Я новичок в работе с IDS, такими как Suricata / Snort. В настоящее время я пытаюсь использовать Suricata для регистрации DNS-запросов и ответов на вредоносные домены в моей сети. На моем DNS-сервере я сделал так, чтобы любой запрос, bad.com
, решила бы 127.0.0.1
, таким образом не позволяя никому в моей сети получить доступ к этому сайту.
Я настроил Suricata для регистрации всех DNS-запросов, но как мне отфильтровать это, сузить его и указать, чтобы он регистрировал только запросы к 127.0.0.1
а все остальное оставить без регистрации?
Я попытался создать правило:
alert dns any any -> 127.0.0.1 any (msg: "BLACKLISTED WEBSITE"; flow:to_client; content:"rrname";sid:2240001;rev:1;)
Но это не сработало.
Что мне нужно сделать, чтобы регистрировать DNS-запросы только к определенным IP-адресам? Я не могу найти никакой информации в документации или где-либо еще в Интернете.
Спасибо.
IP-адрес - это всего лишь 32-битное число. В правиле IP-адрес должен быть представлен как шестнадцатеричное значение, а не строка, в целях эффективности и экономии полосы пропускания (строка будет иметь размер 8+ байтов, а не 4 байта).
Вот мое последнее правило Suricata, чтобы предупреждать всякий раз, когда кто-то попадает в петлю в моей сети:
alert dns any any -> any any (msg:"BLACKLISTED DOMAIN"; content:"|7F 00 00 01|"; sid:1;)