Analisi dei campi di risposta e query DNS

I campi Query DNS e Risposta DNS sono stati rimossi. È ancora possibile visualizzare i dati di risposta DNS includendo campi di dati DNS più granulari nei risultati della ricerca. Per ulteriori informazioni sui campi di dati DNS che puoi utilizzare, vedi Ispezione arricchita.

Le seguenti informazioni consentono di analizzare i dati nei campi Query DNS e Risposta DNS .

I campi Query DNS e Risposta DNS vengono popolati solo se il flusso ha dati su una query DNS o una risposta DNS e il livello di ispezione è impostato su Ampliato o Avanzato.

Query DNS

Il campo Query DNS utilizza questo formato, descritto nella seguente tabella:
<transaction ID>,<flags>,<query domain>,<request type>
Tabella 1. Formato per il campo di query DNS
Campo Descrizione
ID transazione Utilizzato dal client DNS e dal server per identificare la transazione quando corrisponde una richiesta ad una risposta.
Indicatori Il valore R indica che è stata richiesta la ricorsione; altrimenti, il campo è vuoto.

Quando la ricorrenza è richiesta e abilitata, il server DNS esegue query per conto del client per risolvere il nome dominio.
Dominio query Il nome dominio che è stato richiesto di risolvere.
Tipo di richiesta Identifica il tipo di informazioni sulle risorse che sono state richieste, come definito da IANA (Internet Assigned Numbers Authority).

Alcuni dei tipi di richieste più comuni includono l'indirizzo host (A) IPv4 , l'indirizzo IPv6 (AAAA), il nome dominio canonico per l'alias (CNAME), il server dei nomi principale per il dominio (NS) e il nome del server MX (mail exchange server).
Ad esempio, questa query DNS viene analizzata come segue:
51736,R,<domain name>,A
Dove
  • L'ID transazione è 51736.
  • È stata richiesta la ripetizione.
  • L'ubicazione tra parentesi mostra il nome dominio da risolvere.
  • Le informazioni sulla risorsa richieste sono l'indirizzo host IPv4 .

Risposta DNS

Il campo Risposta DNS utilizza questo formato, descritto nella seguente tabella:

<transaction id>,<flags>,<query domain>,<response code>,
<num answers>,<num authority>,<num additional>,<answers>
Tabella 2. Formato per il campo Risposta DNS
Campo Descrizione
ID transazione Utilizzato dal client DNS e dal server per identificare la transazione quando corrisponde una richiesta ad una risposta.
Indicatori Potrebbe essere vuoto o una combinazione di A, R e T dove
  • A significa che la risposta è autorevole.
  • R indica che la ricorsione è disponibile.
  • T significa che la risposta è stata troncata.
Dominio query Il nome dominio che è stato richiesto di risolvere.
Codice di risposta Un codice di risposta di 0 indica che non sono stati rilevati errori. Tutti gli altri valori di codice di risposta indicano alcuni tipi di errori. Ad esempio, la query potrebbe essere formattata in modo non corretto o il nome dominio potrebbe non esistere.
Numero di risposte Il numero di record di risposta regolari restituiti dalla query.
Numero di autorizzazioni Il numero di record di risposta di autorizzazione restituiti dalla query.
Numero aggiuntivo Il numero di record di risposta supplementari restituiti dalla query.
risposte L'elenco di risposte restituite dalla query.

Ogni risposta è separata dal simbolo "|". L'autorità e le risposte aggiuntive hanno lo stesso formato delle risposte regolari e sono indicate come autorità e risposte aggiuntive in base alla loro posizione nell'elenco delle risposte.

In QRadar Network Insights V7.3.1.4 e versioni precedenti, le risposte seguono questo formato:

<domain name>,<answer type>,<time to live>,<answer fields>

Dove
  • Il nome dominio è il nome del dominio a cui si applica la risposta.
  • Il tipo di risposta è il tipo di risposta fornito. È uguale al tipo di richiesta specificato nella query DNS.
  • Durata è il numero di secondi in cui il client può memorizzare nella cache le informazioni. Il valore 0 indica che le informazioni non possono essere memorizzate nella cache.
  • I campi della risposta contengono le informazioni sulla risposta. Di solito, la risposta è un solo valore, ma alcune risposte potrebbero contenere più valori separati da virgole. Ad esempio, se il tipo di richiesta è MX, il campo della risposta potrebbe avere più valori se il dominio è configurato con server di posta sia primari che secondari.

In QRadar Network Insights V7.3.1.5 e versioni successive, le risposte includono il tipo di risposta e seguono questo formato:

<domain name>,<response type>,<answer type>,<time to live>,<answer fields>

Il campo del tipo di risposta indica se la risposta è una risposta standard (ANS), una risposta autorevole (AUTH) o una risposta aggiuntiva (ADD).

Ad esempio, in QRadar Network Insights V7.3.1.4, la risposta DNS alla query DNS precedente potrebbe essere simile alla seguente:

51736,R,<domain name>,0,1,2,2|<domain name>,A,246,145.72.70.20|
<domain name>,NS,1359,<auth_name_server1>|<domain name>,NS,1359,<auth_name_server2>
|<auth_name_server1>,A,72008,<IPv4 address>|<auth_name_server2>,A,2074,<IPv4 address>
Dove
  • L'ID transazione è 51736, che è lo stesso ID assegnato alla query.
  • La "R" indica che la ricorrenza era disponibile e fa parte della risposta.
  • L'ubicazione tra parentesi mostra il nome dominio da risolvere.
  • Il codice di risposta 0 indica che non sono stati rilevati errori.
  • La sequenza 1,2,2 indica che c'è una risposta standard, due risposte di autorità e due risposte aggiuntive.
  • Il simbolo "|" mostra l'inizio dei campi di risposta.
  • Nella prima risposta, il tipo A è correlato a un indirizzo IPv4 , che indica che il < nome dominio> può essere trovato in <IPv4 > e può essere memorizzato nella cache per 246 secondi.
  • Le risposte 2nd e 3rd specificano i NS (authoritative name servers) per il dominio.
  • Le risposte 4th e 5th specificano gli indirizzi IPv4 per i due server dei nomi autorevoli.

In QRadar Network Insights V7.3.1.5 o versioni successive, i campi di risposta includono il tipo di risposta, quindi la stessa risposta DNS potrebbe essere simile alla seguente:

51736,R,<domain name>,0,1,2,2|<domain name>,ANS,A,246,145.72.70.20|
<domain name>,AUTH,NS,1359,<auth_name_server1>|<domain name>,AUTH,NS,1359,
<auth_name_server2>|<auth_name_server1>,ADD,A,72008,<IPv4 address>|
<auth_name_server2>,ADD,A,2074,<IPv4 address>