А
Tcpdump по умолчанию пишет только то что скажте
Поддерживаю, не понимаю, какие там сложности могут быть с ним
Size: a a a
2019 December 04
A
Конечно
A
Хотя не факт. Надо смотреть на фильтры и фрэйм днс запроса.
A
Но даже одного udp dns трафика не должно быть много
O
Но даже одного udp dns трафика не должно быть много
Там - много, в этом и вопрос. И дампить надо долго. Диска не хватает.
A
Не может быть чтобы днса было много
DN
Не может быть чтобы днса было много
Особенно если известен домен, поддерживаю
A
Вы скорее всего пишите вообще весь трафик на интерфейсе
O
Особенно если известен домен, поддерживаю
Еще раз. Трафика - реально много. Дампить надо долго, около недели. Не могу найти фильтры, которые позволят логировать ТОЛЬКО трафик на нужные мне домены. В этом вопрос.
O
Вы скорее всего пишите вообще весь трафик на интерфейсе
Нет, только ДНС
O
Да, домены, при этом, не резолвятся.
DN
Да, домены, при этом, не резолвятся.
Если я верно понимаю задачу то вот первая же ссылка в гугле
https://osqa-ask.wireshark.org/questions/55754/whata-a-display-filter-that-matches-dns-queries-for-a-particular-host-name
https://osqa-ask.wireshark.org/questions/55754/whata-a-display-filter-that-matches-dns-queries-for-a-particular-host-name
O
Если я верно понимаю задачу то вот первая же ссылка в гугле
https://osqa-ask.wireshark.org/questions/55754/whata-a-display-filter-that-matches-dns-queries-for-a-particular-host-name
https://osqa-ask.wireshark.org/questions/55754/whata-a-display-filter-that-matches-dns-queries-for-a-particular-host-name
Вы верно понимаете задачу, но не прочитали мой пост, к сожалению. В этой статье - про display фильтры. Причину, по которой это не подходит - я писал 2 раза.
A
tshark -f "udp port 53" -Y "dns.qry.type == 1 and dns.qry.name == "www.somedomain.com"
A
И что будет?
A
Он все равно будет сохранять все?
A
Просто в линуксе то правда можно грепать, то что на экране, то и в файле будет
O
tshark -f "udp port 53" -Y "dns.qry.type == 1 and dns.qry.name == "www.somedomain.com"
tshark -f "udp port 53" -Y "dns.qry.type == 1 and dns.qry.name == "www.mail.ru" -ni 1 -ni 2 -ni 3 -ni 4 -w mydump.pcap
tshark: "-ni" was unexpected in this context.
tshark -f "udp port 53" -Y "dns.qry.type == 1 and dns.qry.name == "www.mail.ru" > mydump.pcap
tshark: Neither "www.mail.ru" nor "mydump.pcap" are field or protocol names.
tshark: "-ni" was unexpected in this context.
tshark -f "udp port 53" -Y "dns.qry.type == 1 and dns.qry.name == "www.mail.ru" > mydump.pcap
tshark: Neither "www.mail.ru" nor "mydump.pcap" are field or protocol names.
O
Просто в линуксе то правда можно грепать, то что на экране, то и в файле будет
Так, про что речь... Говорят, и tcpdump может эту проблему решить, но...
A
Возможно кавычки не задрочены