[NickM]

Аудит DNS запросов клиентов в Windows Server, логи DNS

Оно?

[El Scorpio]

Цитата NickM:

Аудит DNS запросов клиентов в Windows Server, логи DNS »

Пытался в параметрах службы DNS включить запись в файл всех запросов - очень быстро получается огромное файло, которое служба периодически обрезает.
Как логировать запросы ТОЛЬКО на определённые имена или домены?

[Anton04]

Цитата El Scorpio:

Как логировать запросы ТОЛЬКО на определённые имена или домены? »

По моему вы пытаетесь приспособить то что не предназначено под Вашу задачу. Которая до сих пор загадка для всех, возможно даже и для Вас тоже.
Собирать DNS запросы к сайтам нужно на прокси сервере, у него как раз есть все возможности по этому поводу.

[El Scorpio]

Где-то в сети сидит троян, который пытается лезть на нехорошие сайты. DNS провайдера фиксирует запросы из нашей сети к этим сайтам, глушит их и присылает уведомление, а мне надо знать, какой именно компьютер их отправляет.

Прокси сервер в локальной сети не настраивал. Да и не факт, что он запишет обращение к нехорошему сайту, если нет ответа на запрос DNS.

[NickM]

Цитата El Scorpio:

Прокси сервер в локальной сети не настраивал. Да и не факт, что он запишет обращение к нехорошему сайту, если нет ответа на запрос DNS. »

А может и запишет.

В Своей практике, когда поднимал первый прокси в сети, именно таки образом и ловил зловреда, который не обнаруживал NOD32 (если смогу поднять архив тех лет, процитирою обращение).

[Anton04]

Цитата El Scorpio:

Где-то в сети сидит троян, который пытается лезть на нехорошие сайты. DNS провайдера фиксирует запросы из нашей сети к этим сайтам, глушит их и присылает уведомление, а мне надо знать, какой именно компьютер их отправляет. »

Проще простого. Адрес сайта на который лезет Вам известен, следовательно прописать в локальном DNS с перенаправлением на любой внутренний IP адрес, а на этом внутреннем IP поставить ловушку которая и будет записывать IP обращающегося. Если ловушку Вам стоить не по феншую, то банально TCPView Вам в руки и в перёд в режиме реального времени отслеживайте.

Цитата El Scorpio:

Да и не факт, что он запишет обращение к нехорошему сайту, если нет ответа на запрос DNS. »

Запишет, можете не сомневаться.

[NickM]

Цитата NickM:

В Своей практике, когда поднимал первый прокси в сети, именно таки образом и ловил зловреда, который не обнаруживал NOD32 (если смогу поднять архив тех лет, процитирую обращение). »

Если не накажут за офф-топ, то вот, откопал:

Скрытый текст

Нынче этот зловред "KLAB" детектится как "Trojan.Win32.Patched.au" и лечится, но возможно не совсем корректно, т.к. повторная проверка этих файлов показывает такую картину:

Скрытый текст

[DJ Mogarych]

Натравить Zabbix или что-то аналогичное на логи DNS и настроить триггер.