我正在尝试过滤日志以查找外部网站的可疑出站流量.在DNS服务器上,我可以设置调试日志记录,但是我没有看到查看向服务器发出DNS请求的计算机的原始源的方法.有没有办法捕获这些数据,以了解到达我的服务器的DNS请求的源IP地址?
我会考虑使用
Wireshark或Microsoft的
Network Monitor以及足够粒度的捕获过滤器来限制捕获到您正在寻找的DNS流量.获得数据后,您可以返回并执行分析.
原文链接:https://www.f2er.com/windows/368979.html我可能会使用Wireshark中的tshark命令行程序将流量捕获到相对较小的文件中,然后在另一台机器上再次使用tshark来转储文件并通过它们进行grep.捕获命令行可能类似于:
tshark -i <inteface number here> -b filesize:32768 -w dns_capture udp and dst port 53 and dst host x.x.x.x
您可以使用tshark -D获取机器的接口编号. -b filesize:32768参数指定在开始新的捕获文件之前捕获到32,768KB(32MB)的缓冲区. -w dns_capture指定dns_capture的基本输出文件名(在每个文件填充时将添加增量计数和时间戳). udp和dst端口53和dst主机x.x.x.x是一个tcpdump捕获过滤器,它指定只捕获目标端口为53且目标地址为x.x.x.x(应替换DNS服务器的IP地址)的udp数据包.
获得文件后,您可以使用任意数量的PCAP文件分析工具.就个人而言,我只是使用带有-r参数的tshark来读取文件,并使用-T text参数将它们转储为人类可读的文本.然后我只是grep输出. (我这样做主要是因为我准备好了所有工具.还有很多其他方法可以做到.)
