Abbildung 1: Nach Drücken der <link href="#article_i1" class="info">[1]</link>-Taste zeigt Dnstop eine Statistik mit den angefragten Toplevel-Domains. Die Überraschung, dass <custom name="code">.de</custom> die Hitliste anführt, hält sich in Grenzen. Was aber mag <custom name="code">.xyz</custom> hier zu suchen haben?
In der vorigen Ausgabe hatte Sysadmin-Kolumnist Charly den gertenschlanken DNS-Cache Pdnsd über den Laufsteg geschickt. Um zu schauen, ob Pdnsd seine Arbeit auch im Alltag top erledigt, lässt er nun Dnstop rastlos Runden im Namen der Namen drehen.
Dnstop bringen die meisten Distributionen bereits mit. Wer selbst kompilieren will, wird unter [1] fündig; muss sich aber zuvor die zugehörige Libpcap [2] besorgen und übersetzen. Das Tool startet auf dem Rechner, der meinen DNS-Cache beherbergt, mit dem Kommando:
dnstop -l 3 eth0
Der Parameter »-l 3« sorgt dafür, dass Dnstop Namensanfragen bis zur dritten Ebene aufdröselt. Bei https://www.linux-magazin.de ist »de« die erste, also die First- oder Toplevel-Domain. Entsprechend bildet »linux-magazin« die zweite Ebene (die Secondlevel-Domain) und »www« die dritte.
Drücke ich in einem laufenden Dnstop, das mit dem obigen Kommando gestartet ist, die Taste [1], kriege ich zu sehen, welche Toplevel-Domains am häufigsten angefragt sind (Abbildung 1). Hier würde mich schon mal interessieren, welches Gerät in meinem Netz nach ».xyz« -Domains fragt – wie auch immer. Drücke ich [2] oder [3], erweitert sich die Darstellung auf die zweite und dritte Ebene.
Abbildung 1: Nach Drücken der [1]-Taste zeigt Dnstop eine Statistik mit den angefragten Toplevel-Domains. Die Überraschung, dass ».de« die Hitliste anführt, hält sich in Grenzen. Was aber mag ».xyz« hier zu suchen haben?
Häufige und seltene Resource Records
Hinter [T] verbirgt sich eine weitere praktische Auswertung. Sie zeigt mir, welche Arten von Resource Records am meisten gefragt waren. Wenig überraschend sind Fragen nach A- (IPv4) und AAAA-Einträgen (IPv6) am häufigsten (Abbildung 2). Weit abgeschlagen rangiert der A6-Record, der aus den Kindertagen von IPv6 stammt und heute den Verbreitungsgrad von Gaslaternen hat. Ebenfalls dünn gesät sind »DNSKEY« -Einträge, die von DNSSEC (DNS Security) herrühren. Anders als A6-IPv6 ist DNSSEC stark auf dem Vormarsch, aber eben noch nicht etabliert.
T« betätigt, erhält eine Übersicht der Resource Records. Die für IPv4 charakteristischen A-Records haben eine Zweidrittelmehrheit.” width=”300″ height=”291″ />
Abbildung 2: WerMit [R] (für “Result”) lasse ich mir anzeigen, wie viele Anfragen erfolgreich waren. In meinem kurzen Beobachtungszeitraum waren das erfreulicherweise alle:
code Count % ------- --------- ------ Noerror 23987 100.0
Wenn ich beruflich mit Dnstop Auswertungen mache – und diese womöglich noch irgendwo speichere –, muss ich die Regeln des Datenschutzes beachten. Um Probleme von vornherein zu vermeiden, starte ich das Tool mit »-a« für “anonymize”. Dann ersetzt Dnstop die IP-Adressen der Clients durch fortlaufende Nummern, alle anderen Auswertungen funkionieren wie gewohnt.
Infos
Der Autor
Charly Kühnast administriert Unix-Systeme im Rechenzentrum Niederrhein. Zu seinen Aufgaben gehören Sicherheit und Verfügbarkeit der Firewalls und der DMZ.
