Назад | Перейти на главную страницу

Как настроить Suricata на регистрацию только DNS-запросов, поступающих с определенных IP-адресов?

Я новичок в работе с IDS, такими как Suricata / Snort. В настоящее время я пытаюсь использовать Suricata для регистрации DNS-запросов и ответов на вредоносные домены в моей сети. На моем DNS-сервере я сделал так, чтобы любой запрос, bad.com, решила бы 127.0.0.1, таким образом не позволяя никому в моей сети получить доступ к этому сайту.

Я настроил Suricata для регистрации всех DNS-запросов, но как мне отфильтровать это, сузить его и указать, чтобы он регистрировал только запросы к 127.0.0.1 а все остальное оставить без регистрации?

Я попытался создать правило:

alert dns any any -> 127.0.0.1 any (msg: "BLACKLISTED WEBSITE"; flow:to_client; content:"rrname";sid:2240001;rev:1;)

Но это не сработало.

Что мне нужно сделать, чтобы регистрировать DNS-запросы только к определенным IP-адресам? Я не могу найти никакой информации в документации или где-либо еще в Интернете.

Спасибо.

IP-адрес - это всего лишь 32-битное число. В правиле IP-адрес должен быть представлен как шестнадцатеричное значение, а не строка, в целях эффективности и экономии полосы пропускания (строка будет иметь размер 8+ байтов, а не 4 байта).

Вот мое последнее правило Suricata, чтобы предупреждать всякий раз, когда кто-то попадает в петлю в моей сети:

alert dns any any -> any any (msg:"BLACKLISTED DOMAIN"; content:"|7F 00 00 01|"; sid:1;)