企業開源域名服務安全防護策略及實戰(6)

　　二級 DNS 向一級 DNS 發起遞歸查詢，會對一級 DNS 造成性能壓力，所有跨域查詢都要經過一級 DNS 響應給對應二級 DNS;

　　二級 DNS 向一級 DNS 發起遞歸查詢，再由一級向歸屬 DNS 發起遞歸的模式查詢響應會有一定延時;

　　因此，有很多流量很大的 DNS 服務器是禁止客戶機使用遞歸查詢，用這種方式來減輕服務器的流量。

　　使用 dnstop 監控 DNS 流量

　　在維護 DNS 服務器時，用戶往往希望知道到底是哪些用戶在使用 DNS 服務器，同時也希望能對 DNS 狀態查詢做一個統計，以及時地知道 DNS 的工作情況和狀態。在傳統的方式下，用戶通常使用的是 tcpdump 等開源工具來進行抓包并通過查看 53 端口的流量來查看 DNS 數據包。由于 tcpdump 并沒有針對 DNS 流量進行特殊定制，因此使用起來可能不是非常方便。因此，用戶可以使用專用于 DNS 的 dnstop 工具查詢 DNS 服務器狀態。

　　dnstop 是一種非常優秀的開源軟件，用戶可以到網站 http://dns.measurement-factory.com/tools/dnstop/src/ 上進行下載使用，目前該軟件的最新版本為：dnstop-20090128.tar.gz。

　　由于該軟件依賴 tcpdump 和 pcap 抓包庫(libpcap)對網絡上傳輸的數據包進行截獲和過濾，所以用戶需要確保系統安裝相應軟件后才能正常安裝和使用 dnstop。通常情況下，這兩種必須的庫都已經在系統中預裝好了，使用下面的命令安裝 dnstop 即可：

　　(1)解壓縮源代碼安裝包

#tar vxfz ddnstop-20090128.tar.gz
			

　　(2)切換到解壓目錄，并使用 configure 命令生成 Makefile 文件

 #cd dnstop-20090128 
 #./configure 

　　(3)使用 make 命令進行安裝

 #make 

　　安裝成功后，可以查看通過相應的網絡接口來監控 DNS 網絡流量，如下所示：

 #./dnstop -s eth0 
 0 new queries, 6 total queries Fri Mar 26 20:18:12 2010 
 Sources count % 
 ---------------- --------- ------ 
 198.35.0.13 4 66.7 
 198.35.0.14 1 16.7 
 198.35.0.15 1 16.7 

原文轉自：http://www.ibm.com/developerworks/cn/linux/1306_liyang_securedns/