DNS Anomalie loggen

20/01/2012 - 09:30 von Frank Kirschner | Report spam
Hallo Linuxianer,

in einem Netzwerk befinden sich verseuchte Windows hosts, die sporadisch pro Sekunde > 1000 DNS Anfragen an einen DNS Server schicken, um ein und die selbe Domain aufzulösen. Momentan helfe ich mir so: per Portmirroring spiegel ich die Pakete an den Router auf eine Linuxkiste und logge dort mit

# /usr/sbin/tcpdump -s 65535 -i eth3 port 53 -w dnslog

Das ganze per Cron um 18 Uhr gestartet und um 22 Uhr gekillt. Dann Auswertung per Wireshark. Alles sehr aufwendig.

Kennt jemand eine Möglichkeit in die Pipe zu loggen und wenn mehr als 3 DNS Anfragen zur Auflösung der gleichen Domain aufeinander folgend von der gleichen Source IP auftreten, dieses dann in ein File zu loggen? Also so:

# /usr/sbin/tcpdump -s 65535 -i eth3 port 53 | .

lg
Frank
 

Lesen sie die antworten

#1 Juergen Ilse
20/01/2012 - 09:53 | Warnen spam
Hallo,

Frank Kirschner wrote:
in einem Netzwerk befinden sich verseuchte Windows hosts, die sporadisch pro Sekunde > 1000 DNS Anfragen an einen DNS Server schicken, um ein und die selbe Domain aufzulösen. Momentan helfe ich mir so: per Portmirroring spiegel ich die Pakete an den Router auf eine Linuxkiste und logge dort mit

# /usr/sbin/tcpdump -s 65535 -i eth3 port 53 -w dnslog

Das ganze per Cron um 18 Uhr gestartet und um 22 Uhr gekillt. Dann Auswertung per Wireshark. Alles sehr aufwendig.

Kennt jemand eine Möglichkeit in die Pipe zu loggen und wenn mehr als 3 DNS Anfragen zur Auflösung der gleichen Domain aufeinander folgend von der gleichen Source IP auftreten, dieses dann in ein File zu loggen? Also so:

# /usr/sbin/tcpdump -s 65535 -i eth3 port 53 | .



Warum laesst du den DNS-Server nicht fuer eine begrenzte Zeit die Queries
loggen, das query-log laesst sich doch viel einfacher auswerten als ein
TCP-Dump ...
Wenn z.B. bei bind das query-logging passend konfiguriert ist, kann man
es mit "rndc querylog" an- und wieder abschalten (der Befehl toggled dann
das query-logging). Ich wuerde das querylog dazu in eine andere Datei
laufen lassen als den Rest vom DNS-logging.

Tschuess,
Juergen Ilse ()
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Ähnliche fragen