為什麼 Snort 與 DNS 響應不匹配？

這很可能是初學者的誤解。

系統為：Ubuntu AMD64、14.04.03 LTS；使用預設配置安裝了 Snort。

我正在編寫處理 DNS 響應的 Snort 規則。為了確保一切正常，我編寫了以下規則：

alert udp any any -> any any (msg:"UDP"; sid:10000001; rev:001;)

然後我使用-r file.pcapwith Snort 來測試我的規則。

我的 pcap 文件中有 4 個數據包：

1. A 記錄的 DNS 請求。
2. A 記錄的 DNS 響應。
3. TXT 記錄的 DNS 請求。
4. TXT 記錄的 DNS 響應。

客戶端和伺服器都在同一個 /24 網路上。使用預設的伺服器端 DNS 埠 (53)。

當我對我的 pcap 執行 Snort 時，它會在請求上發出警報，但不會在響應上發出警報。我什至嘗試執行 Snort ’live’ 並使用dig它來生成 DNS 請求。相同的行為：請求警報，但不響應。

$ snort -A console -q -u snort -g snort -c snort.conf -r dns.pcap 
11/05-19:13:00.754320  [**] [1:10000001:1] UDP [**] [Priority: 0] {UDP} 192.168.188.11:35977 -> 192.168.188.10:53
11/05-19:13:15.734932  [**] [1:10000001:1] UDP [**] [Priority: 0] {UDP} 192.168.188.11:50795 -> 192.168.188.10:53

為什麼 Snort 不對響應發出警報？

根據這個問題，添加-k none會禁用校驗和驗證，會導致所有四個數據包都收到警報。

在讀取 pcap 文件時，我不太明白為什麼無法計算校驗和，但我想這實際上是一個不同的問題。

引用自：https://serverfault.com/questions/734545