dns流量监控dnstop

最新推荐文章于 2024-11-14 22:45:28 发布
原创 最新推荐文章于 2024-11-14 22:45:28 发布 · 4.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#dns #dns服务器

本文介绍了dnstop这款开源软件的安装步骤,并提供了详细的配置与使用教程。包括通过yum安装依赖包、下载并编译dnstop源代码的过程,以及如何通过交互命令查看DNS查询的相关信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

dnstop是一种非常优秀的开源软件,用户可以到网站http://dns.measurement-factory.com/tools/dnstop/src/上进行下载使用


yum -y install ncurses-devel

yum -y install libpcap-devel


wget http://dns.measurement-factory.com/tools/dnstop/src/dnstop-20140915.tar.gz
tar -zxvf dnstop-20140915.tar.gz 
ls
cd dnstop-20140915
ls
./configure
make
make install


dnstop -4 -Q eth2


在运行dnstop的过程中,可以键入<S>、<D>、<T>、<1>、<2>、<Ctr+R>、<Ctr+X>等方式以交互方式来显示不同的信息:

S:记录发送DNS查询的客户端IP地址列表

D:记录DNS查询的目的服务器的IP地址表

T:记录查询详细类型

1:记录查询的顶级域名

2:记录查询的二级域名

Ctr+R:重新纪录

Ctr+X:退出

更详细信息可以使用dnstop -help命令进行查看。


探索网络与通信领域DNS的工作机制
AI算力网络与通信的博客
05-23 995
本文旨在全面解析DNS(域名系统)的工作机制,包括其架构设计、查询流程、缓存策略和安全机制。我们将深入探讨DNS如何将人类可读的域名转换为机器可识别的IP地址,以及这一过程对互联网通信的基础性作用。本文首先介绍DNS的基本概念和术语,然后深入探讨其工作机制和算法原理。随后通过Python代码示例展示实际DNS查询过程,讨论应用场景和工具资源,最后展望DNS的未来发展趋势。: 用于将域名转换为IP地址的分布式数据库系统域名(Domain Name): 人类可读的网站地址(如www.example.com)
dnstop监控dns服务器状态
热门推荐
s_ddwqwd的博客
09-27 1万+
文章目录官方地址安装应用参数说明使用方法交互参数说明官方输出实例 官方地址 http://dns.measurement-factory.com/tools/dnstop/sample.html 安装 查询源中是否存在dnstop软件包 root@linux:~$ aptitude search dnstop p dnstop ...
linux的dns查询工具,一款超强的统计DNS查询的工具--DNSTOP
weixin_33356544的博客
05-09 544
一款超强的统计DNS查询的工具--DNSTOP在维护DNS服务器时,偶们希望知道到底是哪些用户在使用偶们的DNS服务器,同时也希望能对DNS查询做一个统计。一般情况下,偶们可以使用tcpdump –i eth0 port53来查看DNS查询包,不过tcpdump的输出可不是那么友好,尤其是当访问量大的时候,偶就头晕了 :(~~当然了可以把输出重定向到文件,如果熟悉shell编程的话还可以做个脚本来...
监控 DNS 流量,预防安全隐患五大招!
wangpeng198688的专栏
01-19 1004
尽管 IT 管理员尽心尽责地监控设备、主机和网络是否存在恶意活动的迹象,却往往出力不讨好。主机入侵检测和端点保护对很多公司来说可能是“必需”的安全措施,但如果要找出 RAT、rootkit、APT 或其他盘踞在网络上的恶意软件,就没什么比监控 DNS 流量更有效了。
什么是dns流量?如何监控dns流量
zhongjieyuming的博客
01-27 7207
DNS是重要的基础设施,用于域名服务,在负载均衡,移动IP等方面也有着重要的应用.DNS流量激增对互联网的正常运作的影响,并提出了恶意DNS流量攻击,蜂窝效应概念,什么是DNS流量监控它的方法有哪些?一起来看看吧。
使用DNSTOP进行DNS流量分析
有莘不破的博客
04-15 1199
dns常用分析工具dnstop使用介绍
一款超强的统计DNS查询的工具--DNSTOP(转)
congjukun0600的博客
08-11 345
一款超强的统计DNS查询的工具--DNSTOP(转)[@more@]在维护DNS服务器时,偶们希望知道到底是哪些用户在使用偶们的DNS服务器,同时也希望能对DNS查询做一个统计。一般情况下,偶们可以使用tcpdump –i et...
一次 DNS 查询会产生多少流量
weixin_33923148的博客
