가끔 서버를 사용하다 보면 DNS에서 어떤 아이피가 쿼리를 질의하는지 확인하고 싶을때가 있다
아니면 공격성이 있을때
서버에 네임서버가 존재하는 경우 DNSTOP 을 이용해 아이피 및 도메인별 질의 COUNT를 확인할수 있다
서버에 맞게 RPM 파일을 다운 받아서 설치
다운로드 사이트
http://pkgs.repoforge.org/dnstop/
여기서 해당 버전에 맞는 버전을 설치를 하면 된다
단 설치전에 libpcap이 설치되어 있어야 하니 해당 패키지를 설치
yum -y install libpcap libpcap-devel
설치 후 dnstop 명령어로 확인 할수 있다
명령어는 다음과 같다
[root@xinet ~]# dnstop -h
dnstop: invalid option — h
usage: dnstop [opts] netdevice|savefile
-4 Count IPv4 packets
-6 Count IPv6 packets
-a Anonymize IP Addrs
-b expr BPF program code
-i addr Ignore this source IP address
-p Don’t put interface in promiscuous mode
-r Redraw interval, in seconds
-l N Enable domain stats up to N components
-f filter-name
Available filters:
unknown-tlds
A-for-A
rfc1918-ptr
[root@xinet ~]# dnstop -4 -l 3 eth0
어떤 아이피에서 질의를 하는지 순서대로 출력
여기서 (Shift + 1) ( Shift + 2 ) (Shift + 3 ) 을 키를 누르면 아래처럼 정렬된것을 볼수 있다.
