Como configurar o Suricata para registrar apenas as consultas DNS que vêm de endereços IP específicos?

1

Eu sou novo em trabalhar com IDS, como Suricata / Snort. No momento, estou tentando usar o Suricata para registrar solicitações DNS e respostas a domínios mal-intencionados na minha rede. No meu servidor DNS eu fiz isso para que qualquer pedido para dizer, bad.com , seria resolvido para 127.0.0.1 , não permitindo assim que qualquer pessoa na minha rede acessar esse site.

Eu configurei o Suricata para registrar todas as solicitações de DNS, mas como filtrá-las e limitá-las, informando-as para registrar somente as solicitações em 127.0.0.1 e deixar que todas as outras não sejam registradas?

Eu tentei criar uma regra:

alert dns any any -> 127.0.0.1 any (msg: "BLACKLISTED WEBSITE"; flow:to_client; content:"rrname";sid:2240001;rev:1;)

Mas isso não funcionou.

O que preciso fazer para registrar apenas solicitações de DNS em determinados IPs? Não consigo encontrar qualquer informação na documentação ou em qualquer outro lugar na internet.

Obrigado.

    
por Ahad Sheriff 07.06.2017 / 22:17

1 resposta

0

O endereço IP é apenas um número de 32 bits. Na regra, o IP deve ser representado como um valor hexadecimal, e não uma string, para fins de eficiência e economia de largura de banda (uma string terá 8 bytes em vez de 4 bytes).

Aqui está minha regra Suricata final para alertar sempre que alguém for enviado para loopback na minha rede:

alert dns any any -> any any (msg:"BLACKLISTED DOMAIN"; content:"|7F 00 00 01|"; sid:1;)
    
por 09.06.2017 / 17:29