Dnstop позволяет составить список хостов которые больше всего шлют запросы на DNS сервер, благодаря чему можно обнаружить вирусы в сети и понять кто атакует.
Устанавливается утилита в Ubuntu/Debian командой:
sudo apt-get install dnstop
Пример запуска (где 192.168.2.2 — IP адрес DNS сервера):
sudo dnstop
sudo dnstop -n google.com eth0
Топ доменов по запросам, после выполнения команды нажимаем клавишу «c», а потом «2» (где 192.168.2.2 — IP адрес DNS сервера):
sudo dnstop eth0 -i 192.168.2.2
Опишу список возможных ключей запуска:
-4 (количество IPv4 пакетов)
-6 (количество IPv6 пакетов)
-Q (количество запросов)
-R (количество ответов)
-a (анонимные IP-адреса)
-i ADDRESS (игнорирование указанного IP-адреса)
-n NAME (количество запросов только для указанного адреса)
-l NUMBER (мониторинг до указанного числа запросов)
-f (имя фильтра)
Смотрите также мою статью:
Настройка Fail2Ban под Bind9