主页 > 问题发明 >DNS伺服器查询日誌设定(Bind9) – KerKer 的 >

问题发明

05-21

DNS伺服器查询日誌设定(Bind9) – KerKer 的


472点赞

463浏览

边做边学,顺便留个笔记,若有错误请不吝指教。

有时防火墙抓到有主机在查询已知的恶意Domain,一看主机IP居然是自家的DNS Server头就开始痛, 鬼知道是谁在再透过自家的DNS Server乱搞,这个时候就有必要在DNS Server上建立查询日誌了(query log)。

我们这边以Bind9为例,首先要修改的是named.conf档案,并在logging段中加入内容如下:

logging {category queries { query-log;};channel query-log {file "/var/log/query.log" versions 10 size 1000m;severity info;print-time yes;print-severity yes;print-category yes;};};

其中file位址可以自行修改至喜欢的位置,而1000m为log档大小,也可以依据需求自行调整。

完成设定后记得重启DNS服务:

service named restart

先随意查询一个domain后使用cat指令确认是否成功纪录:

cat /var/log/query.log

Log纪录应该要包含:日期、时间、查询者IP、查询的Domain等资讯,配合grep指令可以快速查找到需要的资料。

这样一来你就可以轻鬆的揪出是谁在查询恶意domain了!当然也可以用来查是谁在用公司电脑上怪怪的网站A___A!

log查询querydnsdomainyesprint

相关文章