【定位恶意域名请求】

DNS服务器没有开启日志存储

在DNS服务器没有开启日志存储的情况下，要确定哪台机器请求恶意域名会比较困难。但是，你可以尝试以下几种方法：

1. 网络嗅探工具：使用网络嗅探工具（如Wireshark）来捕获网络流量。通过分析捕获的数据包，可以找到发出恶意域名请求的IP地址。请确保在合适的网络位置部署嗅探工具，以便捕获到所有DNS请求。

2. 防火墙日志：检查防火墙日志，看是否有记录到DNS请求（通常是目标端口为53的UDP或TCP请求）。通过分析防火墙日志，可以找到发出恶意域名请求的IP地址。

3. 终端安全软件：在企业网络中，可以使用终端安全软件（如EDR，Endpoint Detection and Response）来检测和分析每台设备上的恶意活动。这类软件可以帮助你定位发出恶意域名请求的设备。

4. 启用DNS服务器日志：虽然你提到DNS服务器没有开启日志存储，但如果可能的话，建议启用DNS服务器日志功能。这将帮助你更容易地追踪到发出恶意域名请求的设备。

5. 主动扫描：使用网络扫描工具（如Nmap、Nessus等）对内部网络进行扫描，以发现可能存在安全漏洞或恶意行为的设备。这种方法可能无法直接确定哪台设备发出了恶意域名请求，但可以帮助你找到潜在的安全风险。

请注意，进行网络嗅探和扫描可能涉及隐私和法律问题。在采取这些措施之前，请确保遵循相关法规和公司政策。

写脚本查日志

写脚本来确定哪台机器向DNS服务器请求恶意域名是可能的，但需要在DNS服务器上启用日志记录，并且有读取和解析日志的权限。以下是一个基本的Python脚本示例，该脚本将读取DNS日志，查找并输出请求恶意域名的客户端IP地址。

假设你的DNS日志格式如下：

10.0.0.1 www.good.com
10.0.0.2 www.bad.com
10.0.0.3 www.good.com
10.0.0.2 www.evil.com

你可以使用以下Python脚本：

# 恶意域名列表
malicious_domains = ['www.bad.com', 'www.evil.com']

# 打开并读取DNS日志文件
with open('dns.log', 'r') as f:
    lines = f.readlines()

# 分析每一行日志
for line in lines:
    parts = line.split()
    if len(parts) < 2:
        continue
    client_ip = parts[0]
    domain = parts[1]

    # 如果请求的域名在恶意域名列表中，输出客户端IP地址
    if domain in malicious_domains:
        print('Malicious domain request: ' + domain + ' from ' + client_ip)

这只是一个非常基础的示例，实际情况可能会更复杂，例如日志格式可能不同，恶意域名可能需要从外部源更新等。此外，这个脚本只能处理已经记录的日志，如果你需要实时处理DNS请求，可能需要使用更复杂的工具或方法，例如网络嗅探或流量分析。

请注意，这个脚本假设你有权限访问和读取DNS服务器的日志，而这可能需要管理员权限。在使用此脚本之前，请确保你有足够的权限，并且遵循所有相关的隐私和安全策略。

没有日志存储定位

如果没有日志存储，可以通过实时捕获DNS服务器的网络流量来定位哪台主机的域名请求。以下是一个使用Python和Scapy库实时捕获DNS请求的示例脚本：

首先，请确保已安装Scapy库。在命令行中运行以下命令进行安装：

pip install scapy

然后，创建一个Python脚本，如下所示：

from scapy.all import DNS, DNSQR, IP, sniff, UDP

# 恶意域名列表
malicious_domains = ['www.bad.com', 'www.evil.com']

# 定义处理数据包的回调函数
def process_packet(packet):
    # 检查是否是DNS请求数据包
    if packet.haslayer(DNS) and packet.haslayer(DNSQR):
        client_ip = packet[IP].src
        domain = packet[DNSQR].qname.decode('utf-8')[:-1]  # 去掉末尾的'.'

