reeder Опубликовано 2 мая, 2016 Сабж В качестве рекурсора BIND. Есть идеи как аккуратнее накостылить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 2 мая, 2016 Да хоть tcpdump или копанием в логах. А какова глобальная цель? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reeder Опубликовано 2 мая, 2016 (изменено) Анализ бигдейта :-) Tcpdump с передачей по конвейеру на dnscap возможно но ресурсоемко и геморно както имхо. В логах бинд не пишет тк это не ошибка по сути а нормальный ответ. Изменено 2 мая, 2016 пользователем reeder Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 2 мая, 2016 Насколько я помню, все bigdata-проекты для участия хотят чистый дамп трафика, так что, похоже, это верный путь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 3 мая, 2016 В логах бинд не пишет тк это не ошибка по сути а нормальный ответ. Ну как вариант включить логирование всех запросов. Главное чтоб bind не помер от такого Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 3 мая, 2016 Сделать зеркало порта и на другой машине снять тем же netmap enabled tcpdump :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 4 мая, 2016 Если интересует только количество, то можно счетчиком iptables с совпадением по содержимому. Если хочется подробностей, то наверное, проще собрать bind, включив какой-нибудь дебагоный какой-нибудь принт в обработке NXDOMAIN. Затем можно через правильный syslog-демон хоть в mysql залогировать (это чтобы напрямую bind'у такие костыли не приделывать) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 4 мая, 2016 ' timestamp='1462352439' post='1278707']Если интересует только количество, то можно счетчиком iptables с совпадением по содержимому. Ну примерно так для bind. Скомандовать ему про rndc status или dumpdb, а затем погрепать named.stats на пример nxdomain - там цифры есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reeder Опубликовано 4 мая, 2016 Итого: tshark -i eth0 "port 53" -T fields -e dns.qry.name -R "dns.flags.response eq 1 and dns.flags.rcode == 3" | awk -F"." 'NF ==2' Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 4 мая, 2016 В логах бинд не пишет тк это не ошибка по сути а нормальный ответ. Почитайте внимательно мануал к bind'y. Там много чего, есть, например: delegation-only Logs queries that have returned NXDOMAIN as the result of a delegation-only zone or a delegation-only statement in a hint or stub zone declaration. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...