dnstop: Monitoreo del Servidor BIND DNS – Tráfico de red

¿Cómo puedo controlar Bind 9 (o cualquier otro servidor DNS) el servidor de tránsito / tráfico de red en Linux? ¿Cómo puedo saber y ver las consultas DNS actuales como A, MX, PTR y así sucesivamente en tiempo real? ¿Cómo puedo saber quién hace consultas en mi servidor DNS o dominio específico o direcciones específicas de los clientes?

El archivo de registro puede dar a conocer información requerida pero dnstop es el comando principal para el monitoreo del tráfico DNS. Es una pequeña herramienta para escuchar en el dispositivo o para analizar el archivo savefile y coleccionar e imprimir las estadísticas sobre la red local de tráfico de DNS. Usted debe tener acceso de lectura a /dev/BPF *. BPF (Berkeley Packet Filter) el cual proporciona una interfaz de datos crudos a las capas de enlace de datos en un protocolo independiente. Todos los paquetes en la red, incluso aquellos que estén destinados a otros hosts, son accesibles a través de este mecanismo.

dnstop puede leer los paquetes en directo desde el dispositivo de captura, o de un tcpdump savefile.

Instalar dnstop

Tipie el siguiente comando bajo  Debian / Ubuntu Linux:
$ sudo apt-get update
$ sudo apt-get install dnstop

Una nota sobre Red Hat / CentOS / RHEL / Fedora Linux

Instale la última versión del comando make (ver más abajo para el RPM binario de archivo). En primer lugar debe obtener el fuente de los archivos desde el sitio oficial dnstop  (//dns.measurement-factory.com/tools/dnstop/src/).
# cd /tmp
# wget //dns.measurement-factory.com/tools/dnstop/src/dnstop-20080502.tar.gz
# tar -zxvf dnstop-20080502.tar.gz
# cd dnstop-20080502
Compile e instale dnstop, ingresando:
# ./configure
# make
# make install

dnstop archivo rpm

Si lo prefiere, puede descargar dnstop rpm de Dag repositorios para RHEL / CentOS / Fedora Linux.

¿Cómo puedo ver el tráfico con dns dnstop?

Simplemente, escriba el siguiente comando en un intérprete de comandos para controlar el tráfico para la interfaz eth0:
# dnstop {interface-name}
# dnstop eth0
# dnstop em0
Salida simple:
2 new queries, 220 total queries                 Mon Aug 4 05:56:50 2008
Sources             count     %
—————- ——— ——
116.248.xxx.26         72  32.7
76.89.xx.108            7   3.2
186.xxx.13.108          5   2.3
50.xxx.94.39            4   1.8
148.xx.77.83            4   1.8
137.xxx.149.23          4   1.8
xxx.13.249.70           4   1.8
3.xxx.169.102           4   1.8
154.xx.191.127          4   1.8
xxx.239.194.12          3   1.4

Usted puede forzar que dnstop mantenga la cuenta de los nombres de dominio de nivel usando la opción -l {level}. Por ejemplo, con -l 2 (por defecto), dnstop mantendrá dos tablas: una con los nombres de dominios principal (tales como .com, .org, .biz, etc), y otra con dominios de segundo nivel (tales como co.in, col.uk).
# dnstop -l 3 eth0
En Debian / Ubuntu Linux, usted debe ingresar:
# dnstop -t -s eth0
Donde,

  • -s Monitorea dominios de segundo nivel
  • -t Monitorea dominios de tercer nivel

Tenga en cuenta que el aumento del nivel proporciona más detalles, pero también requiere más memoria y CPU para realizar un seguimiento del tráfico de DNS.

¿Qué debo hacer para salir o reiniciar contadores?

Para salir o salir de dnstop, pulsar ^X (presionar la tecla [CTRL] y luego la tecla X). Presionar ^R para resetear todos los contadores.

¿Cómo averiguar  cuál TLD está generando mayor cantidad de tráfico?

Mientras ejecutamos, presione la tecla 1 para ver el primer nivel de la consulta de nombres (TLDs):
5 new queries, 1525 total queries                Mon Aug 4 06:11:09 2008

TLD                               count     %
—————————— ——— ——
com                                 520  34.1
net                                 502  32.9
in-addr.arpa                        454  29.8
in                                   23   1.5
org                                  15   1.0
biz                                  11   0.7

Usted puede obtener más información del servidor DNS sobre porque está proporcionando más consultas al TLD .com. usted puede encontrar más información acerca del actual dominios presionando la tecla 2 mientras ejeucta dnstop:
3 new queries, 1640 total queries                Mon Aug 7 06:12:20 2008

SLD                               count     %
—————————— ——— ——
codigomaestro.com                   557  34.0
microsoft.com                        556  33.9
74.in-addr.arpa                      34   2.1
208.in-addr.arpa                     29   1.8
195.in-addr.arpa                     28   1.7
192.in-addr.arpa                     27   1.6
64.in-addr.arpa                      27   1.6
Para encontrar los dominios de nivel, presione la tecla 3:
www.condigomaestro.com        60  39.0
¿Qué debo hacer para mostrar el desglose de los tipos de consultas visto?

Usted puede encontrar fácilmente la consulta más solicitada, por consultas del tipo A, AAAA, PTR, etc; presionando la tecla t
Query Type    Count     %
———- ——— ——
A?              224  56.7
AAAA?           142  35.9
A6?              29   7.3

Opción de ayuda

Si usted desea saber más opciones disponibles para dnstop, simplemente tipie ? para visualizar la ayuda.

(Visitado 1.117 veces, 1 visitas hoy)