Come impostare Suricata per registrare solo query DNS provenienti da indirizzi IP specifici?

Sono nuovo per lavorare con IDS 'come Suricata / Snort. Attualmente sto cercando di utilizzare Suricata per registrare richieste DNS e risposte a domini dannosi nella mia networking. Sul mio server DNS ho fatto in modo che qualsiasi richiesta di dire, bad.com , risolverà a 127.0.0.1 , impedendo così a nessuno nella mia networking di accedere a quel sito.

Ho impostato Suricata per registrare tutte le richieste DNS, ma come faccio a filtrare in giù e restringerlo e dirlo solo per registrare le richieste a 127.0.0.1 e lasciare che tutto il resto diventi ignorato?

  • Web hosting da casa - IIS6
  • gateway iptables dns redirect
  • Eseguire il server DNS locale che inoltra le dns querys a diversi nomi di server DNS
  • Windows 2012 non può validationre gli spedizionieri senza una zona radice?
  • Inoltra solo server BIND
  • Wildcard del dominio secondario di secondo livello
  • Ho cercato di creare una regola:

     alert dns any any -> 127.0.0.1 any (msg: "BLACKLISTED WEBSITE"; flow:to_client; content:"rrname";sid:2240001;rev:1;) 

    Ma questo non funzionava.

    Cosa devo fare per registrare le richieste DNS a determinati IP? Non riesco a trovare informazioni nella documentazione o in nessun altro sito internet.

    Grazie.

  • Cosa devo fare per trasformare la mia networking da Ethernet a WiFi?
  • Il record PTR non sarà aggiornato
  • Come eseguire il debug di networking di linux: indirizzo già in uso
  • Ricerca di uno strumento per pianificare topologie di networking / vlan
  • Come facciamo a automatizzare il networking in un ambiente fantoccio?
  • Nome host SMTP vs. dominio in "From:" indirizzo vis-a-vis Deliverability Email
  • One Solution collect form web for “Come impostare Suricata per registrare solo query DNS provenienti da indirizzi IP specifici?”

    L'indirizzo IP è solo un numero di 32 bit. Nella regola l'IP deve essere rappresentato come un valore esadecimale, e non una string, per scopi di efficienza e salvataggio della width di banda (una string sarà 8 + byte in contrasto con 4 byte).

    Ecco la mia regola di Suricata finale per avvisare each volta che qualcuno viene inviato a loopback nella mia networking:

     alert dns any any -> any any (msg:"BLACKLISTED DOMAIN"; content:"|7F 00 00 01|"; sid:1;) 
    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.