Zilele astea, asa aiurea, mi-am adus aminte de ceva interesant. La un moment dat al vietii mele am dat peste un articol scris de cineva de la TUWIEN in care se prezenta o analiza a traficului din retea in scopul identificarii echipamentelor cu probleme, analiza ce se baza pe traficul DNS. Super interesanta ideea. Imi promisesem atunci ca o sa-l contactez pe omul cu pricina si o sa-l intreb daca ideile din articol au fost duse la capat (si eventual a scris vreun tool ceva), insa am uitat.
Vineri insa, mi-am pus in cap sa vad cum pot avea acces la query-urile unui server de dns (bind), in ideea de a construi un tool care sa fie capabil sa determine ce domenii sunt in reteaua mea. Am incercat o zi intreaga sa-l conving pe bind sa logheze tot. Adica cine intreaba, ce intreaba si ce i se raspunde. Ei bine, in afara de primele doua (cine si ce intreaba) n-am reusit. Imi lipsea exact partea care ma interesa cel mai tare. Raspunsul. Dupa ceva timp de RTFM, am descoperit America: “rndc dumbdb -cache”, comanda care salveaza in directorul de logs al bind, un named_dump.db in care este tot cache-ul bind-ului. Folosind fisierul asta (bineinteles, actualizat periodic), poti afla foarte usor domeniile care se rezolva in adrese IP din reteaua ta :D