Comment enregistrer toutes mes requêtes DNS?

18

Comment puis-je créer des journaux de chaque requête DNS que mon ordinateur effectue avec les réponses qu'il obtient?

logs dns
la source

Réponses:

14

Vous pouvez avoir un tcpdumpjournal de toutes les activités UDP et TCP du port 53.

Aaron D. Marasco
la source
6
Des détails sur la façon dont?
e-sushi
C'est la meilleure réponse car nous ne pouvons pas être sûrs que l'OP (ou d'autres lecteurs) ont accès au serveur DNS - uniquement à leur machine locale. Pour répondre à la question de @ e-sushi, prenez un tcpdump en utilisant l'utilitaire (consultez la page de manuel ou une bonne introduction avec des exemples ). Votre meilleur pari est de vider dans un fichier, puis de tirer ces données dans Wireshark pour examen et analyse.
James Shewey
1
github.com/gamelinux/passivedns semble faire exactement cela, voir./doc/How-it-works.txt
mxmlnkn
5
tcpdump udp port 53
Brannon
1
Il peut ne pas sélectionner l'interface réseau sortante par défaut, vous avez donc besoin d'un peu plus: tcpdump --list-interfaces, tcpdump udp port 53 --interface (pickone). Considérez également la verbosité:-vv
nobar
9

Le moyen le plus simple consiste à installer Bind localement. La plupart des distributions par défaut de Bind seront uniquement mises en cache sans autorité.

Ajoutez simplement un logging {}bloc de configuration (comme décrit dans la référence de configuration de Bind 9 ), puis configurez votre système pour utiliser 127.0.0.1ou ::1comme résolveur DNS.

bahamat
la source
2
Compte tenu de la taille de la liaison et de son bilan de sécurité médiocre, je pense que beaucoup de gens hésiteraient à installer quelque chose comme ça dans le seul but de se connecter.
jw013
ne lie pas ont le problème que les serveurs de noms dans /etc/resolv.conf ne sont pas utilisés mais les serveurs de noms doivent être listés explicitement dans la configuration de liaison?
Bananguin
Non. /etc/resolv.confEst la liste des résolveurs système. La configuration par défaut de Bind consiste à rechercher les serveurs de noms faisant autorité et à leur demander. Vous pouvez transférer toutes les demandes vers un serveur spécifique (ou un ensemble, tel que votre FAI, OpenDNS ou Google Public DNS), mais il n'est pas nécessaire de le faire dans la configuration. Je fais ça tout le temps. Je ne peux même pas compter le nombre de fois où j'ai mis en cache uniquement des serveurs de noms.
bahamat
6

dnsmasq est beaucoup plus facile à configurer en tant que démon agrégateur / cache DNS que BIND, et à cet effet, les performances pourraient être meilleures. Si vous activez la connexion pour "déboguer", toutes les questions et réponses s'affichent dans tout ce qui sysloga été configuré pour les messages de débogage.

Dnsmasq permet également de se débarrasser facilement des annonceurs abusifs et de la confidentialité de la saleté envahissant les rampes "analytiques" en aliasant des domaines entiers vers 127.0.0.1

Bruce Ediger
la source
1

Si je me souviens bien, Snort peut surveiller sélectivement le trafic en fonction des règles définies par l'utilisateur. Cependant, Snort ne créera pas de journaux pour les requêtes DNS lorsque votre ordinateur, c'est-à-dire son résolveur, peut répondre à la question depuis son cache.

Bananguin
la source
1

Pour afficher et enregistrer dans un fichier toutes les Ademandes DNS, exécutez ceci:

script -q -c "sudo tcpdump -l port 53 2>/dev/null | grep --line-buffered ' A? ' | cut -d' ' -f8" | tee dns.log

Exemple de sortie:

google.com.
wikipedia.org.

Vanni
la source