        # 如果请求的域名在恶意域名列表中，输出客户端IP地址
        if domain in malicious_domains:
            print('Malicious domain request: ' + domain + ' from ' + client_ip)

# 开始捕获DNS请求数据包（过滤器限制为UDP端口53）
sniff(filter='udp port 53', prn=process_packet)

这个脚本使用Scapy库实时捕获DNS请求，并检查请求的域名是否在恶意域名列表中。如果是，则输出发起请求的客户端IP地址。

请注意，运行此脚本可能需要管理员权限，因为它需要访问网络接口进行数据包捕获。在使用此脚本之前，请确保你有足够的权限，并遵循所有相关的隐私和安全策略。

性能

上面提供的代码在大多数情况下是可行的，但是在高流量的网络环境中，实时捕获和分析数据包可能会对服务器性能产生一定影响。为了降低对服务器性能的影响，你可以考虑以下方法：

1. 使用BPF（Berkeley Packet Filter）过滤器来缩小捕获范围，只捕获DNS查询请求（查询类型为A记录）。这样可以减少需要处理的数据包数量。更新sniff函数的filter参数：

sniff(filter='udp port 53 and udp[10] & 0x80 = 0 and udp[11] = 0x01', prn=process_packet)

2. 在捕获数据包时，使用store=False参数，避免缓存所有捕获的数据包。这可以降低内存使用。

sniff(filter='udp port 53 and udp[10] & 0x80 = 0 and udp[11] = 0x01', prn=process_packet, store=False)

更新后的脚本如下：

from scapy.all import DNS, DNSQR, IP, sniff, UDP

# 恶意域名列表
malicious_domains = ['www.bad.com', 'www.evil.com']

# 定义处理数据包的回调函数
def process_packet(packet):
    # 检查是否是DNS请求数据包
    if packet.haslayer(DNS) and packet.haslayer(DNSQR):
        client_ip = packet[IP].src
        domain = packet[DNSQR].qname.decode('utf-8')[:-1]  # 去掉末尾的'.'

        # 如果请求的域名在恶意域名列表中，输出客户端IP地址
        if domain in malicious_domains:
            print('Malicious domain request: ' + domain + ' from ' + client_ip)

# 开始捕获DNS请求数据包（过滤器限制为UDP端口53且查询类型为A记录）
sniff(filter='udp port 53 and udp[10] & 0x80 = 0 and udp[11] = 0x01', prn=process_packet, store=False)

这个脚本应该对服务器性能的影响较小。然而，在使用此脚本之前，请确保你有足够的权限，并遵循所有相关的隐私和安全策略。另外，如果你担心性能问题，可以在非生产环境中先进行测试，以确保脚本运行不会对服务器产生负面影响。

搭建DNS服务器并测试

BIND (Berkeley Internet Name Domain) 是最常用的DNS服务器软件，它可以在各种操作系统上运行，包括UNIX、Linux、Windows等。以下是在Linux系统上搭建BIND DNS服务器的基本步骤：

1. 安装BIND：使用你的Linux发行版的包管理器来安装BIND。在Debian/Ubuntu系统中，可以使用以下命令：

sudo apt-get update
sudo apt-get install bind9 bind9utils bind9-doc

在CentOS/RHEL系统中，可以使用以下命令：

sudo yum install bind bind-utils

2. 配置BIND：BIND的主配置文件通常位于/etc/bind/named.conf（Debian/Ubuntu）或/etc/named.conf（CentOS/RHEL）。你需要编辑此文件来设置你的DNS服务器。例如，你可以定义一个区域（zone）来为你的域名提供DNS服务。以下是一个示例配置：

zone "example.com" {
    type master;
    file "/etc/bind/zones/db.example.com"; # zone file path
};

然后，你需要创建区域文件/etc/bind/zones/db.example.com，在其中定义你的DNS记录。以下是一个示例区域文件：

$TTL    604800
@       IN      SOA     ns.example.com. admin.example.com. (
                              2         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      ns.example.com.
@       IN      A       192.0.2.1
ns      IN      A       192.0.2.1

3. 启动BIND：使用以下命令启动BIND服务：

sudo systemctl start bind9

并设置BIND在启动时自动运行：

sudo systemctl enable bind9

4. 测试DNS服务器：使用dig或nslookup命令来测试你的DNS服务器是否正常工作。例如：

dig @localhost example.com

以上只是搭建BIND DNS服务器的基本步骤，你可能需要根据你的实际需求来进行更复杂的配置。请参考BIND的官方文档以获取更详细的信息。