Então, aqui temos um exemplo de porque o Google está com medo .... pedindo ao Google para encontrar a receita específica para "o que é o encantamento tcpdump para farejar / filtrar somente para pacotes de atualização ddns" ventos com um bilhão de páginas de coisas não relacionadas ao que eu estou interessado ... Muitas coisas sobre como configurar um servidor de DNS, no entanto.
então ...
Alguém conhece o filtro tcpdump específico que você usaria para capturar somente pacotes dinâmicos de atualização de DNS?
O Wireshark e o tcpdump parecem reconhecer pacotes de atualização ddns, (estou usando o arquivo pcap de exemplo wireshark com pacotes de atualização ddns do wiki wireshark ). Então, pelo menos eu posso filtrar apenas pelo tráfego da porta 53, mas nesse link vai ser uma carga de tráfego métrica.
Obrigado! Desculpe por fazer uma pergunta tipo 101 ...
Algo parecido com isso parece funcionar para o IPv4:
tcpdump 'udp[0xa] & 0x78 = 0x28'
Raciocínio (offsets relativos ao início do pacote UDP - provavelmente mais fácil de seguir junto com o Wireshark aberto):
O código de operação do DNS é bits 3-6 (daí a máscara 01111000 = 0x78) do byte 10 e, para atualizações, queremos o DNS opcode 5; 5 < < 3 = 40 = 0x28.
Para tal pedido, o dnscap é claramente uma solução superior porque você pode escrever solicitações específicas do DNS.
Um pedido como:
% dnscap -w updates.pcap -mu -i eth0
manterá, no arquivo updates.pcap , apenas as solicitações de atualização do ddns.