dnstop: Controlar Servidor BIND DNS – Tráfico de red
dnstop: Monitoreo del Servidor BIND DNS – Tráfico de red
¿Cómo puedo controlar Bind 9 (o cualquier otro servidor DNS) el servidor de tránsito / tráfico de red en Linux? ¿Cómo puedo saber y ver las consultas DNS actuales como A, MX, PTR y así sucesivamente en tiempo real? ¿Cómo puedo saber quién hace consultas en mi servidor DNS o dominio específico o direcciones específicas de los clientes?
El archivo de registro puede dar a conocer información requerida pero dnstop es el comando principal para el monitoreo del tráfico DNS. Es una pequeña herramienta para escuchar en el dispositivo o para analizar el archivo savefile y coleccionar e imprimir las estadísticas sobre la red local de tráfico de DNS. Usted debe tener acceso de lectura a /dev/BPF *. BPF (Berkeley Packet Filter) el cual proporciona una interfaz de datos crudos a las capas de enlace de datos en un protocolo independiente. Todos los paquetes en la red, incluso aquellos que estén destinados a otros hosts, son accesibles a través de este mecanismo.
dnstop puede leer los paquetes en directo desde el dispositivo de captura, o de un tcpdump savefile.
Instalar dnstop
Tipie el siguiente comando bajo Debian / Ubuntu Linux:
$ sudo apt-get update
$ sudo apt-get install dnstop
Una nota sobre Red Hat / CentOS / RHEL / Fedora Linux
Instale la última versión del comando make (ver más abajo para el RPM binario de archivo). En primer lugar debe obtener el fuente de los archivos desde el sitio oficial dnstop (http://dns.measurement-factory.com/tools/dnstop/src/).
# cd /tmp
# wget http://dns.measurement-factory.com/tools/dnstop/src/dnstop-20080502.tar.gz
# tar -zxvf dnstop-20080502.tar.gz
# cd dnstop-20080502
Compile e instale dnstop, ingresando:
# ./configure
# make
# make install
dnstop archivo rpm
Si lo prefiere, puede descargar dnstop rpm de Dag repositorios para RHEL / CentOS / Fedora Linux.
¿Cómo puedo ver el tráfico con dns dnstop?
Simplemente, escriba el siguiente comando en un intérprete de comandos para controlar el tráfico para la interfaz eth0:
# dnstop {interface-name}
# dnstop eth0
# dnstop em0
Salida simple:
2 new queries, 220 total queries Mon Aug 4 05:56:50 2008
Sources count %
—————- ——— ——
116.248.xxx.26 72 32.7
76.89.xx.108 7 3.2
186.xxx.13.108 5 2.3
50.xxx.94.39 4 1.8
148.xx.77.83 4 1.8
137.xxx.149.23 4 1.8
xxx.13.249.70 4 1.8
3.xxx.169.102 4 1.8
154.xx.191.127 4 1.8
xxx.239.194.12 3 1.4
Usted puede forzar que dnstop mantenga la cuenta de los nombres de dominio de nivel usando la opción -l {level}. Por ejemplo, con -l 2 (por defecto), dnstop mantendrá dos tablas: una con los nombres de dominios principal (tales como .com, .org, .biz, etc), y otra con dominios de segundo nivel (tales como co.in, col.uk).
# dnstop -l 3 eth0
En Debian / Ubuntu Linux, usted debe ingresar:
# dnstop -t -s eth0
Donde,
- -s Monitorea dominios de segundo nivel
- -t Monitorea dominios de tercer nivel
Tenga en cuenta que el aumento del nivel proporciona más detalles, pero también requiere más memoria y CPU para realizar un seguimiento del tráfico de DNS.
¿Qué debo hacer para salir o reiniciar contadores?
Para salir o salir de dnstop, pulsar ^X (presionar la tecla [CTRL] y luego la tecla X). Presionar ^R para resetear todos los contadores.
¿Cómo averiguar cuál TLD está generando mayor cantidad de tráfico?
Mientras ejecutamos, presione la tecla 1 para ver el primer nivel de la consulta de nombres (TLDs):
5 new queries, 1525 total queries Mon Aug 4 06:11:09 2008
TLD count %
—————————— ——— ——
com 520 34.1
net 502 32.9
in-addr.arpa 454 29.8
in 23 1.5
org 15 1.0
biz 11 0.7
Usted puede obtener más información del servidor DNS sobre porque está proporcionando más consultas al TLD .com. usted puede encontrar más información acerca del actual dominios presionando la tecla 2 mientras ejeucta dnstop:
3 new queries, 1640 total queries Mon Aug 7 06:12:20 2008
SLD count %
—————————— ——— ——
codigomaestro.com 557 34.0
microsoft.com 556 33.9
74.in-addr.arpa 34 2.1
208.in-addr.arpa 29 1.8
195.in-addr.arpa 28 1.7
192.in-addr.arpa 27 1.6
64.in-addr.arpa 27 1.6
Para encontrar los dominios de nivel, presione la tecla 3:
www.condigomaestro.com 60 39.0
¿Qué debo hacer para mostrar el desglose de los tipos de consultas visto?
Usted puede encontrar fácilmente la consulta más solicitada, por consultas del tipo A, AAAA, PTR, etc; presionando la tecla t
Query Type Count %
———- ——— ——
A? 224 56.7
AAAA? 142 35.9
A6? 29 7.3
Opción de ayuda
Si usted desea saber más opciones disponibles para dnstop, simplemente tipie ? para visualizar la ayuda.
Deja una respuesta