정규표현식 구조 |
DNS 응답 트래픽에서 질의 레코드 유형은 마지막 4byte 내에 기록된다.
PTR 레코드 질의 |
A 레코드 질의 |
AAAA 레코드 질의 |
PTR 레코드 질의에 대한 응답 트래픽은 피싱, 파밍 등으로 이어지는 DNS Cache Poisoning 공격과는 관계가 없다. 도메인의 IP 질의에 대한 응답만을 탐지하고 싶다면 룰을 수정해보자. 다음 룰은 A, AAAA 레코드 질의에 대한 응답트래픽만을 탐지한다.
alert udp $HOME_NET 53 -> $EXTERNAL_NET any
(msg:"DNS excessive outbound NXDOMAIN replies - possible spoof of domain run by local DNS servers";
content:"|81 83|"; offset:2; depth:2;
pcre:"/\x00(\x01|\x1c)..$/";
detection_filter:track by_dst, count 200, seconds 30;
정규표현식 구조 |
PTR 레코드 질의에 대한 응답만을 제외하고 싶다면 다음과 같이 수정.
alert udp $HOME_NET 53 -> $EXTERNAL_NET any
(msg:"DNS excessive outbound NXDOMAIN replies - possible spoof of domain run by local DNS servers";
content:"|81 83|"; offset:2; depth:2;
pcre:!"/\x00\x0c..$/";
detection_filter:track by_dst, count 200, seconds 30;
관련 글
댓글 없음:
댓글 쓰기