Saya akan sedikit share bagaimana cara nya untuk bisa melihat statistik dari hasil query user yang menggunakan DNS Linux, Cara nya dengan menggunakan tools dnstop yang akan di install pada DNS Server Linux nya. Kebetulan saya coba nya pakai Linux Centos.
Cara nya adalah :
1. Download dulu dnstop :
# wget http://pkgs.repoforge.org/dnstop/dnstop-0.0.20080502-1.el6.rf.x86_64.rpm
--2014-11-12 14:27:02-- http://apt.sw.be/redhat/el6/en/x86_64/rpmforge/RPMS/dnstop-0.0.20080502-1.el6.rf.x86_64.rpm
Resolving apt.sw.be... 193.1.193.67
Connecting to apt.sw.be|193.1.193.67|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 29807 (29K) [application/x-redhat-package-manager]
Saving to: “dnstop-0.0.20080502-1.el6.rf.x86_64.rpm”
100%[========================================================================================>] 29,807 26.8K/s in 1.1s
2014-11-12 14:27:04 (26.8 KB/s) - “dnstop-0.0.20080502-1.el6.rf.x86_64.rpm” saved [29807/29807]
2. Kemudian install dnstop nya :
# rpm -ivh dnstop-0.0.20080502-1.el6.rf.x86_64.rpm
warning: dnstop-0.0.20080502-1.el6.rf.x86_64.rpm: Header V3 DSA/SHA1 Signature, key ID 6b8d79e6: NOKEY
Preparing... ########################################### [100%]
1:dnstop ########################################### [100%]
3. Jalankan dnstop nya, untuk melihat statistik IP yang melakukan query ke DNS Linux kita bisa dilihat dengan perintah :
# dnstop eth8 -Q
Untuk melihat level 3 dari domain bisa jalankan perintah berikut :
# dnstop -l 3 eth8
2 new queries, 220 total queries Mon Aug 4 05:56:50 2008
Sources count %
---------------- --------- ------
180.248.xxx.26 72 32.7
77.89.xx.108 7 3.2
186.xxx.13.108 5 2.3
90.xxx.94.39 4 1.8
178.xx.77.83 4 1.8
187.xxx.149.23 4 1.8
xxx.13.249.70 4 1.8
1.xxx.169.102 4 1.8
189.xx.191.126 4 1.8
xxx.239.194.97 3 1.4
Untuk Melihat Top10 TLD bisa setelah running command diatas, lalu tekan “1” :
5 new queries, 1525 total queries Mon Aug 4 06:11:09 2008
TLD count %
------------------------------ --------- ------
net 520 34.1
biz 502 32.9
in-addr.arpa 454 29.8
in 23 1.5
org 15 1.0
com 11 0.7
Untuk melihat Top10 domain, bisa dengan sambil menekan tombol “2” :
3 new queries, 1640 total queries Mon Aug 4 06:13:20 2008
SLD count %
------------------------------ --------- ------
cyberciti.biz 557 34.0
nixcraft.net 556 33.9
74.in-addr.arpa 34 2.1
208.in-addr.arpa 29 1.8
195.in-addr.arpa 28 1.7
192.in-addr.arpa 27 1.6
64.in-addr.arpa 27 1.6
theos.in 23 1.4
203.in-addr.arpa 20 1.2
202.in-addr.arpa 18 1.1
212.in-addr.arpa 15 0.9
nixcraft.com 13 0.8
217.in-addr.arpa 13 0.8
213.in-addr.arpa 12 0.7
128.in-addr.arpa 12 0.7
193.in-addr.arpa 12 0.7
simplyguide.org 12 0.7
cricketnow.in 3 0.2
Lebih detail lagi Top10 subdomain nya bisa juga tekan “3” :
www.cyberciti.biz 60 39.0
figs.cyberciti.biz 33 21.4
ns1.nixcraft.net 18 11.7
ns3.nixcraft.net 13 8.4
ns2.nixcraft.net 13 8.4
theos.in 5 3.2
nixcraft.com 5 3.2
cyberciti.biz 2 1.3
jobs.cyberciti.biz 1 0.6
bash.cyberciti.biz 1 0.6
Untuk melihat Top10 jenis yang di query bisa dengan menekan tombol “t” :
Query Type Count %
---------- --------- ------
A? 224 56.7
AAAA? 142 35.9
A6? 29 7.3
Untuk melihat yang terkoneksi dengan DNS server bisa juga menekan tombol “d” :
Source Query Name Count %
-------------- ------------- --------- ------
xx.75.164.90 nixcraft.net 20 9.1
xx.75.164.90 cyberciti.biz 18 9.1
x.68.25.4 nixcraft.net 9 9.1
xxx.131.0.10 cyberciti.biz 5 4.5
xx.104.200.202 cyberciti.biz 4 4.5
202.xxx.0.2 cyberciti.biz 1 4.5
beberapa fungsi tombol yang bisa digunakan sewaktu dnstop running :
s - Sources list
d - Destinations list
t - Query types
o - Opcodes
r - Rcodes
1 - 1st level Query Names ! - with Sources
2 - 2nd level Query Names @ - with Sources
3 - 3rd level Query Names # - with Sources
4 - 4th level Query Names $ - with Sources
5 - 5th level Query Names % - with Sources
6 - 6th level Query Names ^ - with Sources
7 - 7th level Query Names & - with Sources
8 - 8th level Query Names * - with Sources
9 - 9th level Query Names ( - with Sources
^R - Reset counters
^X - Exit
? - this
Nah sekarang bagaimana cara nya untuk melihat log query dari DNS, misal nya kita menggunakan BIND DNS dan ingin tahu siapa saja atau dari IP mana saja yang query ke domain tertentu. Caranya adalah :
1. Hidupkan Query Log nya :
# rndc querylog
2. Monitor hasil nya di log message :
# tail -f /var/log/messages
Nov 12 15:28:54 named-sdb[6826]: client 135.80.14.68#284: query: cvebodkzkxepyp.passiontimes.hk IN A + Nov 12 15:28:54 named-sdb[6826]: client 135.80.14.21#50937: query: mdwvybgryn.passiontimes.hk IN A +
Nov 12 15:28:54 named-sdb[6826]: client 135.80.14.18#43033: query: gnqbqb.passiontimes.hk IN A +Nov 12 15:28:54 named-sdb[6826]: client 135.80.14.17#50937: query: qtmlgx.passiontimes.hk IN A +EDC
Nov 12 15:28:54 named-sdb[6826]: client 135.80.14.15#24522: query: uditmbatkvsl.passiontimes.hk IN A +EDC
3. Untuk disable Query Log bisa dengan perintah yang sama :
# rndc querylog
Semoga Bermanfaat untuk teman semua
Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171
Tidak ada komentar:
Posting Komentar