reeder Posted May 2, 2016 Posted May 2, 2016 Сабж В качестве рекурсора BIND. Есть идеи как аккуратнее накостылить? Вставить ник Quote
ipaddr.ru Posted May 2, 2016 Posted May 2, 2016 Да хоть tcpdump или копанием в логах. А какова глобальная цель? Вставить ник Quote
reeder Posted May 2, 2016 Author Posted May 2, 2016 (edited) Анализ бигдейта :-) Tcpdump с передачей по конвейеру на dnscap возможно но ресурсоемко и геморно както имхо. В логах бинд не пишет тк это не ошибка по сути а нормальный ответ. Edited May 2, 2016 by reeder Вставить ник Quote
ipaddr.ru Posted May 2, 2016 Posted May 2, 2016 Насколько я помню, все bigdata-проекты для участия хотят чистый дамп трафика, так что, похоже, это верный путь. Вставить ник Quote
orlik Posted May 3, 2016 Posted May 3, 2016 В логах бинд не пишет тк это не ошибка по сути а нормальный ответ. Ну как вариант включить логирование всех запросов. Главное чтоб bind не помер от такого Вставить ник Quote
pavel.odintsov Posted May 3, 2016 Posted May 3, 2016 Сделать зеркало порта и на другой машине снять тем же netmap enabled tcpdump :) Вставить ник Quote
[anp/hsw] Posted May 4, 2016 Posted May 4, 2016 Если интересует только количество, то можно счетчиком iptables с совпадением по содержимому. Если хочется подробностей, то наверное, проще собрать bind, включив какой-нибудь дебагоный какой-нибудь принт в обработке NXDOMAIN. Затем можно через правильный syslog-демон хоть в mysql залогировать (это чтобы напрямую bind'у такие костыли не приделывать) Вставить ник Quote
YuryD Posted May 4, 2016 Posted May 4, 2016 ' timestamp='1462352439' post='1278707']Если интересует только количество, то можно счетчиком iptables с совпадением по содержимому. Ну примерно так для bind. Скомандовать ему про rndc status или dumpdb, а затем погрепать named.stats на пример nxdomain - там цифры есть. Вставить ник Quote
reeder Posted May 4, 2016 Author Posted May 4, 2016 Итого: tshark -i eth0 "port 53" -T fields -e dns.qry.name -R "dns.flags.response eq 1 and dns.flags.rcode == 3" | awk -F"." 'NF ==2' Вставить ник Quote
vlad11 Posted May 4, 2016 Posted May 4, 2016 В логах бинд не пишет тк это не ошибка по сути а нормальный ответ. Почитайте внимательно мануал к bind'y. Там много чего, есть, например: delegation-only Logs queries that have returned NXDOMAIN as the result of a delegation-only zone or a delegation-only statement in a hint or stub zone declaration. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.