我注意到我的 Linux 机器是针对特定域的许多 DNS 查询(子域)malicious.foo.bar
我怎样才能知道哪个应用程序或进程尝试解析该域?
我还想查看此进程请求的确切 URL(例如https://malicious.foo.bar/baz.php)以及查看有效负载的请求的一些详细信息。
我应该采取哪些步骤来实现它?
答案1
由于没有其他人回答,这里有一些想法。
客户端进程的 DNS 解析间接通过/etc/resolv.conf.通常,这将具有环回 IP 地址或解析器的直接 IP 地址。
为出站或环回流量(根据需要)添加一个日志记录条目iptables,以捕获调用者的进程 ID。
然后,您可以跟踪内核日志文件并使用该信息来确定实际的进程。
参考