orjinali: http://blog.csirt.ulakbim.gov.tr/?p=77
Açık kaynak kodlu çok ama çok yararlı bir uygulama olan DNSTOP http://dns.measurement-factory.com/tools/dnstop/ tarafından geliştirilmiştir. Bu uygulama sayesinde gelen giden tüm DNS trafiği rahatlıkla gözlenebilmektedir. En çok yapılan saldırılar gözlenmektedir. Aynı şekilde yanlış ayarlanmış kullanıcılarda rahatlıkla bulunabilir.
IPv4 ve IPv6 uyumlu olan bu uygulama ile nerede ise tüm DNS trafiği görülebilmektedir. Çok yoğun isteklerin büyük bir kısmı istenmeyen ticari bağlantılar, band kapasitesi yiyen solucanlar olabilir. Kullanımına gelince;
dnstop [-46apsQR] [-b filtre] [-i adres] [-f filtre-şekli] [-r aralık] [arayüz] [saklama_dosyası]
-4 Sadece IPv4 trafiği
-6 Sadece IPv6 trafiği
-a IP trafiğini anonimleştir
-b
BPF Filtresi
(Varsayılan: udp port 53)
-i adres
Belirtilen adresi görmezden gel.
-p Promiscous kipinde çalıştırma.
-r Ekran tazeleme hızı (saniye)
-l seviye
seviye’sine kadar olan alan adlarının istatistiğini tut. Her seviye için daha çok CPU harcar.
-f unkown-tlds/A-for-A/rfc1918-ptr
“unknown-tlds”: Bogus istekleri gösterir. localhost, wpad, workgroup gibi.
“A-for-A”: İçerisinde A kaydı isteği bulunan istekler. Microsoft Windows DNS sunucularında olan bir hatadan dolayı.
“rfc1918-ptr”: RFC1918 kısmı için gelen PTR istekleridir. Sadece iç ağlarda olması gerekir.
-Q Sadece DNS isteklerini say.
-R Sadece DNS cevaplarını say.
saklama_dosyası: Önceden yakalanmış olan pcap formatındaki dosya
arayüz: ethernet cihazı (fxp0, eth0 gibi.)
Aynı zamanda top gibi uygulamaların kullanım şekliylede kullanılabilmektedir. Bu şekli ile de pekçok bilgi vermektedir. Bence bunları tek tek deneyin ve sonucuna göre kullanımını geliştirin. Benim en çok kullanıdığım * ve t tuşlarıdır. İlki 8. seviyeye kadar alan adlarını kaynak adresleri ile birlikte gösterir. İkincisi ise isteklerin tiplerini sayıları ile beraber göstermektedir. Diğerleri için “man dnstop” demeniz yeterlidir. Eğer henüz kurmadı iseniz http://dns.measurement-factory.com/tools/dnstop/dnstop.8.html adresinden bilgi edinebilirsiniz.
http://dns.measurement-factory.com/tools/dnstop/dnstop.8.html