0
Kayıt Ol

DNS Server event

15

1.332

  • 22-08-2014, 10:18:03
    #1
    Genki
    Genki
    Merhabalar,
    Yapmak istediğim bir proje mevcut.
    Linux veya windows sunucularda kurduğumuz dns serverların connection eventi gibi birşey mevcut mu ?

    Şöylede açıklayabilirim,

    xxx.yyy.com domainime istek yapıldığı zaman DNS serverın kurulu olduğu makinede bir bashscript vs calıstırabilir miyiz ?

    Bu arada istekler web server üzerine gelen istekler olmayacaktır.
    Atıyorum ping attıldı yine bash script calıstırabileceğim bir event mevcut mu ?
    Mevcut ise kaynak veya aramam için anahtar kelime söylerseniz sevinirim

    --R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 10:18:03 -->-> Daha önceki mesaj 09:48:36 --

    53 nolu portu anlık olarak izlediğimde DNS isteklerini haliyle yakalayabiliyorum

    Ancak paketler içerisinde istek yapan clientin ip adresi kullandığı dns sunucularının ip adresleri cıkıyor, clientin ipleri nasıl yakalaya bilirim ?
  • 22-08-2014, 11:02:18
    #2
    victories
    victories
    Genki adlı üyeden alıntı: mesajı görüntüle
    Merhabalar,
    Yapmak istediğim bir proje mevcut.
    Linux veya windows sunucularda kurduğumuz dns serverların connection eventi gibi birşey mevcut mu ?

    Şöylede açıklayabilirim,

    xxx.yyy.com domainime istek yapıldığı zaman DNS serverın kurulu olduğu makinede bir bashscript vs calıstırabilir miyiz ?

    Bu arada istekler web server üzerine gelen istekler olmayacaktır.
    Atıyorum ping attıldı yine bash script calıstırabileceğim bir event mevcut mu ?
    Mevcut ise kaynak veya aramam için anahtar kelime söylerseniz sevinirim

    --R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 10:18:03 -->-> Daha önceki mesaj 09:48:36 --

    53 nolu portu anlık olarak izlediğimde DNS isteklerini haliyle yakalayabiliyorum

    Ancak paketler içerisinde istek yapan clientin ip adresi kullandığı dns sunucularının ip adresleri cıkıyor, clientin ipleri nasıl yakalaya bilirim ?
    Windows hakkında bilgim yok, eğer linux üzerinde yapmak isterseniz log parse ederek yapmanız gerekir, bunun için bir trigger yok maalesef.

    http://ipamworldwide.com/server-logging.html

    burdan log dosyasında tutulmasını istediğiniz değişkenleri öğrenerek ayarlayıp belirli sürelerde bu log dosyasındaki bilgileri ayrıştırıp kullanabilirsiniz.
  • 22-08-2014, 11:39:10
    #3
    Genki
    Genki
    victories adlı üyeden alıntı: mesajı görüntüle
    Windows hakkında bilgim yok, eğer linux üzerinde yapmak isterseniz log parse ederek yapmanız gerekir, bunun için bir trigger yok maalesef.

    http://ipamworldwide.com/server-logging.html

    burdan log dosyasında tutulmasını istediğiniz değişkenleri öğrenerek ayarlayıp belirli sürelerde bu log dosyasındaki bilgileri ayrıştırıp kullanabilirsiniz.
    yorumunuz için teşekkürler, log dosyası üzerinden istediğim işlemi yapmak istediğimde işlemci kullanımına takılabilirim ancak yinede deneyeceğim

    53 nolu portu mirrorlayıp dinlemeye aldıgımda , kullanıcıların ip adresini alabilme ihtimalim var mı ? Yoksa sadece kullanıcının dns serverının ip adresimi paket içerisinde yer almakta
  • 22-08-2014, 13:01:14
    #4
    foo
    foo
    Genki adlı üyeden alıntı: mesajı görüntüle
    53 nolu portu mirrorlayıp dinlemeye aldıgımda , kullanıcıların ip adresini alabilme ihtimalim var mı ? Yoksa sadece kullanıcının dns serverının ip adresimi paket içerisinde yer almakta
    ne yazık ki. en basit mantığı ile dns'in çalışmasına ters bir durum.

    1. client istekte bulunur, tanımladığı dns cache sunucularına gider.
    2. dns cache sunucuları root server'lar üzerinden kontrol eder ve ilgili domain'in dns kayıtlarının hangi sunucuda tutulduğunu bulur.
    3. dns cache sunucuları dns kayıtlarını tutan sunucuya istek gönderir ve cevabı alır.
    4. aldığı cevabı client'a iletir.

    client'ın ip adresini alamazsın, direk olarak senden istek yapmadığı sürece.
  • 22-08-2014, 13:25:59
    #5
    Genki
    Genki
    Cevaplar için teşekkürler.
    Ne için kullanmak istediğimizi merak edecek olanlar için ;
    uygulama bazlı güvenlik duvarı geliştiriyoruz , daha doğrusu api gibi birşey yapıyoruz bunun için gerekliydi
  • 22-08-2014, 13:32:50
    #6
    c1982
    c1982
    Kimlik doğrulama veya yönetimden onay bekliyor.
    Bind için;
    Kea'nın Hooks API Developer’s Guide'ı var o bir fikir verebilir.

    http://git.kea.isc.org/~tester/kea/d...persGuide.html

    daha çok extend edilebilir bir DNS server üzerinde ilerlersen daha sağlıklı bir çözüm olur. Log hesaplama ancak günü kurtarır.

    Microsoft DNS'in WMI Eventlarını yakalayabilirsin Native olarak.
    http://msdn.microsoft.com/en-us/libr...(v=vs.85).aspx

    Ek olarak http://tinydns.org'u da incelemekte fayda var. Direkt implemente yapılabilir kod içine.


    Ben bu arada sayaç gibi bir şey yapıcağını sanmışım
  • 23-08-2014, 17:26:46
    #7
    Yorumcu
    Yorumcu
    Üyeliği durduruldu
    sunucudestek eklerseniz DNS'e gelen Requestleri izleyeceğiniz ve iplerini loglayacağınız programı önerebilirim, önereceğim platform windows mutlaka o logları alabileceğinizde bir sistem yazılır diye tahmin ediyorum.
  • 23-08-2014, 23:33:49
    #8
    Genki
    Genki
    @Yorumcu; sakıncası yoksa burdan paylaşabilirmisiniz
  • 24-08-2014, 00:57:01
    #9
    SayfaNet
    SayfaNet
    bunu mikrotik ile yapabilirsin

    firewall bölümünde udp port 53 için gelen isteklerini kabul etmeye ve log kaydetmeye dair kural oluşturursun.

    istersen sorgu gönderenleri de dns-sorgucu diye adres listesine ekletirsin

    php ile mikrotik e bağlanıp (her dakika) güncel listeyi mysql db ye alırsın.