dnstop 사용에 대해 답변드립니다.

안녕하십니까? 서진수님..

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

1박2일동안 고생하셨습니다.. 도움이 되셨다니 저도 감사합니다.

문의하신 내용에 대해 답변을 드리도록 하겠습니다.

첫째로 저희 고객사중  한곳에서 저희 웹페이지를 열면 HTTP 528 DNS ERROR 이라는 메세지를 내면서 페이지를 열지를 못하는 현상이 생기더라구요.다른 고객사는 괜찮은데 그곳만 그런 현상이 생깁니다.우선 이 메세지가 어떤 의미인지 궁금하고 어떻게 해결해야 하는지 선생님의 의견을 부탁드립니다.
==> 이 부분에 대해서는 에러가 나는 해당 도메인명을 적어서 저에게 메일로 주시면 확인후 답신드리도록 하겠습니다. 제 메일 주소는 antihong@tt.co.kr 입니다.

두번째로 dnstop 질문입니다. 리눅스 서버 보안관리 실무 교재 247쪽 DNS보안 부분의 그림을 보면 Source   |   count   | % 이렇게 탭이 구분되는데 Source 부분이 DNS Resolving을 요구한 클라이언트의  IP인지 아니면 그 DNS에 응답하는 서버인지가 궁금합니다.

예)

Source                           count                     %

211.1.2.3            500                   20% 

위처럼 현황이 나온다면 211.1.2.3이 DNS 서버에 질의를 하는 IP 인가요?
==>  예, 그렇습니다. 통상적으로 특정 IP에서 DNS 질의가 많다면 메일 발송과 관련이 높습니다. 그런데, DB 서버라니 좀 이상하군요...혹 DB서버로 접속을 시도하는 웹서버가 많다면 reverse lookup일 가능성도 높을 것 같습니다. 해당 DB 서버에서 tcpdump port 53 -vv 로 어떤 질의가 많은지 확인해 보시기 바랍니다. 그리고 웹-db서버간에는 /etc/hosts 에 상대방의 IP 주소를 적어주시면 상당한 속도 향상을 기대할 수 있습니다.

이상한 것은 211.1.2.3 이 저희 DB서버이거든요. 근데 DNS 질의율이 전체의 20%정도이더라구요. 그래서 이상해서 2번을 눌러 도메인 네임을 봤더니 그 DB서버가 서비스하는 도메인명이 나오더라구요. 
==> 최신 버전에서는 3단계 도메인까지 제공하므로 2대신 3을 누르시면 어떤 도메인에 대한 질의가 많은지를 보여줍니다. 그리고 이 부분은 DB서버가 왜 DNS 질의를 발생하는지를 확인해 보아야 할 것 같습니다.

감사합니다.