我试图过滤掉日志,寻找外部网站的可疑出站stream量。 在DNS服务器上,我可以设置debugging日志logging,但是我没有看到一种方法来查看向服务器发送DNS请求的计算机的始发源。 有没有办法获取这些数据来学习到达我的服务器的DNS请求的源IP地址?
我会考虑使用Wireshark或Microsoft的networking监视器捕获筛选器足够的粒度,以限制捕获您正在寻找的DNSstream量。 一旦获得了捕获的数据,您可以返回并执行分析。
我可能使用Wireshark中的tshark命令行程序将stream量捕获到相对较小的文件中,然后在另一台机器上再次使用tshark来转储文件和grep。 捕获命令行可能是这样的:
tshark -i <inteface number here> -b filesize:32768 -w dns_capture udp and dst port 53 and dst host xxxx
你可以使用tshark -D来获得你机器的接口号。 -b filesize:32768参数指定在启动新捕获文件之前捕获到32,768KB(32MB)的缓冲区中。 -w dns_capture指定-w dns_capture的基本输出文件名(在每个文件填充时将添加递增计数和时间戳)。 udp and dst port 53 and dst host xxxx是一个tcpdump捕获filter,用于指定仅捕获目标端口为53和目标地址为xxxx udp数据包(应替代DNS服务器的IP地址)。
一旦你有了这些文件,你可以使用任意数量的PCAP文件分析工具。 就个人而言,我只是使用-r参数的tshark来读取文件,并使用-T text参数将其转储为可读的文本。 然后我只是grep输出。 (我这样做主要是因为我已经准备好了所有的工具,还有很多其他的方法可以做到。)