Este é provavelmente um mal-entendido do principiante.
O sistema é: Ubuntu AMD64, 14.04.03 LTS; Snort instalado com configuração padrão.
Estou escrevendo uma regra do Snort que lida com as respostas do DNS. Para ter certeza de que tudo estava funcionando, escrevi a seguinte regra:
alert udp any any -> any any (msg:"UDP"; sid:10000001; rev:001;)
Estou usando o -r file.pcap com o Snort para testar minha regra.
Meu arquivo pcap tem 4 pacotes:
O cliente e o servidor estão na mesma rede / 24. A porta DNS do lado do servidor padrão (53) é usada.
Quando eu executo o Snort contra o meu pcap ele alerta sobre os pedidos, mas não as respostas.
Eu até tentei rodar o Snort 'live' e usar dig para gerar as requisições DNS. Mesmo comportamento: alerta sobre solicitações, mas não respostas.
$ snort -A console -q -u snort -g snort -c snort.conf -r dns.pcap
11/05-19:13:00.754320 [**] [1:10000001:1] UDP [**] [Priority: 0] {UDP} 192.168.188.11:35977 -> 192.168.188.10:53
11/05-19:13:15.734932 [**] [1:10000001:1] UDP [**] [Priority: 0] {UDP} 192.168.188.11:50795 -> 192.168.188.10:53
Por que o Snort não alerta sobre as respostas?
De acordo com esta questão , adicionando -k none , que desativa a validação da soma de verificação, resulta em todos os quatro pacotes sendo alertados.
Como um arquivo pcap está sendo lido, não entendo bem por que a soma de verificação não pode ser calculada, mas acho que é realmente uma questão diferente.
Tags snort