windows-server-2008 – 监控出站DNS(网站)流量

我可能会使用Wireshark中的tshark命令行程序将流量捕获到相对较小的文件中,然后在另一台机器上再次使用tshark来转储文件并通过它们进行grep.捕获命令行可能类似于：

tshark -i <inteface number here> -b filesize:32768 -w dns_capture udp and dst port 53 and dst host x.x.x.x

您可以使用tshark -D获取机器的接口编号. -b filesize：32768参数指定在开始新的捕获文件之前捕获到32,768KB(32MB)的缓冲区. -w dns_capture指定dns_capture的基本输出文件名(在每个文件填充时将添加增量计数和时间戳). udp和dst端口53和dst主机x.x.x.x是一个tcpdump捕获过滤器,它指定只捕获目标端口为53且目标地址为x.x.x.x(应替换DNS服务器的IP地址)的udp数据包.

获得文件后,您可以使用任意数量的PCAP文件分析工具.就个人而言,我只是使用带有-r参数的tshark来读取文件,并使用-T text参数将它们转储为人类可读的文本.然后我只是grep输出. (我这样做主要是因为我准备好了所有工具.还有很多其他方法可以做到.)