Come impostare Suricata per registrare solo query DNS provenienti da indirizzi IP specifici?

Sono nuovo per lavorare con IDS 'come Suricata / Snort. Attualmente sto cercando di utilizzare Suricata per registrare richieste DNS e risposte a domini dannosi nella mia networking. Sul mio server DNS ho fatto in modo che qualsiasi richiesta di dire, bad.com , risolverà a 127.0.0.1 , impedendo così a nessuno nella mia networking di accedere a quel sito.

Ho impostato Suricata per registrare tutte le richieste DNS, ma come faccio a filtrare in giù e restringerlo e dirlo solo per registrare le richieste a 127.0.0.1 e lasciare che tutto il resto diventi ignorato?

  • Come faccio a indicare un CNAME nel mio dominio a un server del provider di servizi per consentire loro di offrire servizi personalizzati?
  • C'è un modo per scoprire quando una ricerca DNS non riesce sul tuo sistema locale?
  • Server DNS di Windows Server 2008 e routes di root
  • Problemi di DNS durante la connessione tramite VPN
  • Che cosa è necessario per /etc/resolv.conf nei Centos e Fedora più recenti?
  • Nomi di una nuova foresta di Active Directory - perché non è raccomandato il DNS a divisione orizzonte?
  • Ho cercato di creare una regola:

     alert dns any any -> 127.0.0.1 any (msg: "BLACKLISTED WEBSITE"; flow:to_client; content:"rrname";sid:2240001;rev:1;) 

    Ma questo non funzionava.

    Cosa devo fare per registrare le richieste DNS a determinati IP? Non riesco a trovare informazioni nella documentazione o in nessun altro sito internet.

    Grazie.

  • Problemi DNS quando si connette alla networking domestica tramite VPN
  • topologia di networking, inclusi molti servizi
  • Ottieni indirizzi IP e nomi di computer nella stessa networking
  • Flusso video su unità multi-display
  • Reindirizzare un traffico specifico a un altro gateway
  • Cosa potrebbe causare l'errore del mio indirizzo di posta mdns dell'OS X?
  • One Solution collect form web for “Come impostare Suricata per registrare solo query DNS provenienti da indirizzi IP specifici?”

    L'indirizzo IP è solo un numero di 32 bit. Nella regola l'IP deve essere rappresentato come un valore esadecimale, e non una string, per scopi di efficienza e salvataggio della width di banda (una string sarà 8 + byte in contrasto con 4 byte).

    Ecco la mia regola di Suricata finale per avvisare each volta che qualcuno viene inviato a loopback nella mia networking:

     alert dns any any -> any any (msg:"BLACKLISTED DOMAIN"; content:"|7F 00 00 01|"; sid:1;) 
    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.