我是与IDS合作的新手,如Suricata / Snort。 我目前正在尝试使用Suricata来loggingDNS请求和对我的networking上的恶意域的响应。 在我的DNS服务器上,我做了这样的话,任何请求, bad.com ,将解决为127.0.0.1 ,从而不允许我的networking上的任何人访问该网站。
我已经设置Suricata来logging所有DNS请求,但是如何过滤并缩小它,并告诉它只logging到127.0.0.1请求,并让其他所有内容都不logging?
我试图创build一个规则:
alert dns any any -> 127.0.0.1 any (msg: "BLACKLISTED WEBSITE"; flow:to_client; content:"rrname";sid:2240001;rev:1;)
但是这没有用。
我需要做什么才能将DNS请求logging到某些IP? 我无法在文档或互联网上的任何其他地方find任何信息。
谢谢。
IP地址只是一个32位的数字。 在规则中,为了效率和节省带宽(string将是8个字节而不是4个字节),IP应该被表示为hex值,而不是string。
这是我最后的Suricata规则,当有人被发送到我的networking上的环回时提醒:
alert dns any any -> any any (msg:"BLACKLISTED DOMAIN"; content:"|7F 00 00 01|"; sid:1;)