Eu sou novo em trabalhar com IDS, como Suricata / Snort. No momento, estou tentando usar o Suricata para registrar solicitações DNS e respostas a domínios mal-intencionados na minha rede. No meu servidor DNS eu fiz isso para que qualquer pedido para dizer, bad.com , seria resolvido para 127.0.0.1 , não permitindo assim que qualquer pessoa na minha rede acessar esse site.
Eu configurei o Suricata para registrar todas as solicitações de DNS, mas como filtrá-las e limitá-las, informando-as para registrar somente as solicitações em 127.0.0.1 e deixar que todas as outras não sejam registradas?
Eu tentei criar uma regra:
alert dns any any -> 127.0.0.1 any (msg: "BLACKLISTED WEBSITE"; flow:to_client; content:"rrname";sid:2240001;rev:1;)
Mas isso não funcionou.
O que preciso fazer para registrar apenas solicitações de DNS em determinados IPs? Não consigo encontrar qualquer informação na documentação ou em qualquer outro lugar na internet.
Obrigado.
O endereço IP é apenas um número de 32 bits. Na regra, o IP deve ser representado como um valor hexadecimal, e não uma string, para fins de eficiência e economia de largura de banda (uma string terá 8 bytes em vez de 4 bytes).
Aqui está minha regra Suricata final para alertar sempre que alguém for enviado para loopback na minha rede:
alert dns any any -> any any (msg:"BLACKLISTED DOMAIN"; content:"|7F 00 00 01|"; sid:1;)
Tags snort domain-name-system