給阿骁兄的賀禮二: DNS 流量統計~超強版

jsquan

现上传2004年12月18日的流量图如下：

对比这两幅图，也发现一个奇怪问题：
在11：10至12：00之间，对ns2而言，Query有一突发的高峰，Respone却
没有什么变化。对ns1而言，Query有一突发的高峰，Respone跟Query变化相
一致。

jsquan

请教，按abel采集Query/Respone流量时，mrtg.cfg文件，
是设置
Options[_]: growright, noinfo （见上一贴的图）
还是
Options[_]: growright,bits （见本贴的图）

abel

Options[_]: growright,bits
不要 bits , 他會把數字 x8

對於您提到的幾個狀況,我目前也想不出來是什麼原因,
只能猜測是網路的瓶頸點,應該在那一磈造成了擁塞的狀況
bind 的 tarball 中 contrib 下附了一個叫 querypref 的程式
您可研究一下他的語法看

用一台 Server 開 query log, 記下來 user 查了什麼,
把 user 查的東西轉户 querypref 要用的 data format
(querypref 的目錄下文件有說明,很簡單即可完成,轉檔自己
寫一個小程式就可以了)

用 querypref 來發送 dns query, 並觀察 querypref report
mrtg report , 及其他網路或設備的狀況,以了解問題點在那裏
一般來說,ISP 的 IDC 試,單一 querypref 來送 , 可以到達每秒 1000 次
以上,您的狀況連一半都沒有是較人好奇的.您可在同一網段下再建一個
DNS 來試試(以免影響用戶)

有什麼結果大家可在討論看看

(我估記在 DNS Server 連外時, UDP timeout 會多,造成失敗)

coolgg

to jsquan

关于request和response相差大的情况，我这个星期也遇到2次，原因是网络不畅（路由器内存溢出），dns和外网基本断开。

平时负载发生很大变化除了病毒以及恶意攻击外，我认为还和某些设备（如缓存服务器、BRAS）动态改变首选dns有关。

jsquan

原帖由 "coolgg" 发表：
to jsquan

关于request和response相差大的情况，我这个星期也遇到2次，原因是网络不畅（路由器内存溢出），dns和外网基本断开。

平时负载发生很大变化除了病毒以及恶意攻击外，我认为还和某些设备（如缓存服务..........

谢谢。我想我该抽个时间，好好从下面两个方向自行分析一下，有结果再交流。
主要是自己工作太忙。不能潜心下来分析这个。

1、Querylog　＆　Querypref (abel推荐的)

2、跟踪一下厂家路由器设备。我的ns1与ns2连接在不同的城域网核心层节点。
设备也不一样。的确让我很郁闷。

vias

好贴！

jsquan

相关贴子如下：

1. 请教关于dnstop和Query/respone比例
   
2. http://bbs.chinaunix.net/forum/viewtopic.php?t=430300&highlight=jsquan

复制代码

回过头来，我们再看这个贴子，对于以下内容，请教又作何理解。

1. 
   
2. 一、dnstop 的输出结果如下：
   
3. 
   
4. 代码:
   
5. Sources              count      %
   
6. ---------------- --------- ------
   
7. 220.173.230.2         7008   19.8 (client's ip1)
   
8. 220.173.222.25        1252    3.5 (client's ip2)
   
9. 220.173.222.23        1043    2.9 (client's ip3)
   
10. 220.171.231.251        749    2.1 (client's ip4)
    
11. 220.171.226.123        651    1.8 (client's ip5)
    
12. 220.172.128.68         647    1.8 (我的primary DNS's ip)
    
13. 
    
14. 二、分析
    
15. client's ip1 ~ client's ip5，查询的次数，竟然比我的DNS's ip
    
16. 还要大，应该是client感染了病毒所致。
    
17. 我是通过在named.conf中增加如下语句解决的。
    
18. recursive-clients 10000; (该值默认为100)。
    
19. 
    

复制代码

skylove

发现当每秒不到一次的时候...就没有记录咯....我这里经常是replay 0...真可怜

看来需要rrdtool出马了~~

coolzsb

可以试试看这个http://www.bayour.com/bind9-snmp/，直接通过snmp抓bind的数据，感觉比修改bind方便些。

abel

[quote]原帖由 "coolzsb"]苯油ü齭nmp抓bind的数据，感觉比修改bind方便些。[/quote 发表：

這個是以 snmp 的 exec 來取徝的,你每取一次值,就會 run 一次 exec 的指令,
這個指令中的數據也是 rndc 來的, 所以個人看法兩種做法並無太大差別,
不過 snmp 的東西一般人很容易一知半解