02-15 1959
参考资料: Internet protocol suite - Abstraction layers 以客户端的角度,根据相关协议的 RFC 文档内容来计算 IPv4 网络中一次 DNS 查询会产生多少网络流量。 根据 RFC 1122 TCP/IP 模型可以知道,要计算一次 DNS 查询所产生的流量,首先需要知道 DNS 协议在应用层产生的数据大小,然后根据传输层 TCP 或 UDP 协...
17. Linux-RHCE精讲教程之DNS服务:DNS监控与日志
# 1. DNS服务概述 ## 1.1 DNS服务简介 DNS(Domain Name System)是...DNS服务的架构包括递归DNS服务器、权威DNS服务器和本地DNS服务器。递归DNS服务器负责向客户端提供域名解析服务,权威DNS服务器负责存储域名对应
ARP欺骗技术:DNS欺骗与HTTP重定向_(13).ARP欺骗与DNS欺骗结合攻击
chenlz2007的博客
11-14 769
ARP协议用于将IP地址解析为物理(MAC)地址。在网络中,每个设备都有一个唯一的MAC地址,而IP地址则是用于网络层通信的地址。当一个设备需要与另一个设备通信时,它会发送一个ARP请求,询问目标IP地址对应的MAC地址。目标设备收到请求后,会发送一个ARP响应,告知自己的MAC地址。DNS(Domain Name System)协议用于将域名解析为IP地址。当用户访问一个网站时,浏览器会向DNS服务器发送查询请求,DNS服务器会返回相应的IP地址。ettercap。
DNS解析与域名服务安全防护策略
职场里拉开差距的不是知识,而是认知!
03-25 9432
企业开源 DNS 服务应用概述 在 Internet 上域名与 IP 地址之间是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识 IP 地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS 就是进行域名解析的服务器DNS 是域名系统 Domain Name System 的缩写,该系统用于命名组织到域层次结构中的计算机和网络服务。DNS 命名用于
监控DNS脚本
weixin_33825683的博客
08-06 675
由于搭建的centreon服务器需要监控DNS服务器,上nagios论坛找了几个脚本,感觉用起来不是很方便,自己用python写了一个脚本,分享一下。#!/usr/bin/envpython importos importsys dig='/usr/bin/dig' dns_server='x.x.x.x' hostname=''.join(sys.ar...
dnstop监控bind
weixin_34219944的博客
10-28 337
1 通过 rpm -qa | grep libpcap ;rpm -qa | grep tcpdump 检查这libpcap,tcpdump是否安装,这两个包必须安装。2 从网上http://packages.sw.be/dnstop/ 下载适合自己系统的DNSTOP包,我下载的是 dnstop-0.0.20030228-0.2.el5.rf.x86_64.rpm,因...
KeyarchOS使用DNSTOP进行DNS流量分析
KeyarchOS的博客
08-26 410
浪潮信息KOS是浪潮信息基于Linux Kernel、OpenAnolis等开源技术自主研发的一款服务器操作系统,支持x86、ARM等主流架构处理器,性能和稳定性居于行业领先地位,具备成熟的 CentOS 迁移和替换能力,可满足云计算、大数据、分布式存储、人工智能、边缘计算等应用场景需求。详细介绍见官网链接id=12126。dnstop是一个用于监视DNS流量的命令行工具。它能够实时显示DNS服务器上的查询和响应,并提供有关流量统计信息,如查询类型、来源IP地址等。
dnstop DNS分析工具
weixin_30553837的博客
04-26 453
http://dns.measurement-factory.com/tools/dnstop/src/ https://github.com/measurement-factory/dnstop http://www.tcpdump.org/release/ (libpcap tcpdump) # 安装: yum -y installlibpcaplibpcap-devel ...
使用nslookup进行DNS查询及tcpdump/wireshark抓取DNS数据包
ss810540895的博客
03-05 3702
我们通常使用nslookup工具来测试DNS解析,获取DNS报文的详细数据,这也是我们想要使用协议分析工具nslookup来分析DNS流量进行分析。您可以使用它来执行 DNS 查询并接收:域名或 IP 地址,或任何其他特定的 DNS 记录。默认查询主机地址,想要测试其他类型的资源记录,先使用 set type命令设置要查询的DNS记录类型,然后输入域名,可得到相应类型的域名测试结果。这是一个简单的DNS解析过程,序号为56的数据包显示的是DNS查询报文,序号为57是数据包是DNS应答报文。
