Linux 如何找出本地 DNS 请求来源

NTP ？

grep 'dns.pub' /* -R 先看看

同蹲一个答案

我大哥写的工具 https://zgao.top/%e5%bc%80%e5%8f%91ko%e5%86%85%e6%a0%b8%e6%a8%a1%e5%9d%97%ef%bc%8c%e6%97%a0%e4%be%9d%e8%b5%96%e5%ae%9e%e7%8e%b0%e7%9b%91%e6%8e%a7dns%e8%af%b7%e6%b1%82%e8%bf%9b%e7%a8%8b/

刚刚试了下 bpftool 的 tracepoint 失败了，dns 用好几种系统调用，大概得上 bcc 过滤了

审计行不行

bindsnoop-bpfcc -w

用 bcc 的 socket_filter 失败了，丢掉了 pid 。

去搜了下有这篇文章 https://medium.com/@nurkholish.halim/a-deep-dive-into-ebpf-writing-an-efficient-dns-monitoring-2c9dea92abdf
对应这个代码 https://gist.github.com/oghie/b4e3accf1f87afcb939f884723e2b462

应该就是你想要的了

问了下 gpt ，它提供了 5 种方法，你自己问问吧

总结
方法 描述 难度 推荐度
conntrack 能追踪短暂 UDP 连接 中 ⭐⭐⭐⭐
auditd 内核审计系统，能监控 socket 行为 高 ⭐⭐⭐
systemd-resolved 检查 排除系统自带 DNS 检测 低 ⭐⭐⭐⭐
ss/lsof 脚本 粗暴轮询法 低 ⭐⭐
smartdns 配置分析 看是否是它自己发的 低 ⭐⭐⭐⭐
eBPF 工具 内核层级追踪 高 ⭐⭐⭐

输出结果大概像这样子

COMM=chrome PID=1169965 TGID=1169997 DEV=wlp6s0 PROTO=UDP SRC=192.168.8.64 DST=192.168.8.1 SPT=48927 DPT=53 UID=1000 GID=1000 DNS_QR=0 DNS_NAME=v2ex.com. DNS_TYPE=A
COMM=chrome PID=1169965 TGID=1169997 DEV=wlp6s0 PROTO=UDP SRC=192.168.8.64 DST=192.168.8.1 SPT=48927 DPT=53 UID=1000 GID=1000 DNS_QR=0 DNS_NAME=v2ex.com. DNS_TYPE=AAAA
COMM=chrome PID=1169965 TGID=1169997 DEV=wlp6s0 PROTO=UDP SRC=192.168.8.1 DST=192.168.8.64 SPT=53 DPT=48927 UID=1000 GID=1000 DNS_QR=1 DNS_NAME=v2ex.com. DNS_TYPE=A DNS_DATA=198.18.0.5

也许就是来自 SmartDNS with WebUI ，这个软件开发者内置了腾讯 dns.pub doh 有关的操作

@dem0ns 感谢感谢，咱大哥写的工具真好用啊，一下找着了是 nslookup 发的

@jworg #7 谢谢大哥，eBPF 确实是好东西

# ptcpdump is a tcpdump-compatible packet analyzer powered by eBPF, automatically annotating packets with process/container/pod metadata when detectable.
https://github.com/mozillazg/ptcpdump
# audit
auditctl -a exit,always -F arch=b64 -S connect -k "connect-audit"