reeder Posted May 2, 2016 Сабж В качестве рекурсора BIND. Есть идеи как аккуратнее накостылить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ipaddr.ru Posted May 2, 2016 Да хоть tcpdump или копанием в логах. А какова глобальная цель? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
reeder Posted May 2, 2016 (edited) Анализ бигдейта :-) Tcpdump с передачей по конвейеру на dnscap возможно но ресурсоемко и геморно както имхо. В логах бинд не пишет тк это не ошибка по сути а нормальный ответ. Edited May 2, 2016 by reeder Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ipaddr.ru Posted May 2, 2016 Насколько я помню, все bigdata-проекты для участия хотят чистый дамп трафика, так что, похоже, это верный путь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
orlik Posted May 3, 2016 В логах бинд не пишет тк это не ошибка по сути а нормальный ответ. Ну как вариант включить логирование всех запросов. Главное чтоб bind не помер от такого Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted May 3, 2016 Сделать зеркало порта и на другой машине снять тем же netmap enabled tcpdump :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
[anp/hsw] Posted May 4, 2016 Если интересует только количество, то можно счетчиком iptables с совпадением по содержимому. Если хочется подробностей, то наверное, проще собрать bind, включив какой-нибудь дебагоный какой-нибудь принт в обработке NXDOMAIN. Затем можно через правильный syslog-демон хоть в mysql залогировать (это чтобы напрямую bind'у такие костыли не приделывать) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted May 4, 2016 ' timestamp='1462352439' post='1278707']Если интересует только количество, то можно счетчиком iptables с совпадением по содержимому. Ну примерно так для bind. Скомандовать ему про rndc status или dumpdb, а затем погрепать named.stats на пример nxdomain - там цифры есть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
reeder Posted May 4, 2016 Итого: tshark -i eth0 "port 53" -T fields -e dns.qry.name -R "dns.flags.response eq 1 and dns.flags.rcode == 3" | awk -F"." 'NF ==2' Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted May 4, 2016 В логах бинд не пишет тк это не ошибка по сути а нормальный ответ. Почитайте внимательно мануал к bind'y. Там много чего, есть, например: delegation-only Logs queries that have returned NXDOMAIN as the result of a delegation-only zone or a delegation-only statement in a hint or stub zone declaration. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