DNS流量分析——使网络更安全
虹科网络安全的博客
07-07 4270
人们很容易忽视域名系统(DNS)及其在整个互联网和本地内部网中发挥的关键作用。这主要是因为,尽管我们每天都依赖DNS,但它对用户基本上是透明的,而且我们都理所当然地认为它会正常工作。当普通人打开网络浏览器,输入www.baidu.com、www.taobao.com或任何其他网站名称,却看不到该网站时,经常会听到类似“互联网坏了!”的声音。“嗯……不,互联网很少“坏掉”,但很有可能是DNS出了问题。安全专业人士越来越多地认识到DNS也是攻击网络的潜在威胁载体。DNS设计的时候甚至还没有考虑到互联网的安全..
DNS解析监控是什么?解析监控有什么用?
weixin_53018687的博客
04-27 639
DNS解析监控特有的防篡改预警机制,能够对域名的DNS服务器设置、子域名NS记录以及域名的解析记录进行监测,当DNS服务器发生变更或解析记录发生变化时,DNS解析监控系统就会发起预警,避免域名解析记录被恶意篡改、误操作或配置错误而导致解析不生效情况的发生。结合解析篡改预警机制,对权威解析服务器中的域名解析设置进行实时监测,有效预防解析被篡改、误操作等异常行为,通过日志分析功能,为用户的解析服务进行过程化监控,提前发现诸如地址不可达、MX邮件告警。,DNS解析监控有哪些作用做下简单介绍。
如何验证 dnsmasq 是否真正在使用并行查询?
最新发布
07-09
<think>为了验证 dnsmasq 是否真正在使用并行查询(即同时向上游多个 DNS 服务器发送查询请求),我们可以通过以下方法进行测试: ### 方法1:使用 tcpdump 抓包分析 通过捕获 DNS 查询数据包,观察同一查询是否同时发送到多个上游服务器。 #### 步骤: 1. 启动 tcpdump 抓取 DNS 流量(端口53) 2. 执行一个 DNS 查询(例如使用 dig 向 dnsmasq 请求解析) 3. 分析抓包结果,查看同一查询是否同时出现在多个上游服务器 ```bash # 1. 开始抓包(后台运行) sudo tcpdump -i any -nn -w dns.pcap port 53 & TCPDUMP_PID=$! # 2. 发送测试查询 dig @127.0.0.1 example.com # 3. 停止抓包 sudo kill $TCPDUMP_PID # 4. 分析抓包文件(使用文本模式查看) tcpdump -nn -r dns.pcap | grep 'example.com' ``` #### 预期结果: 如果启用了并行查询,应该看到几乎在同一时间(毫秒级差异)向多个上游服务器发送了相同的查询(相同的查询ID和域名)。 ### 方法2:使用 dnsmasq 日志功能 配置 dnsmasq 记录详细日志,通过日志观察查询行为。 #### 步骤: 1. 修改 `/etc/dnsmasq.conf` 开启详细日志: ```ini log-queries log-facility=/var/log/dnsmasq.log ``` 2. 重启 dnsmasq 服务 3. 执行测试查询 4. 分析日志 ```bash sudo systemctl restart dnsmasq dig @127.0.0.1 example.com sudo grep "query" /var/log/dnsmasq.log ``` #### 日志示例(并行查询): ``` dnsmasq[1234]: query[A] example.com from 127.0.0.1 dnsmasq[1234]: forwarded example.com to 8.8.8.8 dnsmasq[1234]: forwarded example.com to 1.1.1.1 dnsmasq[1234]: reply example.com is 93.184.216.34 dnsmasq[1234]: reply example.com is 93.184.216.34 ``` **注意**:日志中会显示同时向上游多个服务器转发同一个查询。 ### 方法3:使用延迟注入测试 通过人为给部分上游服务器添加延迟,观察响应时间。 #### 原理: 如果并行查询生效,总响应时间应接近最快服务器的响应时间(而不是多个服务器响应时间的总和)。 #### 步骤: 1. 使用 `tc` 命令给部分上游服务器添加网络延迟 2. 测量查询时间 ```bash # 给发往 8.8.8.8 的 DNS 包添加 100ms 延迟 sudo tc qdisc add dev eth0 root handle 1: prio sudo tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dst 8.8.8.8 match ip dport 53 0xffff flowid 1:1 sudo tc qdisc add dev eth0 parent 1:1 handle 10: netem delay 100ms # 测试查询时间(无延迟服务器) time dig @127.0.0.1 example.com > /dev/null # 清理 tc 规则 sudo tc qdisc del dev eth0 root ``` #### 预期: - 如果并行查询生效,即使一个服务器有100ms延迟,查询时间也应接近正常服务器的响应时间(如20ms左右) - 如果未启用并行查询(按顺序查询),总时间可能达到120ms(20ms + 100ms) ### 方法4:使用 wireshark 图形化分析 1. 