Come impostare Suricata per registrare solo query DNS provenienti da indirizzi IP specifici?

Sono nuovo per lavorare con IDS 'come Suricata / Snort. Attualmente sto cercando di utilizzare Suricata per registrare richieste DNS e risposte a domini dannosi nella mia networking. Sul mio server DNS ho fatto in modo che qualsiasi richiesta di dire, bad.com , risolverà a 127.0.0.1 , impedendo così a nessuno nella mia networking di accedere a quel sito.

Ho impostato Suricata per registrare tutte le richieste DNS, ma come faccio a filtrare in giù e restringerlo e dirlo solo per registrare le richieste a 127.0.0.1 e lasciare che tutto il resto diventi ignorato?

  • Esplorare le problematiche di replica di Sysvol quando promuovono i controller di dominio con DSC in Azure
  • Come è ansible che posso fare una ricerca host, ma non un ricciolo?
  • Ricerca DNS per il legame del file di configuration
  • I server DNS di Windows richiedono ripetutamente i record nella zona quando ricevono la risposta SERVFAIL
  • Le voci dispari nel registro di ricerca DNS
  • Importnza dei record PTR su IP di nameserver?
  • Ho cercato di creare una regola:

     alert dns any any -> 127.0.0.1 any (msg: "BLACKLISTED WEBSITE"; flow:to_client; content:"rrname";sid:2240001;rev:1;) 

    Ma questo non funzionava.

    Cosa devo fare per registrare le richieste DNS a determinati IP? Non riesco a trovare informazioni nella documentazione o in nessun altro sito internet.

    Grazie.

  • Come impostare correttamente i collegamenti nel server IIS
  • Devo configurare un SSID wi-fi del cliente in modo che i clienti / clienti possano connettersi a Internet, qual è il modo migliore per farlo?
  • Che cosa causa questo errore di connettività Sporadic di servizio Web IIS 7?
  • VMware vSwitch e tree spanning
  • È normale avere un IP privato in un traceroute?
  • Computer che cadono casualmente a 10 Mbps
  • One Solution collect form web for “Come impostare Suricata per registrare solo query DNS provenienti da indirizzi IP specifici?”

    L'indirizzo IP è solo un numero di 32 bit. Nella regola l'IP deve essere rappresentato come un valore esadecimale, e non una string, per scopi di efficienza e salvataggio della width di banda (una string sarà 8 + byte in contrasto con 4 byte).

    Ecco la mia regola di Suricata finale per avvisare each volta che qualcuno viene inviato a loopback nella mia networking:

     alert dns any any -> any any (msg:"BLACKLISTED DOMAIN"; content:"|7F 00 00 01|"; sid:1;) 
    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.