Snort 분석(DNS excessive outbound NXDOMAIN replies - 2nd)

지난 글에서 DNS Cache Poisoning 또는 DNS 증폭 DDoS 공격의 가능성을 알려주는 룰에 대해서 살펴봤는데, 탐지로그 대부분이 PTR 질의에 대한 NXDOMAIN 응답이었다. 도메인의 IP 질의(A 레코드 질의)에 대한 응답은 몇 개나 될까? 확인해보니 하나밖에 없다.

정규표현식 구조

DNS 응답 트래픽에서 질의 레코드 유형은 마지막 4byte 내에 기록된다.

PTR 레코드 질의

A 레코드 질의

AAAA 레코드 질의

PTR 레코드 질의에 대한 응답 트래픽은 피싱, 파밍 등으로 이어지는 DNS Cache Poisoning 공격과는 관계가 없다. 도메인의 IP 질의에 대한 응답만을 탐지하고 싶다면 룰을 수정해보자. 다음 룰은 A, AAAA 레코드 질의에 대한 응답트래픽만을 탐지한다.

alert udp $HOME_NET 53 -> $EXTERNAL_NET any 
(msg:"DNS excessive outbound NXDOMAIN replies - possible spoof of domain run by local DNS servers"; 
content:"|81 83|"; offset:2; depth:2; 
pcre:"/\x00(\x01|\x1c)..$/";
detection_filter:track by_dst, count 200, seconds 30; 

정규표현식 구조

PTR 레코드 질의에 대한 응답만을 제외하고 싶다면 다음과 같이 수정.

alert udp $HOME_NET 53 -> $EXTERNAL_NET any 
(msg:"DNS excessive outbound NXDOMAIN replies - possible spoof of domain run by local DNS servers"; 
content:"|81 83|"; offset:2; depth:2; 
pcre:!"/\x00\x0c..$/";
detection_filter:track by_dst, count 200, seconds 30; 

관련 글

• Snort 분석(DNS excessive outbound NXDOMAIN replies)
• 'Snort 분석'을 연재하면서