使用 tcpdump 抓包生成 pcap 文件 2. 用 wireshark 打开,分析 DNS 流量 - 过滤表达式:`dns && ip.dst==<上游服务器IP>` - 比较同一查询的发送时间戳 ### 代码验证工具 以下 Python 脚本可自动完成测试并分析: ```python #!/usr/bin/env python3 """ dnsmasq 并行查询验证工具 """ import subprocess import time import re def setup_tc(delay_ms, target_ip): """设置网络延迟""" subprocess.run(["sudo", "tc", "qdisc", "add", "dev", "eth0", "root", "handle", "1:", "prio"]) subprocess.run(["sudo", "tc", "filter", "add", "dev", "eth0", "protocol", "ip", "parent", "1:0", "prio", "1", "u32", "match", "ip", "dst", target_ip, "match", "ip", "dport", "53", "0xffff", "flowid", "1:1"]) subprocess.run(["sudo", "tc", "qdisc", "add", "dev", "eth0", "parent", "1:1", "handle", "10:", "netem", "delay", f"{delay_ms}ms"]) def cleanup_tc(): """清除网络延迟设置""" subprocess.run(["sudo", "tc", "qdisc", "del", "dev", "eth0", "root"]) def test_query(domain="example.com"): """测试查询时间""" start = time.time() subprocess.run(["dig", "@127.0.0.1", domain, "+short"], stdout=subprocess.DEVNULL) return (time.time() - start) * 1000 # 毫秒 def main(): # 测试正常情况 normal_time = test_query() print(f"正常查询时间: {normal_time:.2f} ms") # 设置延迟(100ms)到第一个上游服务器(假设8.8.8.8是其中一个) setup_tc(100, "8.8.8.8") try: # 测试有延迟的情况 delayed_time = test_query() print(f"有延迟时的查询时间: {delayed_time:.2f} ms") # 判断是否并行查询:延迟后的时间应远小于100ms(接近正常时间) if delayed_time < 50: # 假设正常时间+延迟影响小于50ms print("✅ 并行查询生效(响应时间未明显增加)") else: print("❌ 并行查询未生效(响应时间显著增加)") finally: cleanup_tc() if __name__ == "__main__": main() ``` **执行结果示例**: ``` 正常查询时间: 23.45 ms 有延迟时的查询时间: 28.76 ms ✅ 并行查询生效(响应时间未明显增加) ``` --- ### 结论验证要点 1. **抓包分析**:同时出现多个相同查询包 2. **日志分析**:同时记录多个转发动作 3. **延迟测试**:总时间不随单个服务器延迟而线性增加 --- §§相关问题§§: 1. 如何配置 dnsmasq 的查询超时时间以优化并行查询? 2. 在 dnsmasq 中如何设置某些域名只使用特定 DNS 服务器? 3. 如何通过 dnsmasq 实现 DNS 查询的负载均衡? 4. dnsmasq 的缓存机制如何影响并行查询的效率?</think>### 验证 dnsmasq 是否真正使用并行查询的方法 要验证 dnsmasq 是否真正执行并行查询,可以通过以下四种方法进行检测,每种方法都提供代码实现和详细解释: --- #### 方法 1:抓包分析(使用 tcpdump) 通过捕获 DNS 流量,观察查询是否同时发送到多个上游服务器。 ```bash #!