Parsing von DNS-Abfrage- und -Antwortfeldern

Die Felder DNS-Abfrage und DNS-Antwort wurden entfernt. Sie können die DNS-Antwortdaten weiterhin anzeigen, indem Sie differenziertere DNS-Datenfelder in Ihre Suchergebnisse einschließen. Weitere Informationen zu den DNS-Datenfeldern, die Sie verwenden können, finden Sie unter Aufbereitete Inspektion.

Die folgenden Informationen sind beim Parsen der Daten in den Feldern DNS-Abfrage und DNS-Antwort hilfreich.

Die Felder DNS-Abfrage und DNS-Antwort werden nur ausgefüllt, wenn der Datenfluss Daten für eine DNS-Abfrage oder DNS-Antwort enthält und die Inspektionsstufe auf Umfassend oder Erweitert gesetzt ist.

DNS-Abfrage

Das Feld DNS-Abfrage verwendet dieses Format, das in der folgenden Tabelle beschrieben ist:
<transaction ID>,<flags>,<query domain>,<request type>
Tabelle 1. Format für DNS-Abfragefeld
Feld Beschreibung
Transaktions-ID Wird vom DNS-Client und -Server verwendet, um die Transaktion beim Abgleich einer Anforderung mit einer Antwort zu identifizieren.
Flaggen Der Wert R gibt an, dass eine Rekursion angefordert wurde; andernfalls ist das Feld leer.

Wenn eine Rekursion angefordert und aktiviert wurde, stellt der DNS-Server Abfragen für den Client, um den Domänennamen aufzulösen.
Abfragedomäne Der Domänenname, dessen Auflösung angefordert wurde.
Anforderungstyp Gibt den Typ der Ressourceninformationen an, die angefordert wurden. Dabei gilt die Definition durch die Internet Assigned Numbers Authority (IANA).

Zu den gängigsten Anforderungstypen zählen die IPv4-Hostadresse (A), die IPv6-Adresse (AAAA), der kanonische Domänenname für den Aliasnamen (CNAME), der autoritative Namensserver für die Domäne (NS) und der Name des Mailaustauschservers (MX).
Diese DNS-Abfrage wird beispielsweise wie folgt geparst:
51736,R,<domain name>,A
wo
  • Die Transaktions-ID ist 51736.
  • Es wurde eine Rekursion angefordert.
  • Die Position in Klammern zeigt den aufzulösenden Domänennamen.
  • Die angeforderten Ressourceninformationen entsprechen der IPv4-Hostadresse.

DNS-Antwort

Das Feld DNS-Antwort verwendet dieses Format, das in der folgenden Tabelle beschrieben ist:

<transaction id>,<flags>,<query domain>,<response code>,
<num answers>,<num authority>,<num additional>,<answers>
Tabelle 2. Format für DNS-Antwortfeld
Feld Beschreibung
Transaktions-ID Wird vom DNS-Client und -Server verwendet, um die Transaktion beim Abgleich einer Anforderung mit einer Antwort zu identifizieren.
Flaggen Kann leer oder eine Kombination aus A, R und T sein, wobei Folgendes gilt:
  • A bedeutet, dass die Antwort autoritativ ist.
  • R bedeutet, dass die Rekursion verfügbar ist.
  • T bedeutet, dass die Antwort abgeschnitten wurde.
Abfragedomäne Der Domänenname, dessen Auflösung angefordert wurde.
Response code (Antwortcode) Der Antwortcode 0 bedeutet, dass keine Fehler gefunden wurden. Alle anderen Antwortcodewerte weisen auf eine Art von Fehler hin. Es kann beispielsweise vorkommen, dass die Abfrage nicht richtig formatiert wurde oder der Domänenname nicht vorhanden ist.
Num answers (Anzahl der Antworten) Die Anzahl der regulären Antwortdatensätze, die von der Abfrage zurückgegeben wurden.
Num authority (Autoritätsanzahl) Die Anzahl der Autoritätsantwortdatensätze, die von der Abfrage zurückgegeben wurden.
Num additional (Anzahl zusätzlicher) Die Anzahl der zusätzlichen Antwortdatensätze, die von der Abfrage zurückgegeben wurden.
Antworten Die Liste der Antwortreaktionen, die von der Abfrage zurückgegeben wurden.

