Rom*_*YRR 6 windows-server-2008 logging
我正在尝试过滤日志以查找外部网站的可疑出站流量。在 DNS 服务器上,我可以设置调试日志记录,但是我看不到一种方法来查看向服务器发出 DNS 请求的计算机的原始来源。有没有办法捕获这些数据以了解到达我的服务器的 DNS 请求的源 IP 地址?
我会考虑将Wireshark或 Microsoft 的网络监视器与足够粒度的捕获过滤器一起使用,以将捕获限制为您正在寻找的 DNS 流量。捕获数据后,您可以返回并执行分析。
我可能会使用tsharkWireshark 中的命令行程序将流量捕获到相对较小的文件中,然后tshark在另一台机器上再次使用以转储文件并通过它们进行 grep。捕获命令行可能类似于:
tshark -i <inteface number here> -b filesize:32768 -w dns_capture udp and dst port 53 and dst host x.x.x.x
您可以使用 获取机器的接口号tshark -D。该-b filesize:32768参数指定在开始新的捕获文件之前捕获到 32,768KB (32MB) 的缓冲区中。所述-w dns_capture指定的基部输出文件名dns_capture(其将具有加入作为每个文件填充一个增量计数和时间戳)。这udp and dst port 53 and dst host x.x.x.x是一个 tcpdump 捕获过滤器,它指定只捕获目标端口为 53 且目标地址为 的 udp 数据包x.x.x.x(您应该替换 DNS 服务器的 IP 地址)。
获得文件后,您可以使用任意数量的 PCAP 文件分析工具。就个人而言,我只是用tshark与-r参数读取文件,并使用dump出来作为人类可读的文本-T text参数。然后我只是 grep 输出。(我这样做主要是因为我已经准备好了所有工具。还有很多其他方法可以做到。)