Итак, здесь у нас есть пример того, почему Google напуган ... просят Google найти конкретный рецепт "что такое заклинание tcpdump для обнюхивания / фильтрации только для пакетов обновления ddns "заканчивается миллиардом страниц материала, не связанного с тем, что меня интересует ... Тем не менее, много всего о настройке DNS-сервера.
так...
Кто-нибудь знает конкретный фильтр tcpdump, который вы бы использовали для захвата только динамические пакеты обновления днс?
Wireshark и tcpdump, похоже, распознают пакеты обновления ddns (я использую файл pcap примера wirehark с пакетами обновления ddns из WireShark вики). Так что, по крайней мере, я могу просто отфильтровать трафик порта 53, но на этой ссылке это будет метрическая нагрузка трафика.
Спасибо! Извините за вопрос типа 101 ...
Что-то вроде этого работает для IPv4:
tcpdump 'udp[0xa] & 0x78 = 0x28'
Рассуждения (смещения относительно начала пакета UDP - вероятно, проще всего следовать вместе с открытым Wireshark):
Код операции DNS - это биты 3-6 (отсюда маска 01111000 = 0x78) байта 10, и для обновлений нам нужен код операции DNS 5; 5 << 3 = 40 = 0x28.
По такому запросу dnscap это явно лучшее решение, потому что вы можете писать запросы, специфичные для DNS.
Запрос типа:
% dnscap -w updates.pcap -mu -i eth0
будет держать в updates.pcap
файл только запросы обновления ddns.