dnscap — это утилита сетевого захвата, специально разработанная для трафика DNS.
Он создает двоичные данные в pcap (3) и другом формате.
Эта утилита похожа на tcpdump (1), но имеет ряд функций, адаптированных к транзакциям DNS и параметрам протокола. DNS-OARC использует dnscap для сбора данных DITL.
Некоторые из его функций включают в себя:
Понимает как IPv4, так и IPv6
Захватывает UDP, TCP и IP фрагменты.
Соберите только запросы, ответы или оба варианта (-s)
Соберите только для определенных адресов источника/получателя (-a -z -A -Z)
Периодически создает новые файлы pcap (опция -t)
Создает сценарий загрузки после закрытия файла pcap (опция -k)
Начинает и прекращает сбор в определенное время (-B -E)
Зависимости
dnscap имеет необязательную зависимость от библиотеки PCAP и дополнительных зависимостей от LDNS.
Библиотека BIND libbind считается необязательной, но она необходима в OpenBSD для различных заголовков arpa/nameser * include.
Чтобы установить зависимости в Debian/Ubuntu:
# apt-get install -y libpcap-dev libldns-dev libbind-dev zlib1g-dev
Чтобы установить зависимости в CentOS (с включенным EPEL):
# yum install -y libpcap-devel ldns-devel openssl-devel bind-devel zlib-devel
Чтобы установить некоторые из зависимостей под FreeBSD 10+, используя pkg:
# pkg install -y libpcap ldns
Чтобы установить некоторые зависимости в OpenBSD 5+ с помощью pkg_add:
# pkg_add libldns
Создание из исходного архива
Исходный архив из DNS-OARC подготовлен с помощью configure:
# tar zxvf dnscap-version.tar.gz # cd dnscap-version # ./configure [options] # make # make install
Ограничения, отклонения и проблемы
Поскольку это еще экспериментальный выпуск, есть, конечно, некоторые проблемы:
RDATA находится в двоичном формате
DNS-пакет анализируется с помощью LDNS, который может выйти из строя, если сформированы неверные пакеты
dateSeconds добавляется в виде двойника C, который может потерять часть времени
Скачать DNSCAP
Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.
0 Комментарии