Bind9 – Как найти, какие программы делают поиск dns?

Использование bind9 на ноутбуке показывает множество бессмысленных доменов, когда сетевое подключение недоступно:

Oct 18 19:56:18 lap3 named[1536]: error (network unreachable) resolving './NS/IN': 128.63.2.53#53 Oct 18 19:56:18 lap3 named[1536]: error (network unreachable) resolving 'drgvlofubl/A/IN': 128.63.2.53#53 Oct 18 19:56:18 lap3 named[1536]: error (network unreachable) resolving 'gjpszynvcz/A/IN': 128.63.2.53#53 Oct 18 19:56:19 lap3 named[1536]: error (network unreachable) resolving 'iqgwbuxrbt/A/IN': 192.5.5.241#53 

Как узнать, какая программа выполняет эти запросы?

Добавление 'debug' в /etc/resolv.conf ничего не делает (ноутбук работает с Arch Linux и, похоже, не скомпилирован с поддержкой отладки?).

Следующим шагом является компиляция libresolv с включенной отладкой, если только нечего делать.

One Solution collect form web for “Bind9 – Как найти, какие программы делают поиск dns?”

Я не думаю, что это будет возможно, учитывая характер работы DNS. DNS ничего не знает о том, какие приложения запрашивают его, только то, что служба открыла порт в хост-соединении с ним (при условии TCP) или отправила UDP-пакет на сервер привязки, и сервер связывания ответил с ответом на это приложение тайны это тот же связь.

Сетевые снифферы

В таких ситуациях, как правило, вы используете приложение для обнюхивания сетевого трафика, когда оно перемещается вперед и назад, и вы можете ограничить его фокус, чтобы вы видели только сообщения, относящиеся к определенному протоколу (DNS) в вашем случае, или трафик, текущий между двумя конечными точками (ваш ПК и сервер привязки), обычно используя IP-адреса.

Поскольку ваш вопрос достиг своего интереса, я воспользовался возможностью, чтобы задать этот вопрос на сайте Wireshark SE.

excerpt Как определить, какое приложение отправляет DNS-запросы на мой сервер Bind?

Я пытаюсь выяснить, как можно определить, какое приложение на моем Linux-поле отправляет конкретный DNS-запрос на мой сервер Bind. Я играл со следующей командой:

 $ tshark -i wlan0 -nn -e ip.src -e dns.qry.name -E separator=";" -T fields port 53 192.168.1.20;ajax.googleapis.com 192.168.1.101;ajax.googleapis.com 192.168.1.20;pop.bizmail.yahoo.com 

Как я могу получить это, чтобы показать мне фактическое приложение (порт и, возможно, PID)? Wireshark – это один из таких инструментов, который вы бы использовали для этого, есть, конечно, другие.

На что я получил этот ответ:

При нормальных захватах пакетов нет способа идентифицировать приложение или PID из пакетов, потому что все, что вы можете видеть, – это какой порт, из которого был отправлен пакет.

Если вы захватили на хосте, который выполняет связь, вы можете попытаться использовать Hone Project для получения такой информации. В Windows монитор сети может сделать то же самое.

В противном случае вы можете попытаться использовать netstat в поле, которое соответствует разрешению имен, и сопоставить его с номерами портов, которые использует DNS-запрос, но поскольку это сообщение UDP, порт открыт и закрыт почти мгновенно – так что шансы сделать netstat просто в том, что миллисекунда, где она открыта, будет похожа на попытку выиграть в лотерею.

Hone Project

Этот подход выглядел очень многообещающим руководством. Это первый проект, с которым я когда-либо сталкивался, который, как представляется, создает связь между сетевыми пакетами и идентификаторами процессов.

Hone – это уникальный инструмент для корреляции пакетов с процессами для преодоления разрыва HOst-NEtwork.

Рекомендации

  • Фильтры tshark
  • Hone Project
  • ask.wireshark.org
  • Как использовать разные DNS-пересылки на основе IP-адреса источника или MAC-адреса?
  • Можно ли предложить IP-адрес моего DHCP-сервера для моего клиента?
  • DNS Zone A запись для домена
  • / var / named / chroot / var / named: устройство занято
  • Закрытая сеть DHCP + DNS - обновление сборочной стороны in-addr.arpa, передняя сторона отказывается обновлять
  • я не могу открыть, ping, .. любой домен после обновления debian
  • Можно ли установить разные DNS-серверы для разных пользователей?
  • ping: неизвестный хост с включенным iptables
  • dig -x www.google.com
  • Может ли кто-то рекомендовать Linux Distro для просто запуска DNS?
  • Кэш DNS для wget
  • как пользователь, не являющийся пользователем root, могу ли я изменить DNS для меня в Linux?
  • Interesting Posts

    Любой инструмент для просмотра использования ресурсов исторического процесса? (IE: комбинация сар и pidstat)

    Можно ли скопировать relpath в одну команду?

    Как изменить поворот экрана по умолчанию GNOME

    Переменная в команде find задана новой переменной в bash

    Поиск отсутствующего значения в текстовом файле

    Коды разломов пакетов Wireshark?

    Перейти к конкретному символу в строке в VI

    играя звук / уведомление в finch поверх ssh на моей локальной машине

    Как создать правило udev для подключения только USB-накопителя?

    Как активировать swap после добавления дополнительной памяти?

    Добавление текста после определенной строки файла в скрипте Bash

    Попытка двойного загрузочного linux с окнами, не позволяя мне загрузиться в

    Настройте 3 экрана / двойные графические / повернутые экраны Ubuntu 15.10

    Количество номеров каталогов

    Настройки сеанса пользователя Lightdm на Ubuntu

    Linux и Unix - лучшая ОС в мире.