Discussion:
Gespeicherte DNS Anfragen
(zu alt für eine Antwort)
Thomas Wildgruber
2013-05-09 12:26:00 UTC
Permalink
Hi Group,

gegeben ist ein Mountain Lion System als Hostsystem für VMWare Fusion
Clients. Der VM-Host fungiert für die VM-Clients als DNS-Server. Der Host
DNS Server ist wohl nur ein Weiterleitungsserver. Können auf dem Hostsystem
die DNS Anfragen der VM-Clients irgendwo nachvollzogen werden?

Thx & Bye Tom
--
"Ich weiß nicht, was der französische Staatspräsident Mitterand denkt, aber
ich denke dasselbe." (Helmut Kohl)
Thomas Kaiser
2013-05-09 14:02:32 UTC
Permalink
Post by Thomas Wildgruber
gegeben ist ein Mountain Lion System als Hostsystem für VMWare Fusion
Clients. Der VM-Host fungiert für die VM-Clients als DNS-Server. Der Host
DNS Server ist wohl nur ein Weiterleitungsserver. Können auf dem Hostsystem
die DNS Anfragen der VM-Clients irgendwo nachvollzogen werden?
Guck Dir mal an, welche Signale Du dem mDNSResponder(8) schicken kannst
(der macht anders als der Name vermuten lassen würde auch DNS). Evtl.
reicht das schon.

Gruss,

Thomas
Thomas Wildgruber
2013-05-10 12:33:25 UTC
Permalink
Post by Thomas Kaiser
Guck Dir mal an, welche Signale Du dem mDNSResponder(8) schicken kannst
(der macht anders als der Name vermuten lassen würde auch DNS). Evtl.
reicht das schon.
Interessante Geschichte aber aus der VM heraus scheint hier nichts
aufzuschlagen. Ich habe das Logging jetzt mal mit

sudo killall -USR1 mDNSResponder

eingeschaltet und das Systemlog nach DNSServiceQueryRecord gegrept. Wenn
der Host etwas auflöst, wird da eine Menge Zeug mitgeloggt; wenn es aus der
VM kommt wird da nichts mitgeloggt. Das muss irgendwie anders
funktionieren...

Thx & Bye Tom
--
"Die Wirklichkeit sieht anders aus als die Realität." (Helmut Kohl)
Thomas Kaiser
2013-05-12 14:44:50 UTC
Permalink
Post by Thomas Wildgruber
Post by Thomas Kaiser
Guck Dir mal an, welche Signale Du dem mDNSResponder(8) schicken
kannst (der macht anders als der Name vermuten lassen würde auch
DNS). Evtl. reicht das schon.
Interessante Geschichte aber aus der VM heraus scheint hier nichts
aufzuschlagen. Ich habe das Logging jetzt mal mit
sudo killall -USR1 mDNSResponder
eingeschaltet und das Systemlog nach DNSServiceQueryRecord gegrept.
Wenn der Host etwas auflöst, wird da eine Menge Zeug mitgeloggt; wenn
es aus der VM kommt wird da nichts mitgeloggt. Das muss irgendwie
anders funktionieren...
Naja, am DNS-Resolver des Host komplett vorbei. Warum auch nicht? Sind
ja zwei komplett verschiedene Paar Schuhe :-)

Da Du von NAT gesprochen hast. Dein VM-Wirt wird da dann einfach den
upstream-DNS-Resolver durchgereicht haben, denn dann alle Anfragen
direkt erreichten.

Gruss,

Thomas

Juergen P. Meier
2013-05-10 04:27:23 UTC
Permalink
Post by Thomas Wildgruber
gegeben ist ein Mountain Lion System als Hostsystem für VMWare Fusion
Clients. Der VM-Host fungiert für die VM-Clients als DNS-Server. Der Host
DNS Server ist wohl nur ein Weiterleitungsserver. Können auf dem Hostsystem
die DNS Anfragen der VM-Clients irgendwo nachvollzogen werden?
Einmalig, bis zum naechsten Restart:
sudo rndc querylog

Vorher "sudo rndc-confgen -a" falls du das noch nie aufgesetzt hattest.

Dann schriebt der named in sein logfile jeden Query rein, den er
bekommt. Achtung: Das kann recht viel sein!

rndc querylog ist ein Toggle (schaltet es ein und wieder aus).


Permanent geht das in dem du in /private/etc/named.conf ein Querylog
definierst. Details dazu entnimmst du den BIND ARM http://bind9.net/manuals

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Thomas Wildgruber
2013-05-10 12:19:15 UTC
Permalink
Servus,
Post by Juergen P. Meier
Post by Thomas Wildgruber
gegeben ist ein Mountain Lion System als Hostsystem für VMWare Fusion
Clients. Der VM-Host fungiert für die VM-Clients als DNS-Server. Der Host
DNS Server ist wohl nur ein Weiterleitungsserver. Können auf dem Hostsystem
die DNS Anfragen der VM-Clients irgendwo nachvollzogen werden?
sudo rndc querylog
Hab das mal abgefeuert aber es scheint erstmal nicht zu funktionieren:

---snip---
$ sudo rndc-confgen -a
Password:
wrote key file "/private/etc/rndc.key"

***@MacPro:~ $ sudo rndc querylog
rndc: connect failed: 127.0.0.1#953: connection refused
---snap---

Aber darauf wollte ich eigentlich gar nicht hinaus. Mir ging es eher um
eine forensische Untersuchung einer VM, nachdem diese zB gelöscht wurde und
die virtuelle Festplatte dazu keine Daten mehr hergibt. Mich interessiert
jetzt, welche (nachvollziehbare) Spuren eine VM auf dem Host hinterlässt.
Wenn die VM Internet hatte (im NAT Modus in diesem Fall) sollten zumindest
die DNS Anfragen durch den Host aufgelöst werden und mich hätte jetzt
interessiert ob diese im nachhinein nachvollzogen werden können?

Also ohne vorher das Logging auf dem Host zu aktivieren, sondern schon bei
einem Default Setup...

Thx & Bye Tom
--
"Manches Gewissen ist nur rein, weil es nie benutzt wurde" (Robert Lembke)
Thomas Kaiser
2013-05-12 14:42:44 UTC
Permalink
Post by Thomas Wildgruber
Servus,
Post by Juergen P. Meier
Post by Thomas Wildgruber
gegeben ist ein Mountain Lion System als Hostsystem für VMWare
Fusion Clients. Der VM-Host fungiert für die VM-Clients als
DNS-Server. Der Host DNS Server ist wohl nur ein Weiterleitungs-
server. Können auf dem Hostsystem die DNS Anfragen
der
Post by Thomas Wildgruber
Post by Juergen P. Meier
Post by Thomas Wildgruber
VM-Clients irgendwo nachvollzogen werden?
sudo rndc querylog
Wie auch? Apples named wird nur gestartet, wenn Du auf dem Mac Internet-
Sharing einschaltest. Dann wird neben dem bootpd und dem natpmpd (früher
natd) auch dieser Dienst angeknipst, da in dem Fall der Mac Clients
bedienen soll. Normaler caching DNS-Resolver des Systems ist aber der
mDNSresponder.

Gruss,

Thomas
Lesen Sie weiter auf narkive:
Loading...