Snort

為什麼 Snort 與 DNS 響應不匹配?

  • November 6, 2015

這很可能是初學者的誤解。

系統為:Ubuntu AMD64、14.04.03 LTS;使用預設配置安裝了 Snort。

我正在編寫處理 DNS 響應的 Snort 規則。為了確保一切正常,我編寫了以下規則:

alert udp any any -> any any (msg:"UDP"; sid:10000001; rev:001;)

然後我使用-r file.pcapwith Snort 來測試我的規則。

我的 pcap 文件中有 4 個數據包:

  1. A 記錄的 DNS 請求。
  2. A 記錄的 DNS 響應。
  3. TXT 記錄的 DNS 請求。
  4. TXT 記錄的 DNS 響應。

客戶端和伺服器都在同一個 /24 網路上。使用預設的伺服器端 DNS 埠 (53)。

當我對我的 pcap 執行 Snort 時,它會在請求上發出警報,但不會在響應上發出警報。我什至嘗試執行 Snort ’live’ 並使用dig它來生成 DNS 請求。相同的行為:請求警報,但不響應。

$ snort -A console -q -u snort -g snort -c snort.conf -r dns.pcap 
11/05-19:13:00.754320  [**] [1:10000001:1] UDP [**] [Priority: 0] {UDP} 192.168.188.11:35977 -> 192.168.188.10:53
11/05-19:13:15.734932  [**] [1:10000001:1] UDP [**] [Priority: 0] {UDP} 192.168.188.11:50795 -> 192.168.188.10:53

為什麼 Snort 不對響應發出警報?

根據這個問題,添加-k none會禁用校驗和驗證,會導致所有四個數據包都收到警報。

在讀取 pcap 文件時,我不太明白為什麼無法計算校驗和,但我想這實際上是一個不同的問題。

引用自:https://serverfault.com/questions/734545