DNSCAP - DNS-Traffic-Erfassungsprogramm

dnscap ist ein Netzwerk-Erfassungsprogramm, das speziell für DNS-Traffic entwickelt wurde. Es erzeugt Binärdaten im pcap(3)-Format. Dieses Dienstprogramm ist ähnlich wie tcpdump, hat aber eine Reihe von Funktionen, die auf DNS-Transaktionen und Protokolloptionen zugeschnitten sind. Einige seiner Funktionen sind:

• Versteht sowohl IPv4 als auch IPv6
• Erfasst UDP-, TCP- und IP-Fragmente
• Erfasst nur Abfragen, Antworten oder beides (Option -s)
• Sammelt nur für bestimmte Quell-/Zieladressen (Optionen -a -z -A -Z)
• Erstellt in regelmäßigen Abständen neue pcap-Dateien (Option -t)
• Startet ein Upload-Skript nach dem Schließen einer pcap-Datei (Option -k)
• Startet und beendet das Sammeln zu bestimmten Zeiten (Optionen -B -E)

dnscap abrufen

Du kannst dnscap über anonymous subversion von hier beziehen. Du kannst es auch im FreeBSD Ports System finden (dns/dnscap). Wenn du dnscap für die DITL-2009-Datenerhebung installierst, solltest du die "branches/wessels"-Version aus svn verwenden. Verwende nicht die Version mit den FreeBSD-Ports, da diese keine TCP-Unterstützung bietet. dnscap benötigt libbind, das möglicherweise nicht auf deinem System installiert ist, obwohl du BIND installiert hast.

Beachte, dass du den Quellcode von BIND-9.6 oder später nicht verwenden kannst, weil libbind zu einem eigenständigen Paket gemacht wurde und in BIND-Versionen nach 9.5 nicht mehr enthalten ist. Außerdem kannst du die eigenständige libbind zu diesem Zeitpunkt nicht verwenden, weil sie Include-Dateien in andere Verzeichnisse installiert. Wenn du BIND mit libbind-Unterstützung baust, musst du sie ausdrücklich wie folgt aktivieren: 

$ ./configure --enable-libbind
$ make
$ sudo make install

Sei vorsichtig, wenn du BIND auf diese Weise installierst, da du möglicherweise bestehende BIND-Binärdateien überschreibst.