Назад | Перейти на главную страницу

tcpdump и динамическое обновление DNS

Итак, здесь у нас есть пример того, почему Google напуган ... просят Google найти конкретный рецепт "что такое заклинание tcpdump для обнюхивания / фильтрации только для пакетов обновления ddns "заканчивается миллиардом страниц материала, не связанного с тем, что меня интересует ... Тем не менее, много всего о настройке DNS-сервера.

так...

Кто-нибудь знает конкретный фильтр tcpdump, который вы бы использовали для захвата только динамические пакеты обновления днс?

Wireshark и tcpdump, похоже, распознают пакеты обновления ddns (я использую файл pcap примера wirehark с пакетами обновления ddns из WireShark вики). Так что, по крайней мере, я могу просто отфильтровать трафик порта 53, но на этой ссылке это будет метрическая нагрузка трафика.

Спасибо! Извините за вопрос типа 101 ...

Что-то вроде этого работает для IPv4:

tcpdump 'udp[0xa] & 0x78 = 0x28'

Рассуждения (смещения относительно начала пакета UDP - вероятно, проще всего следовать вместе с открытым Wireshark):

  • байты 0-7 = заголовок UDP
  • байты 8-9 = идентификатор транзакции DNS
  • байт 10 (0xa) = начало флагов DNS

Код операции DNS - это биты 3-6 (отсюда маска 01111000 = 0x78) байта 10, и для обновлений нам нужен код операции DNS 5; 5 << 3 = 40 = 0x28.

По такому запросу dnscap это явно лучшее решение, потому что вы можете писать запросы, специфичные для DNS.

Запрос типа:

% dnscap -w updates.pcap -mu -i eth0

будет держать в updates.pcap файл только запросы обновления ddns.