6.15. DNS关键字

还有一些内容修改器(如果您不熟悉内容修改器,请访问页面 有效载荷关键字 这些确保签名检查网络流量的特定部分。

6.15.1. dns.opcode

此关键字与 操作码 在DNS标头标志中找到。

6.15.1.1. 句法

dns.opcode:[!]<number>

6.15.1.2. 实例

在DNS请求和响应上与匹配 操作码 4: 公司名称:

dns.opcode:4;

在DNS请求上匹配 操作码 不是0::

dns.opcode:!0;

6.15.2. dns.query

dns.query 检查DNS请求查询。这个dns.查询关键字的工作方式有点不同于普通的内容修饰符。当在规则中使用时,它后面的所有内容都会受到它的影响。例子:

警报dns any any->any(消息:“Testdns.查询选项“;dns.查询内容:“谷歌”;nocase;sid:1;)

../_images/dns_query.png

这个 dns.query 关键字影响以下所有内容,直到使用pkt_数据或它到达规则的末尾。

注解

dns.query 相当于年长的 dns_query .

6.15.2.1. 归一化缓冲区

缓冲区包含文本域名

  • <length>值(如在原始DNS请求中看到的)是文本“.”字符

  • 无前导<长度>值

  • 无终止空(0x00)字节(使用反向相对 isdataat 以匹配结尾)

“mail.google.com”的DNS请求示例(为了可读性,十六进制值在管道之间编码):

线上的DNS查询(片段)::

|04|mail|06|google|03|com|00|

dns.query 缓冲区:

mail.google.com