dnstop: Controlar Servidor BIND DNS – Tráfico de red

dnstop: Monitoreo del Servidor BIND DNS – Tráfico de red

¿Cómo puedo controlar Bind 9 (o cualquier otro servidor DNS) el servidor de tránsito / tráfico de red en Linux? ¿Cómo puedo saber y ver las consultas DNS actuales como A, MX, PTR y así sucesivamente en tiempo real? ¿Cómo puedo saber quién hace consultas en mi servidor DNS o dominio específico o direcciones específicas de los clientes?

El archivo de registro puede dar a conocer información requerida pero dnstop es el comando principal para el monitoreo del tráfico DNS. Es una pequeña herramienta para escuchar en el dispositivo o para analizar el archivo savefile y coleccionar e imprimir las estadísticas sobre la red local de tráfico de DNS. Usted debe tener acceso de lectura a /dev/BPF *. BPF (Berkeley Packet Filter) el cual proporciona una interfaz de datos crudos a las capas de enlace de datos en un protocolo independiente. Todos los paquetes en la red, incluso aquellos que estén destinados a otros hosts, son accesibles a través de este mecanismo.

dnstop puede leer los paquetes en directo desde el dispositivo de captura, o de un tcpdump savefile.

Instalar dnstop

Tipie el siguiente comando bajo  Debian / Ubuntu Linux:
$ sudo apt-get update
$ sudo apt-get install dnstop

Una nota sobre Red Hat / CentOS / RHEL / Fedora Linux

Instale la última versión del comando make (ver más abajo para el RPM binario de archivo). En primer lugar debe obtener el fuente de los archivos desde el sitio oficial dnstop  (http://dns.measurement-factory.com/tools/dnstop/src/).
# cd /tmp
# wget http://dns.measurement-factory.com/tools/dnstop/src/dnstop-20080502.tar.gz
# tar -zxvf dnstop-20080502.tar.gz
# cd dnstop-20080502
Compile e instale dnstop, ingresando:
# ./configure
# make
# make install

dnstop archivo rpm

Si lo prefiere, puede descargar dnstop rpm de Dag repositorios para RHEL / CentOS / Fedora Linux.

¿Cómo puedo ver el tráfico con dns dnstop?

Simplemente, escriba el siguiente comando en un intérprete de comandos para controlar el tráfico para la interfaz eth0:
# dnstop {interface-name}
# dnstop eth0
# dnstop em0
Salida simple:
2 new queries, 220 total queries                  Mon Aug  4 05:56:50 2008
Sources              count      %
—————- ——— ——
116.248.xxx.26          72   32.7
76.89.xx.108             7    3.2
186.xxx.13.108           5    2.3
50.xxx.94.39             4    1.8
148.xx.77.83             4    1.8
137.xxx.149.23           4    1.8
xxx.13.249.70            4    1.8
3.xxx.169.102            4    1.8
154.xx.191.127           4    1.8
xxx.239.194.12           3    1.4

Usted puede forzar que dnstop mantenga la cuenta de los nombres de dominio de nivel usando la opción -l {level}. Por ejemplo, con -l 2 (por defecto), dnstop mantendrá dos tablas: una con los nombres de dominios principal (tales como .com, .org, .biz, etc), y otra con dominios de segundo nivel (tales como co.in, col.uk).
# dnstop -l 3 eth0
En Debian / Ubuntu Linux, usted debe ingresar:
# dnstop -t -s eth0
Donde,

• -s Monitorea dominios de segundo nivel
• -t Monitorea dominios de tercer nivel

Tenga en cuenta que el aumento del nivel proporciona más detalles, pero también requiere más memoria y CPU para realizar un seguimiento del tráfico de DNS.

¿Qué debo hacer para salir o reiniciar contadores?

Para salir o salir de dnstop, pulsar ^X (presionar la tecla [CTRL] y luego la tecla X). Presionar ^R para resetear todos los contadores.

¿Cómo averiguar  cuál TLD está generando mayor cantidad de tráfico?

Mientras ejecutamos, presione la tecla 1 para ver el primer nivel de la consulta de nombres (TLDs):
5 new queries, 1525 total queries                 Mon Aug  4 06:11:09 2008

TLD                                count      %
—————————— ——— ——
com                                  520   34.1
net                                  502   32.9
in-addr.arpa                         454   29.8
in                                    23    1.5
org                                   15    1.0
biz                                   11    0.7

Usted puede obtener más información del servidor DNS sobre porque está proporcionando más consultas al TLD .com. usted puede encontrar más información acerca del actual dominios presionando la tecla 2 mientras ejeucta dnstop:
3 new queries, 1640 total queries                 Mon Aug  7 06:12:20 2008

SLD                                count      %
—————————— ——— ——
codigomaestro.com                    557   34.0
microsoft.com                         556   33.9
74.in-addr.arpa                       34    2.1
208.in-addr.arpa                      29    1.8
195.in-addr.arpa                      28    1.7
192.in-addr.arpa                      27    1.6
64.in-addr.arpa                       27    1.6
Para encontrar los dominios de nivel, presione la tecla 3:
www.condigomaestro.com         60   39.0
¿Qué debo hacer para mostrar el desglose de los tipos de consultas visto?

Usted puede encontrar fácilmente la consulta más solicitada, por consultas del tipo A, AAAA, PTR, etc; presionando la tecla t
Query Type     Count      %
———- ——— ——
A?               224   56.7
AAAA?            142   35.9
A6?               29    7.3

Opción de ayuda

Si usted desea saber más opciones disponibles para dnstop, simplemente tipie ? para visualizar la ayuda.