/bin/bash # 并行查询验证工具 - tcpdump 抓包法 # 启动抓包(后台运行) sudo tcpdump -i any -nn -s0 -w dns_traffic.pcap 'port 53' & TCPDUMP_PID=$! # 发送测试查询 dig @127.0.0.1 example.com +short > /dev/null # 停止抓包 sudo kill $TCPDUMP_PID # 分析抓包结果 echo "🚀 抓包分析结果:" tcpdump -nn -r dns_traffic.pcap 'udp and port 53' | awk ' { if ($1 ~ /^[0-9]/) { timestamp = $1 " " $2 src = $3 dst = $5 query = $(NF-1) if (query != last_query) { if (query_count > 1) { print "✅ 并行查询: " last_query " -> " query_count " 个服务器" } last_query = query query_count = 0 delete servers } if (!servers[dst]) { servers[dst] = 1 query_count++ } } } END { if (query_count > 1) { print "✅ 并行查询: " last_query " -> " query_count " 个服务器" } }' ``` **执行结果示例**: ``` ✅ 并行查询: example.com -> 3 个服务器 ``` **原理说明**: 1. 捕获所有 DNS 流量(端口 53) 2. 分析相同查询是否在短时间内(毫秒级)发送到多个服务器 3. 统计同一查询发往的不同服务器数量 --- #### 方法 2:日志分析(启用详细日志) 通过分析 dnsmasq 日志判断是否同时转发查询。 **步骤 1:启用详细日志** ```bash # /etc/dnsmasq.conf log-queries log-facility=/var/log/dnsmasq.log ``` **步骤 2:日志分析脚本** ```python #!/usr/bin/env python3 """ dnsmasq 并行查询日志分析工具 """ import re from collections import defaultdict def analyze_dnsmasq_log(log_file): # 存储查询ID到服务器的映射 query_map = defaultdict(set) # 日志模式: [timestamp] query[A] example.com from 192.168.1.10 # [timestamp] forwarded example.com to 8.8.8.8 query_pattern = re.compile(r'query\[.*\] (\S+) from') forward_pattern = re.compile(r'forwarded (\S+) to (\d+\.\d+\.\d+\.\d+)') with open(log_file, 'r') as f: for line in f: # 匹配查询开始 query_match = query_pattern.search(line) if query_match: domain = query_match.group(1) query_map[domain] = set() continue # 匹配转发记录 forward_match = forward_pattern.search(line) if forward_match: domain, server = forward_match.groups() if domain in query_map: query_map[domain].add(server) # 输出结果 print("🔍 并行查询分析报告:") for domain, servers in query_map.items(): count = len(servers) if count > 1: print(f"✅ 并行查询 [{domain}] 发送到 {count} 个服务器: {', '.join(servers)}") elif count == 1: print(f"⚠️ 单服务器查询 [{domain}] -> {next(iter(servers))}") else: print(f"❌ 未找到查询记录 [{domain}]") if __name__ == "__main__": analyze_dnsmasq_log("/var/log/dnsmasq.log") ``` **执行结果示例**: ``` ✅ 并行查询 [example.com] 发送到 3 个服务器: 8.8.8.8, 1.1.1.1, 9.9.9.9 ``` --- #### 方法 3:响应时间对比测试 通过人为制造延迟,观察响应时间是否受单个服务器影响。 ```bash #!