Análisis de campos de consulta y respuesta DNS

Se han eliminado los campos Consulta DNS y Respuesta DNS . Puede seguir visualizando los datos de respuesta de DNS incluyendo campos de datos DNS más granulares en los resultados de la búsqueda. Para obtener más información sobre los campos de datos DNS que puede utilizar, consulte Inspección enriquecida.

La información siguiente puede ayudarle a analizar los datos en los campos Consulta DNS y Respuesta DNS .

Los campos Consulta DNS y Respuesta DNS sólo se rellenan si el flujo tiene datos en una consulta DNS o respuesta DNS, y el nivel de inspección se establece en Enriquecido o Avanzado.

Consulta de DNS

El campo Consulta DNS utiliza este formato, que se describe en la tabla siguiente:
<transaction ID>,<flags>,<query domain>,<request type>
Tabla 1. Formato para el campo de consulta DNS
Campo Descripción
ID de transacción Utilizado por el cliente y el servidor DNS para identificar la transacción cuando coincide con una solicitud con una respuesta.
Distintivos Un valor de R indica que se ha solicitado una recurrencia; de lo contrario, el campo está vacío.

Cuando se solicita y se habilita la recurrencia, el servidor DNS realiza consultas en nombre del cliente para resolver el nombre de dominio.
Dominio de consulta El nombre de dominio que se ha solicitado que se resuelva.
Tipo de solicitud Identifica el tipo de información de recurso que se ha solicitado, tal como lo define la IANA (Internet Assigned Numbers Authority).

Algunos de los tipos de solicitudes más comunes incluyen la dirección de host IPv4 (A), la dirección IPv6 (AAAA), el nombre de dominio canónico para el alias (CNAME), el servidor de nombres autorizado para el dominio (NS) y el nombre del servidor de intercambio de correo (MX).
Por ejemplo, esta consulta DNS se analiza de la forma siguiente:
51736,R,<domain name>,A
donde
  • El ID de transacción es 51736.
  • Se ha solicitado la recurrencia.
  • La ubicación entre corchetes muestra el nombre de dominio que se va a resolver.
  • La información de recurso que se solicita es la dirección de host IPv4 .

Respuesta de DNS

El campo Respuesta de DNS utiliza este formato, que se describe en la tabla siguiente:

<transaction id>,<flags>,<query domain>,<response code>,
<num answers>,<num authority>,<num additional>,<answers>
Tabla 2. Formato para el campo Respuesta DNS
Campo Descripción
ID de transacción Utilizado por el cliente y el servidor DNS para identificar la transacción cuando coincide con una solicitud con una respuesta.
Distintivos Puede estar vacío, o alguna combinación de A, R y T donde
  • A significa que la respuesta es autoritaria.
  • R significa que la recurrencia está disponible.
  • T significa que la respuesta se ha truncado.
Dominio de consulta El nombre de dominio que se ha solicitado que se resuelva.
Código de respuesta Un código de respuesta de 0 significa que no se han encontrado errores. Todos los demás valores de código de respuesta indican algún tipo de error. Por ejemplo, es posible que la consulta tenga un formato incorrecto o que el nombre de dominio no exista.
Número de respuestas El número de registros de respuesta regulares devueltos por la consulta.
Autorización de número Número de registros de respuesta de autorización devueltos por la consulta.
Número adicional El número de registros de respuesta adicionales devueltos por la consulta.
Respuestas La lista de respuestas devueltas por la consulta.

Cada respuesta está separada por el símbolo "|". La autoridad y las respuestas adicionales tienen el mismo formato que las respuestas regulares, y se indican como autoridad y respuestas adicionales en función de su ubicación en la lista de respuestas.

En QRadar Network Insights V7.3.1.4 y anteriores, las respuestas siguen este formato:

<domain name>,<answer type>,<time to live>,<answer fields>

donde
  • El nombre de dominio es el nombre del dominio al que se aplica la respuesta.
  • El tipo de respuesta es el tipo de respuesta que se proporciona. Es el mismo que el tipo de solicitud que se especifica en la consulta DNS.
  • El tiempo de vida es el número de segundos que el cliente puede almacenar en memoria caché la información. Un valor de 0 indica que la información no se puede almacenar en memoria caché.
  • Los campos de respuesta contienen la información de respuesta. Normalmente, la respuesta es sólo un valor, pero algunas respuestas pueden contener varios valores separados por comas. Por ejemplo, si el tipo de solicitud es MX, el campo de respuesta puede tener varios valores si el dominio está configurado con los servidores de correo primario y secundario.

En QRadar Network Insights V7.3.1.5 y posteriores, las respuestas incluyen el tipo de respuesta y siguen este formato:

<domain name>,<response type>,<answer type>,<time to live>,<answer fields>

El campo de tipo de respuesta indica si la respuesta es una respuesta estándar (ANS), una respuesta autorizada (AUTH) o una respuesta adicional (ADD).

Por ejemplo, en QRadar Network Insights V7.3.1.4, la respuesta DNS a la consulta DNS anterior podría ser similar a la siguiente:

51736,R,<domain name>,0,1,2,2|<domain name>,A,246,145.72.70.20|
<domain name>,NS,1359,<auth_name_server1>|<domain name>,NS,1359,<auth_name_server2>
|<auth_name_server1>,A,72008,<IPv4 address>|<auth_name_server2>,A,2074,<IPv4 address>
donde
  • El ID de transacción es 51736, que es el mismo ID que se ha asignado a la consulta.
  • La "R" indica que la recurrencia estaba disponible y forma parte de la respuesta.
  • La ubicación entre corchetes muestra el nombre de dominio que se va a resolver.
  • El código de respuesta 0 indica que no se han encontrado errores.
  • La secuencia 1,2,2 indica que hay una respuesta estándar, dos respuestas de autoridad y dos respuestas adicionales.
  • El símbolo "|" muestra el principio de los campos de respuesta.
  • En la primera respuesta, el tipo A se correlaciona con una dirección IPv4 , que indica que el < nombre de dominio > se puede encontrar en la dirección <IPv4 > y se puede almacenar en la memoria caché durante 246 segundos.
  • Las respuestas 2nd y 3rd especifican los servidores de nombres autorizados (NS) para el dominio.
  • Las respuestas 4th y 5th especifican las direcciones IPv4 para los dos servidores de nombres autorizados.

En QRadar Network Insights V7.3.1.5 o posterior, los campos de respuesta incluyen el tipo de respuesta, por lo que la misma respuesta DNS podría ser similar a la siguiente:

51736,R,<domain name>,0,1,2,2|<domain name>,ANS,A,246,145.72.70.20|
<domain name>,AUTH,NS,1359,<auth_name_server1>|<domain name>,AUTH,NS,1359,
<auth_name_server2>|<auth_name_server1>,ADD,A,72008,<IPv4 address>|
<auth_name_server2>,ADD,A,2074,<IPv4 address>