企业开源域名服务安全防护策略及实战(6)

　　二级 DNS 向一级 DNS 发起递归查询，会对一级 DNS 造成性能压力，所有跨域查询都要经过一级 DNS 响应给对应二级 DNS;

　　二级 DNS 向一级 DNS 发起递归查询，再由一级向归属 DNS 发起递归的模式查询响应会有一定延时;

　　因此，有很多流量很大的 DNS 服务器是禁止客户机使用递归查询，用这种方式来减轻服务器的流量。

　　使用 dnstop 监控 DNS 流量

　　在维护 DNS 服务器时，用户往往希望知道到底是哪些用户在使用 DNS 服务器，同时也希望能对 DNS 状态查询做一个统计，以及时地知道 DNS 的工作情况和状态。在传统的方式下，用户通常使用的是 tcpdump 等开源工具来进行抓包并通过查看 53 端口的流量来查看 DNS 数据包。由于 tcpdump 并没有针对 DNS 流量进行特殊定制，因此使用起来可能不是非常方便。因此，用户可以使用专用于 DNS 的 dnstop 工具查询 DNS 服务器状态。

　　dnstop 是一种非常优秀的开源软件，用户可以到网站 http://dns.measurement-factory.com/tools/dnstop/src/ 上进行下载使用，目前该软件的最新版本为：dnstop-20090128.tar.gz。

　　由于该软件依赖 tcpdump 和 pcap 抓包库(libpcap)对网络上传输的数据包进行截获和过滤，所以用户需要确保系统安装相应软件后才能正常安装和使用 dnstop。通常情况下，这两种必须的库都已经在系统中预装好了，使用下面的命令安装 dnstop 即可：

　　(1)解压缩源代码安装包

#tar vxfz ddnstop-20090128.tar.gz
			

　　(2)切换到解压目录，并使用 configure 命令生成 Makefile 文件

 #cd dnstop-20090128 
 #./configure 

　　(3)使用 make 命令进行安装

 #make 

　　安装成功后，可以查看通过相应的网络接口来监控 DNS 网络流量，如下所示：

 #./dnstop -s eth0 
 0 new queries, 6 total queries Fri Mar 26 20:18:12 2010 
 Sources count % 
 ---------------- --------- ------ 
 198.35.0.13 4 66.7 
 198.35.0.14 1 16.7 
 198.35.0.15 1 16.7 

原文转自：http://www.ibm.com/developerworks/cn/linux/1306_liyang_securedns/