Bind9 – Как найти, какие программы делают поиск dns?

Использование bind9 на ноутбуке показывает множество бессмысленных доменов, когда сетевое подключение недоступно:

Oct 18 19:56:18 lap3 named[1536]: error (network unreachable) resolving './NS/IN': 128.63.2.53#53 Oct 18 19:56:18 lap3 named[1536]: error (network unreachable) resolving 'drgvlofubl/A/IN': 128.63.2.53#53 Oct 18 19:56:18 lap3 named[1536]: error (network unreachable) resolving 'gjpszynvcz/A/IN': 128.63.2.53#53 Oct 18 19:56:19 lap3 named[1536]: error (network unreachable) resolving 'iqgwbuxrbt/A/IN': 192.5.5.241#53 

Как узнать, какая программа выполняет эти запросы?

Добавление 'debug' в /etc/resolv.conf ничего не делает (ноутбук работает с Arch Linux и, похоже, не скомпилирован с поддержкой отладки?).

Следующим шагом является компиляция libresolv с включенной отладкой, если только нечего делать.

  • Создание субдомена для Samba для использования url вместо ip-адреса
  • Изменение файла хоста в Ubuntu
  • Почему dnsmasq помещает мой IP-адрес маршрутизатора в /etc/resolv.conf вместо 127.0.0.1?
  • домен для моего VPS CentOS7; Нужен ли мне DNS на моем сервере?
  • Как получить самые последние записи DNS из недавно обновленного домена?
  • ssh подключается к неправильному серверу
  • ssh_config: добавить раздел хоста, который соответствует IP-адресам, даже при подключении через имя хоста
  • Почему копирование занимает намного больше времени, чем время запроса DNS?
  • One Solution collect form web for “Bind9 – Как найти, какие программы делают поиск dns?”

    Я не думаю, что это будет возможно, учитывая характер работы DNS. DNS ничего не знает о том, какие приложения запрашивают его, только то, что служба открыла порт в хост-соединении с ним (при условии TCP) или отправила UDP-пакет на сервер привязки, и сервер связывания ответил с ответом на это приложение тайны это тот же связь.

    Сетевые снифферы

    В таких ситуациях, как правило, вы используете приложение для обнюхивания сетевого трафика, когда оно перемещается вперед и назад, и вы можете ограничить его фокус, чтобы вы видели только сообщения, относящиеся к определенному протоколу (DNS) в вашем случае, или трафик, текущий между двумя конечными точками (ваш ПК и сервер привязки), обычно используя IP-адреса.

    Поскольку ваш вопрос достиг своего интереса, я воспользовался возможностью, чтобы задать этот вопрос на сайте Wireshark SE.

    excerpt Как определить, какое приложение отправляет DNS-запросы на мой сервер Bind?

    Я пытаюсь выяснить, как можно определить, какое приложение на моем Linux-поле отправляет конкретный DNS-запрос на мой сервер Bind. Я играл со следующей командой:

     $ tshark -i wlan0 -nn -e ip.src -e dns.qry.name -E separator=";" -T fields port 53 192.168.1.20;ajax.googleapis.com 192.168.1.101;ajax.googleapis.com 192.168.1.20;pop.bizmail.yahoo.com 

    Как я могу получить это, чтобы показать мне фактическое приложение (порт и, возможно, PID)? Wireshark – это один из таких инструментов, который вы бы использовали для этого, есть, конечно, другие.

    На что я получил этот ответ:

    При нормальных захватах пакетов нет способа идентифицировать приложение или PID из пакетов, потому что все, что вы можете видеть, – это какой порт, из которого был отправлен пакет.

    Если вы захватили на хосте, который выполняет связь, вы можете попытаться использовать Hone Project для получения такой информации. В Windows монитор сети может сделать то же самое.

    В противном случае вы можете попытаться использовать netstat в поле, которое соответствует разрешению имен, и сопоставить его с номерами портов, которые использует DNS-запрос, но поскольку это сообщение UDP, порт открыт и закрыт почти мгновенно – так что шансы сделать netstat просто в том, что миллисекунда, где она открыта, будет похожа на попытку выиграть в лотерею.

    Hone Project

    Этот подход выглядел очень многообещающим руководством. Это первый проект, с которым я когда-либо сталкивался, который, как представляется, создает связь между сетевыми пакетами и идентификаторами процессов.

    Hone – это уникальный инструмент для корреляции пакетов с процессами для преодоления разрыва HOst-NEtwork.

    Рекомендации

    • Фильтры tshark
    • Hone Project
    • ask.wireshark.org
    Linux и Unix - лучшая ОС в мире.