El Scorpio |
31-07-2023 11:55 3013140 |
DNS протоколирование определённых доменов
Вопрос: как на сервере настроить протоколирование запросов к определённым доменам? Нужно найти, какие компьютеры пытаются ресолвить определённые сетевые имена
Пытался в параметрах службы DNS включить запись в файл всех запросов - очень быстро получается огромное файло, которое служба периодически обрезает.
А мне не нужно протоколировать всё - мне нужно только записать куда-нибудь запросы на определённые имена и домены (кто когда обращался по этим адресам)
|
El Scorpio |
01-08-2023 01:19 3013170 |
Цитата:
Цитата NickM
Аудит DNS запросов клиентов в Windows Server, логи DNS »
|
Пытался в параметрах службы DNS включить запись в файл всех запросов - очень быстро получается огромное файло, которое служба периодически обрезает.
Как логировать запросы ТОЛЬКО на определённые имена или домены?
|
Цитата:
Цитата El Scorpio
Как логировать запросы ТОЛЬКО на определённые имена или домены? »
|
По моему вы пытаетесь приспособить то что не предназначено под Вашу задачу. Которая до сих пор загадка для всех, возможно даже и для Вас тоже.
Собирать DNS запросы к сайтам нужно на прокси сервере, у него как раз есть все возможности по этому поводу.
|
El Scorpio |
02-08-2023 01:44 3013226 |
Где-то в сети сидит троян, который пытается лезть на нехорошие сайты. DNS провайдера фиксирует запросы из нашей сети к этим сайтам, глушит их и присылает уведомление, а мне надо знать, какой именно компьютер их отправляет.
Прокси сервер в локальной сети не настраивал. Да и не факт, что он запишет обращение к нехорошему сайту, если нет ответа на запрос DNS.
|
Цитата:
Цитата El Scorpio
Прокси сервер в локальной сети не настраивал. Да и не факт, что он запишет обращение к нехорошему сайту, если нет ответа на запрос DNS. »
|
А может и запишет.
В Своей практике, когда поднимал первый прокси в сети, именно таки образом и ловил зловреда, который не обнаруживал NOD32 (если смогу поднять архив тех лет, процитирою обращение).
|
Цитата:
Цитата El Scorpio
Где-то в сети сидит троян, который пытается лезть на нехорошие сайты. DNS провайдера фиксирует запросы из нашей сети к этим сайтам, глушит их и присылает уведомление, а мне надо знать, какой именно компьютер их отправляет. »
|
Проще простого. Адрес сайта на который лезет Вам известен, следовательно прописать в локальном DNS с перенаправлением на любой внутренний IP адрес, а на этом внутреннем IP поставить ловушку которая и будет записывать IP обращающегося. Если ловушку Вам стоить не по феншую, то банально TCPView Вам в руки и в перёд в режиме реального времени отслеживайте.
Цитата:
Цитата El Scorpio
Да и не факт, что он запишет обращение к нехорошему сайту, если нет ответа на запрос DNS. »
|
Запишет, можете не сомневаться.
|
Цитата:
Цитата NickM
В Своей практике, когда поднимал первый прокси в сети, именно таки образом и ловил зловреда, который не обнаруживал NOD32 (если смогу поднять архив тех лет, процитирую обращение). »
|
Если не накажут за офф-топ, то вот, откопал:
Нынче этот зловред "KLAB" детектится как "Trojan.Win32.Patched.au" и лечится, но возможно не совсем корректно, т.к. повторная проверка этих файлов показывает такую картину:
|
DJ Mogarych |
14-08-2023 09:31 3013879 |
Натравить Zabbix или что-то аналогичное на логи DNS и настроить триггер.
|
Время: 02:04.
© OSzone.net 2001-