/bin/bash # 并行查询响应时间测试工具 # 模拟延迟函数 add_delay() { sudo tc qdisc add dev eth0 root handle 1: prio sudo tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dst $1 match ip dport 53 0xffff flowid 1:1 sudo tc qdisc add dev eth0 parent 1:1 handle 10: netem delay $2 } # 清理网络设置 cleanup() { sudo tc qdisc del dev eth0 root >/dev/null 2>&1 } # 测试函数 test_query() { local domain=$1 echo -n "查询 $domain: " # 无延迟基准测试 start=$(date +%s%3N) dig @127.0.0.1 $domain +short >/dev/null end=$(date +%s%3N) baseline=$((end - start)) echo -n "基准 ${baseline}ms | " # 添加单个服务器延迟 add_delay "8.8.8.8" 500ms start=$(date +%s%3N) dig @127.0.0.1 $domain +short >/dev/null end=$(date +%s%3N) delayed=$((end - start)) # 计算影响 impact=$((delayed - baseline)) echo -n "延迟后 ${delayed}ms (影响 +${impact}ms) | " # 判断并行性 if [ $impact -lt 100 ]; then echo "✅ 并行查询生效" else echo "❌ 可能未使用并行查询" fi cleanup } # 执行测试 test_query "example.com" test_query "google.com" ``` **执行结果**: ``` 查询 example.com: 基准 23ms | 延迟后 35ms (影响 +12ms) | ✅ 并行查询生效 查询 google.com: 基准 28ms | 延迟后 542ms (影响 +514ms) | ❌ 可能未使用并行查询 ``` **原理**: - 给特定 DNS 服务器添加 500ms 延迟 - 如果总响应时间增加 <100ms,说明使用并行查询(取最快响应) - 如果响应时间增加 ≈500ms,说明是顺序查询 --- #### 方法 4:dnsmasq 内部状态检查 使用 dnsmasq 的控制接口获取实时状态。 ```bash #!/bin/bash # dnsmasq 内部状态检查工具 # 发送 USR1 信号使 dnsmasq 转储状态 sudo kill -USR1 $(pidof dnsmasq) # 分析系统日志 sudo grep "dnsmasq\[" /var/log/syslog | awk ' /query stats/ { in_stats=1 } /Server:/ { if (in_stats) { print "🏁 上游服务器: "$2" 查询:"$4" 缓存命中率:"$6 } } /parallel queries now in progress/ { print "🚦 并行查询状态: "$1" 个进行中" } /forwarded/ { split($0, parts, " ") domain = parts[4] server = parts[6] print "📤 查询 ["domain"] -> "server }' # 提取缓存状态 echo "💾 缓存状态:" sudo grep "cache size" /var/log/syslog | tail -1 ``` **执行结果示例**: ``` 🏁 上游服务器: 8.8.8.8 查询:152 缓存命中率:42% 🏁 上游服务器: 1.1.1.1 查询:148 缓存命中率:45% 🚦 并行查询状态: 3 个进行中 📤 查询 [example.com] -> 8.8.8.8 📤 查询 [example.com] -> 1.1.1.1 💾 缓存状态: cache size 1500, 432/864 cache insertions re-used unexpired cache entries. ``` --- ### 验证要点总结 1. **并行查询特征**: - 同一查询的多个转发记录时间戳接近(<10ms) - 总响应时间不受单个慢速服务器影响 - 日志中出现多个服务器同时处理同一查询 2. **配置要求**: ```ini # /etc/dnsmasq.conf all-servers # 启用并行查询 query-timeout=1000 # 设置合理超时(毫秒) ``` 3. **性能影响**: ```bash # 监控查询延迟 dnstop -l 5 eth0 ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值