나는 내 리눅스 박스가특정 도메인에 대한 많은 DNS 쿼리(하위 도메인)malicious.foo.bar
내가 어떻게 알 수 있지?어떤 애플리케이션이나 프로세스도메인을 확인하시겠습니까?
https://malicious.foo.bar/baz.php또한 이 프로세스에서 요청한 정확한 URL(예 : )과 페이로드를 확인하기 위한 요청의 일부 세부정보를 보고 싶습니다 .
이를 실현하려면 어떤 조치를 취해야 합니까?
답변1
아무도 답변하지 않았으므로 여기에 몇 가지 생각이 있습니다.
클라이언트 프로세스는 를 통해 간접적으로 DNS를 확인합니다 /etc/resolv.conf. 일반적으로 여기에는 루프백 IP 주소 또는 확인자의 직접 IP 주소가 있습니다.
iptables호출자의 프로세스 ID를 캡처하려면 아웃바운드 또는 루프백 트래픽에 대한 로깅 항목을 추가합니다(해당하는 경우) .
그런 다음 커널 로그 파일을 추적하고 해당 정보를 사용하여 실제 프로세스를 확인할 수 있습니다.
인용하다