未采用，因此涉及到编译BIND。

它比dnscap更有趣，因为它与BIND集成在一起，而且对资源的负担也更少。

dnstap是一种解决方案，它为DNS服务器引入了一种灵活的二进制日志格式，同时还引入了一种用于序列化结构化数据的协议缓冲区。Robert对dnstap有了一个想法，并创建了第一个实现，其中考虑了两个特定的用例：

• 通过消除同步I/O瓶颈和消息格式，使查询日志更快
• 通过捕获完整消息而不是被动DNS数据包来避免复杂的状态重构

来自使用dnstap的DNS查询/响应日志记录

options {
   dnstap { all; };
   // dnstap { auth; resolver query; resolver response; };

   /* where to capture to: file or unix (socket) */
   // dnstap-output file "/tmp/named.tap";
   dnstap-output unix "/var/run/dnstap.sock";

   dnstap-identity "tiggr";
   dnstap-version "bind-9.11.2";
};