使用dnstop看DNS查詢的情況

要看自架的DNS服務被查詢的情況，可以用dnstop指令： 

• sudo dnstop -l 5 eth0

上述的 eth0 指的是要被監控的網卡，也可以分析用tcpdump產生的pcap檔案：

• tcpdump -c 1000 port 53 -w dump.pcap
• dnstop -l 5 dump.pcap

啟動dnstop之後，按Ctrl-X可以跳出，其他按鍵功能如下：

• s：根據來源source address的查詢數排序，預設顯示這個頁面
• c：根據來源source address的查詢數排序，且顯示查詢網域
• d：根據目的destination address的查詢數排序，在DNS slave server上可以看到有些會導向master server等。還可以看到去查詢的其他DNS server
• t：根據query type的查詢數排序，query type例如說像
  A, AAAA, SRV, MX TXT, SOA, NS, DNSKEY, SPF, CNAME等
• r：根據Rcode的查詢數排序，這邊可以看到有多少錯誤
• o：根據Opcode的查詢數排序，直接看到DNS查詢總計
• 1：1st level query name (TLD)的查詢數排序，
  例如tw, com, bz, ...
• 2：2nd level query name的查詢數排序，
  例如com.tw, gov.tw, ...
• 3：3rd level query name的查詢數排序，
  例如www.com.tw, www.gov.tw
• 只要指令dnstop的-l設定到9，可看到從1, 2, ..., 8, 9這九個層級
• !：根據來源並顯示1st level query name的查詢數排序
• @：根據來源並顯示2nd level query name的查詢數排序
• #：根據來源並顯示3rd level query name的查詢數排序
• 只要指令dnstop的-l設定到9，可看到從!, @, #, ..., *, )這九個層級
• Ctrl-R：更新計數器
• Ctrl-X：跳出dnstop這支程式

參考資料

• dnstop – Monitor and display DNS server traffic on your network
• DNSTOP: STAY ON TOP OF YOUR DNS TRAFFIC：操作手冊
• 使用dnstop 來觀察dns運作的情形：有圖示的中文說明
• dnstop - no output file：dnstop的savefile，不是說dnstop會把分析的結果存到savefile，而是要用其他工具像是tcpdump把網路封包存成pcap格式，之後丟給dnstop來分析

_EOF_

manhattan on a floating island in the sky, waterfalls falling down, low poly art, isometric art, 3d render, ray tracing, high detail, artstation, concept art, behance, smooth, sharp focus, ethereal lighting

Steps: 20, Sampler: DPM++ 2M Karras, CFG scale: 7, Seed: 3510921946, Size: 512x512, Model hash: 6ce0161689, Model: v1-5-pruned-emaonly, Version: v1.6.0-2-g4afaaf8a

Time taken: 8 min. 33.1 sec.
A: 3.47 GB, R: 3.57 GB, Sys: 2.0/2 GB (100.0%)