Como provar que o tráfego de DNS está sendo perdido

Navegue suas respostas
1

Na LAN do meu escritório, as consultas aos servidores DNS fora de nossa LAN realmente falham (tempo limite).

Suspeito que haja algum problema com nosso provedor, mas eles não responderam às minhas reclamações.

Existe uma ferramenta que eu poderia usar para comparar / medir a perda de tráfego de saída de DNS. Tanto da estação de trabalho windows / linux quanto do gateway do OpenBSD 4?

    
por user3915 28.08.2009 / 16:11

6 respostas

5

Eu não sei de uma ferramenta que faz isso diretamente, mas você sempre pode usar apenas o tcpdump no gateway bsd para detectar respostas e solicitações de DNS e comparar solicitações a respostas. O tcp dump seria algo como: 

tcpdump -i interface 'udp port 53' -o dumpfile

É possível que eles também sejam o tcp, então você pode capturar os dois se quiser. Você pode então analisar o dumpfile com wireshark criando dois filtros, um para solicitações e outro para respostas. Em seguida, basta contar o número de solicitações versus respostas, se houver respostas < pedidos, pode haver um problema.

    
por 28.08.2009 / 16:18
3

Você pode tentar mudar para outro provedor de DNS como o OpenDNS (que também oferece outros recursos para o seu ambiente de escritório). Se o seu problema de DNS desaparecer, isso é um bom indicador do problema. Você pode até preferir o provedor de DNS alternativo no processo ...

Caso contrário, você pode usar coisas como o ping para testar sua conectividade e tempo para o servidor DNS e traceroute.

Isso está em todos os sistemas ou em um número selecionado de sistemas? O DNS é o único que está tendo esse problema ou outros protocolos?

    
por 28.08.2009 / 16:20
1

Se você tiver um sistema de monitoramento configurado, crie uma verificação de serviço para realizar uma consulta DNS e informar a latência. Se você também tiver um sistema de gráficos, plote essas latências em um gráfico.

    
por 28.08.2009 / 17:34
1

Se você tiver um arquivo de captura de DNS (a sugestão de Kyle Brandt é boa), você pode usar o Tshark para procurar duplicatas. Por exemplo, o seguinte seria ler o arquivo de captura "dns-external.pcap" e gerar um arquivo CSV contendo o endereço de origem IP, o ID de consulta DNS e o (s) nome (s) da consulta DNS: 

tshark -n -r dns-external.pcap -T fields -E separator=, -E quote=d -e ip.src -e dns.id -e dns.qry.name > /tmp/dns.csv

Você pode usar o Excel, o OpenOffice ou o sort < /tmp/dns.csv | uniq -d para procurar por solicitações duplicadas.

Você também pode detectar anomalias usando o dnstop , mas não tenho certeza se ele tem alguma recursos específicos para consultas duplicadas / perdidas.

    
por 28.08.2009 / 18:18
0

A única maneira de saber se o tráfego de DNS está se perdendo é monitorar o tráfego no seu host de gateway, bem como em um servidor DNS na Internet.

Agora, basta executar um programa com 10.000 solicitações e comparar as respostas recebidas com as respostas geradas por esse servidor de nomes externo. Você vai querer fazer 10.000 solicitações para um domínio específico (de preferência 10.000 solicitações diferentes para que você não coloque nada em cache) e também 10.000 pesquisas recursivas para 10.000 coisas que não existem (ISPs malvados gostam de filtrar e sequestrar respostas NXDOMAIN.

    
por 31.08.2009 / 19:15
0

Configure uma captura de rede no host do gateway. Execute uma captura e filtre-a para o tráfego DNS. Procure por consultas DNS de saída e respostas de DNS de entrada. Tente corresponder cada consulta de saída a uma resposta de entrada. Se você encontrar algum que não tenha uma "correspondência" (consulta de saída e resposta de entrada), essas consultas serão perdidas. Você pode então usar essa informação para convencer o ISP de que há algo acontecendo entre você e eles.

    
por 31.08.2009 / 17:51

Tags

Um computador por conector de rede Estou ficando sem espaço em disco no meu servidor Exchange 2007, quais são minhas opções de curto prazo?