0
私は現在、(テスト目的のために)はSuricataに設定し、次のDNSクエリアラートルールを持っている:DNS rdata/IPアドレスのルールトリガーを作成するには?
それは、そのようなこのパケットのように、単語「グーグル」が含まれているDNSイベントをキャプチャしたときにトリガされalert dns any any -> any any (msg:”Test dns_query option”; dns_query; content:”google”; nocase; sid:1;)
:
{"timestamp":"2017-06-08T15:58:59.907085+0000","flow_id":1798294020028434,"in_iface":"ens33","event_type":"dns","src_ip":"172.16.10.132","src_port":53,"dest_ip":"192.168.160.140","dest_port":52385,"proto":"UDP","dns":{"type":"answer","id":57334,"rcode":"NOERROR","rrname":"www.google.com","rrtype":"A","ttl":300,"rdata":"172.217.12.164"}}
しかし、代わりに「グーグル」が含まれてリソースレコードの名前を検索する、私はIP上でトリガするために、アラートのこの同じ種類を使用するには決意がループバックすることアドレス、次のパケットの場合と同様に( rdataフィールドに注意してください)。
{"timestamp":"2017-06-08T15:59:37.120927+0000","flow_id":36683121284050,"in_iface":"ens33","event_type":"dns","src_ip":"172.16.10.132","src_port":53,"dest_ip":"192.168.160.140","dest_port":62260,"proto":"UDP","dns":{"type":"answer","id":53553,"rcode":"NOERROR","rrname":"outlook1.us","rrtype":"A","ttl":120,"rdata":"127.0.0.1"}}
私が気づいたように、Suricataルールのcontentセクションは文字列のみを検索します。 現在のルールはrrname/domainとのテキスト一致でトリガされますが、rdata/IPアドレスでルールがトリガされるようにするにはどうすればよいですか?
p.s. 私のアラートのコンテンツセクションにある "google"を "127.0.0.1"に置き換えようとしましたが、それも期待通りに機能しませんでした。