Une méthode simple pour analyser les requêtes DNS qui partent d'un serveur consiste à utiliser TCPDUMP.
La commande suivante va afficher les trames qui partent vers le port 53 du serveur DNS désigné :
# tcpdump -i en0 -l -vvv dst host 198.23.1.8 and dst port 53
Le nom recherché se trouve en général en fin de ligne, après une chaine "A? ou AAAA"
Reste ensuite à savoir quel programme lance cette requête.