Alle Antworten sind durch das Symbol "|" voneinander getrennt. Autoritätsantworten und zusätzliche Antworten haben dasselbe Format wie reguläre Antworten und werden auf Basis ihrer Position in der Antwortliste als Autoritätsantworten und zusätzliche Antworten bezeichnet.

In QRadar Network Insights V7.3.1.4 und früher haben die Antwortantworten das folgende Format:

<domain name>,<answer type>,<time to live>,<answer fields>

wo
  • 'domain name' ist der Name der Domäne, für die die Antwort gilt.
  • 'answer type' ist der bereitgestellte Antworttyp. Er ist mit dem Anforderungstyp identisch, der in der DNS-Abfrage angegeben wird.
  • 'time to live' ist die Anzahl der Sekunden, für die der Client die Informationen zwischenspeichern kann. Der Wert 0 gibt an, dass die Informationen nicht zwischengespeichert werden können.
  • Antwortfelder enthalten die Antwortinformationen. In der Regel ist die Antwort nur ein einziger Wert, manche Antworten können jedoch mehrere durch Kommas getrennte Werte enthalten. Wenn der Anforderungstyp beispielsweise MX lautet, kann das Antwortfeld mehrere Werte haben, falls die Domäne mit dem primären und dem sekundären Mail-Server eingerichtet wurde.

In QRadar Network Insights V7.3.1.5 und höher enthalten die Antworten den Antworttyp und haben das folgende Format:

<domain name>,<response type>,<answer type>,<time to live>,<answer fields>

Das Antworttypfeld zeigt an, ob die Antwort eine Standardantwort (ANS), eine autoritative Antwort (AUTH) oder eine zusätzliche Antwort (ADD) ist.

In QRadar Network Insights V7.3.1.4könnte die DNS-Antwort auf die obige DNS-Abfrage beispielsweise wie folgt aussehen:

51736,R,<domain name>,0,1,2,2|<domain name>,A,246,145.72.70.20|
<domain name>,NS,1359,<auth_name_server1>|<domain name>,NS,1359,<auth_name_server2>
|<auth_name_server1>,A,72008,<IPv4 address>|<auth_name_server2>,A,2074,<IPv4 address>
wo
  • Die Transaktions-ID ist 51736, also dieselbe ID, die der Abfrage zugewiesen wurde.
  • Das "R" zeigt an, dass die Rekursion verfügbar war und Teil der Antwort ist.
  • Die Position in Klammern zeigt den aufzulösenden Domänennamen.
  • Der Antwortcode 0 bedeutet, dass keine Fehler gefunden wurden.
  • Die Folge 1,2,2 bedeutet, dass es eine Standardantwort, zwei Autoritätsantworten und zwei zusätzliche Antworten gibt.
  • Das Symbol "|" zeigt den Anfang der Antwortfelder an.
  • In der ersten Antwort korreliert der Typ A mit einer IPv4-Adresse, die angibt, dass der <domain name> an <IPv4 address> zu finden ist und 246 Sekunden lang zwischengespeichert werden kann.
  • Die zweiten und dritten Antworten geben die autoritativen Namensserver (NS) für die Domäne an.
  • Die vierten und fünften Antworten geben die IPv4-Adressen für die beiden autoritativen Namensserver an.

In QRadar Network Insights V7.3.1.5 oder höher enthalten die Antwortfelder den Antworttyp, sodass dieselbe DNS-Antwort wie folgt aussehen kann:

51736,R,<domain name>,0,1,2,2|<domain name>,ANS,A,246,145.72.70.20|
<domain name>,AUTH,NS,1359,<auth_name_server1>|<domain name>,AUTH,NS,1359,
<auth_name_server2>|<auth_name_server1>,ADD,A,72008,<IPv4 address>|
<auth_name_server2>,ADD,A,2074,<IPv4 address>