Por que o Snort não corresponde à resposta do DNS?

1

Este é provavelmente um mal-entendido do principiante.

O sistema é: Ubuntu AMD64, 14.04.03 LTS; Snort instalado com configuração padrão.

Estou escrevendo uma regra do Snort que lida com as respostas do DNS. Para ter certeza de que tudo estava funcionando, escrevi a seguinte regra:

alert udp any any -> any any (msg:"UDP"; sid:10000001; rev:001;)

Estou usando o -r file.pcap com o Snort para testar minha regra.

Meu arquivo pcap tem 4 pacotes:

  1. solicitação de DNS para um registro A.
  2. resposta do DNS para um registro.
  3. solicitação de DNS para registro TXT.
  4. Resposta do DNS para o registro TXT.

O cliente e o servidor estão na mesma rede / 24. A porta DNS do lado do servidor padrão (53) é usada.

Quando eu executo o Snort contra o meu pcap ele alerta sobre os pedidos, mas não as respostas. Eu até tentei rodar o Snort 'live' e usar dig para gerar as requisições DNS. Mesmo comportamento: alerta sobre solicitações, mas não respostas.

$ snort -A console -q -u snort -g snort -c snort.conf -r dns.pcap 
11/05-19:13:00.754320  [**] [1:10000001:1] UDP [**] [Priority: 0] {UDP} 192.168.188.11:35977 -> 192.168.188.10:53
11/05-19:13:15.734932  [**] [1:10000001:1] UDP [**] [Priority: 0] {UDP} 192.168.188.11:50795 -> 192.168.188.10:53

Por que o Snort não alerta sobre as respostas?

    
por Bridgey 06.11.2015 / 22:04

1 resposta

0

De acordo com esta questão , adicionando -k none , que desativa a validação da soma de verificação, resulta em todos os quatro pacotes sendo alertados.

Como um arquivo pcap está sendo lido, não entendo bem por que a soma de verificação não pode ser calculada, mas acho que é realmente uma questão diferente.

    
por 06.11.2015 / 22:47

Tags