Site icon KerKer 的模組世界

DNS伺服器查詢日誌設定(Bind9)

邊做邊學,順便留個筆記,若有錯誤請不吝指教。

有時防火牆抓到有主機在查詢已知的惡意Domain,一看主機IP居然是自家的DNS Server頭就開始痛, 鬼知道是誰在再透過自家的DNS Server亂搞,這個時候就有必要在DNS Server上建立查詢日誌了(query log)。

我們這邊以Bind9為例,首先要修改的是named.conf檔案,並在logging段中加入內容如下:

logging {
    category queries { query-log;};
    channel query-log {
        file "/var/log/query.log" versions 10 size 1000m;
        severity info;
        print-time yes;
        print-severity yes;
        print-category yes;
    };
};

其中file位址可以自行修改至喜歡的位置,而1000m為log檔大小,也可以依據需求自行調整。

完成設定後記得重啟DNS服務:

service named restart

先隨意查詢一個domain後使用cat指令確認是否成功紀錄:

cat /var/log/query.log

Log紀錄應該要包含:日期、時間、查詢者IP、查詢的Domain等資訊,配合grep指令可以快速查找到需要的資料。

這樣一來你就可以輕鬆的揪出是誰在查詢惡意domain了!當然也可以用來查是誰在用公司電腦上怪怪的網站A___A!

Exit mobile version