ICT-Hotlist Thema

Terug naar de ICT-Hotlist...

Hoe Windows DNS servers te monitoren voor het gebruik van bepaalde servernamen.

Door Johan van Soest.

Gepubliceerd : 2014-06-02.

Laatst gewijzigd : 2020-11-15.

Natuurlijk kan men network sniffer software gebruiken zoals Wireshark of andere tools¹ om het DNS network verkeer te monitoren voor bepaalde servernaam verzoeken. Wellicht is de standaard default debug logging van de DNS-service voldoende om een indicatie te geven zonder extra software te moeten installeren.

Stappen

Op de DNS server zet debug logging aan (selecteer properties op de DNS-server) met de volgende eigenschappen:
Windows 2012 r2 DNS server eigenschappen dialoog dat de vereiste Debug Logging opties toont.
De logfile staat default in %systemroot%\System32\dns\Dns.log
In de log staan entries in het formaat:
- Datum (maand,dag,jaar)
- Tijd
- Niet van toepassing
- Niet van toepassing
- Niet van toepassing
- UDP is het gebruikte protocol
- Rcv geeft aan dat het een verzoek aan de DNS server is
- Bron IP-adres
- Niet van toepassing
- Q type is query(opvraging)
- [] Niet van toepassing
- Adrestype A => IPv4 AAAA => IPv6
- Het gevraagde domein met lengte aanduiding(PASCAL stijl)
```
5/31/2014 5:00:28 PM 1290 PACKET  0000000006F3D750 UDP Rcv 10.1.1.13      000a   Q [0001   D   NOERROR] A      (8)vansoest(2)it(0)

5/31/2014 5:00:28 PM 1290 PACKET  00000000070EEED0 UDP Rcv 10.1.1.13      000b   Q [0001   D   NOERROR] AAAA   (8)vansoest(2)it(0)
```
Dit voorbeeld toont een DNS verzoek van het systeem met ip-address 10.1.1.13 (kan zowel IPv4 als IPv6 formaat zijn) die aanvraagt wat het ip-address is voor vansoest.it.

Nu hoeft de log alleen gefilterd te worden op de servernaam (in dit voorbeeld "vansoest") om de systemen te vinden die deze servernaam nog willen bereiken.
Geen reboot of herstart van de DNS server or service is benodigd

Voetnoot 1

Kevin Manning van Comparitech was zo vriendelijk om een verbroken link over Microsoft's Message Analyzer te melden aangezien die niet meer beschikbaar is. Op deze site vindt U een overzicht van packet sniffers

U mag stemmen over dit artikel:

Scripts en programmeervoorbeelden disclaimer

Tenzij anders vermeld, zijn de scriptcode en programmeervoorbeelden auteursrechtelijk beschermde (copyright) freeware. U mag deze wijzigen, zolang een verwijzing naar de oorspronkelijke code en een hyperlink naar de bronpagina is opgenomen in de gewijzigde code en documentatie. Het is echter niet toegestaan om (kopieën van) de scripts en programmeervoorbeelden te publiceren op uw eigen site, blog, vlog, of te distribueren op papier of een andere drager, zonder voorafgaande schriftelijke toestemming.
Bij veel van de technieken gebruikt in deze scripts, met inbegrip van maar niet beperkt tot register-wijzigen of wijzigingen aan systeembestanden of instellingen, bestaat een risico dat een werkend besturingssysteem onbruikbaar wordt en gegevens verloren kunnen raken. Zorg ervoor dat U gecontroleerd heeft dat U beschikt over volledige back-ups en de bijbehorende herstelsoftware voordat U deze scripts of programmavoorbeelden gebruikt. Het gebruik van deze scripts en programmeervoorbeelden is volledig Uw eigen risico. Alle aansprakelijkheidsclaims tegen de auteur met betrekking tot materiële of niet-materiële verliezen als gevolg van het gebruik, misbruik of niet-gebruik van de verstrekte informatie of het gebruik van onjuiste of onvolledige informatie, zijn uitgesloten. Alle inhoud is onderhevig aan verandering en geleverd zonder verplichting.