如何时时记录dns解析结果？？

cmyyjcc

例如：当用户发出解析www.sina.com的请求，dns解析后反馈的ip是202.205.3.143，如何将域名和对应ip随时地保存下来呢？rndc命令可以将cache中的记录转存到文档中，但是这个不是时时地，tcpdump的反馈结果又太多了，还需要再从里面挑需要的东西。请问有什么好的工具或是方法吗？谢谢！

[ 本帖最后由 cmyyjcc 于 2007-5-9 12:10 编辑 ]

zxxz79

dig +trace www.sina.com.cn可以查到解释的过程，不知道是不是你要的。

cmyyjcc

是我没说清楚，我的意思是很多解析请求和结果的集合，最终形成一个类似这样的列表：

www.aa.com  A   1.1.1.1
www.bb.net   A   2.2.2.2
....
....
....

这些都是时时被采集下来的。也就是说，出现一个记录一个。

原帖由 zxxz79 于 2007-5-8 17:54 发表
dig +trace www.sina.com.cn可以查到解释的过程，不知道是不是你要的。

[ 本帖最后由 cmyyjcc 于 2007-5-8 18:03 编辑 ]

abel

這問題你需要 patch bind 才能做到,
如果你懂 C , 在 bin/named/query.c 中改,切入點有很多處,隨找一處應該都可以, ex: log_query 等

如果用 tcpdump 應該也可以,因為 DNS 的回應封包當中本來就帶了 QUESTION ,ANSWER
所以只要善用這個工具應該也行 (沒實驗過)

cmyyjcc

tcpdump的数据里没有域名和ip的对应，而且一条请求处理n行，再从中选出有用的东西也难。开始我也想在bind里面改，但是我的c语言比较差，就转向别的方法，tcpdump和rndc都试过了，就没别的办法了？

原帖由 abel 于 2007-5-10 14:54 发表
這問題你需要 patch bind 才能做到,
如果你懂 C , 在 bin/named/query.c 中改,切入點有很多處,隨找一處應該都可以, ex: log_query 等

如果用 tcpdump 應該也可以,因為 DNS 的回應封包當中本來就帶了 QUESTION ...

abel

原帖由 cmyyjcc 于 2007-5-11 12:55 发表
tcpdump的数据里没有域名和ip的对应，而且一条请求处理n行，再从中选出有用的东西也难。开始我也想在bind里面改，但是我的c语言比较差，就转向别的方法，tcpdump和rndc都试过了，就没别的办法了？

你先把 DNS 的封包結構看熟了再來想 tcpdump 怎麼做,給你一個 link
http://www.rhyshaden.com/dns.htm
tcpdump 做法取得的東西只是 raw data  , 你要再用你熟悉的程序再加工一下就可以了

給你一個 sample 你自己再研究一下 這一類的用法
tcpdump "udp dst port 53 and udp[10] & 0x8000 = 0"

不過我再怎麼看都是改程式最快呀

cmyyjcc

嗯，对于高手改程序是最快的，但是我这种入门级就难了，谢谢你，我继续研究！

原帖由 abel 于 2007-5-11 15:20 发表

你先把 DNS 的封包結構看熟了再來想 tcpdump 怎麼做,給你一個 link
http://www.rhyshaden.com/dns.htm
tcpdump 做法取得的東西只是 raw data  , 你要再用你熟悉的程序再加工一下就可以了

給你一 ...

cdleo

在考虑针对sina的ttl＝60的应对方案吧? :p

cmyyjcc

原帖由 cdleo 于 2007-5-16 15:28 发表
在考虑针对sina的ttl＝60的应对方案吧? :p

不是的，sina只是随便的例子，如果只那么简单就好了