我刚开始使用IDS,比如Suricata/Snort。我目前正在尝试使用Suricata记录DNS请求和对我网络上恶意域的响应。在我的DNS服务器上,我这样做是为了使任何请求(比如bad.com )都能解析为127.0.0.1,从而不允许我网络上的任何人访问该站点。
我已经设置了Suricata来记录所有的DNS请求,但是如何对其进行过滤并缩小其范围,并告诉它只将请求记录到127.0.0.1,并让其他所有内容都未被记录?
我试图创造一条规则:
alert dns any any -> 127.0.0.1 any (msg: "BLACKLISTED WEBSITE"; f
我目前在Suricata中设置了以下DNS查询警报规则(用于测试目的):
alert dns any any -> any any (msg:”Test dns_query option”; dns_query; content:”google”; nocase; sid:1;)
当它捕获包含单词"google“的DNS事件时触发,例如在此数据包中:
{"timestamp":"2017-06-08T15:58:59.907085+0000","flow_id":1798294020028434,"in_iface"
我试图解析这样的文档结构:
Headline
c=myClass1 myClass2 myClass3
Some text plus a number3gr
More text plus another number2cm
More text plus another number2.2m
我有一个正则表达式,它将重要的部分捕获到组中:
/(.*)[\r\n]c=(.*)[\r\n]*([a-zA-Z\s]*)(\d*\.?\d*)(\w*)[\r\n]/g
稍后,我将使用这些组构建一个html-字符串:
'<xmp><!--begin recipe--\>&
我正在试图找出如何构建一个DNS响应,该响应引用请求客户端尝试从另一个DNS服务器解析。
例如,
Client PC请求解析来自DNS server #1的记录"google.com"
DNS server #1回复,引用到DNS server #2
Client PC请求解析来自DNS server #2的记录"google.com"
带有匹配的DNS server #2回复-- "google.com"记录
📷
如何构建一个DNS响应,该响应引用客户端尝试从不同的DNS服务器解析?
注意-我知道最好的做法是将DNS服务器设置为递归请求。然而
我在透明模式下运行一个Ironport WSA。
在高级代理配置- DNS选项中,我发现以下内容:
Find web server by:
Specify how the appliance should find the location of the requested web server.
0 = use DNS answers in order
1 = use client supplied address then DNS
2 = use ONLY client supplied address
3 = use client supplied address for next h