DNS 조회 및 응답 필드 구문 분석

DNS 조회DNS 응답 필드가 제거되었습니다. 검색 결과에 더 세부 단위의 DNS 데이터 필드를 포함하여 DNS 응답 데이터를 볼 수 있습니다. 사용할 수 있는 DNS 데이터 필드에 대한 자세한 정보는 강화된 검사를 참조하십시오.

다음 정보를 통해 DNS 조회DNS 응답 필드의 데이터를 구문 분석할 수 있습니다.

DNS 조회DNS 응답 필드는 플로우에 DNS 조회 또는 DNS 응답에 대한 데이터가 있으며 검사 레벨이 강화 또는 고급으로 설정되어 있는 경우에만 채워집니다.

DNS 조회

DNS 조회 필드는 다음 표에서 설명하는 형식을 사용합니다.
<transaction ID>,<flags>,<query domain>,<request type>
표 1. DNS 조회 필드의 형식
필드 설명
트랜잭션 ID 요청을 응답과 일치시킬 때 DNS 클라이언트 및 서버에서 트랜잭션을 식별하기 위해 사용됩니다.
플래그 R 값은 순환이 요청되었음을 나타냅니다. 그렇지 않을 경우 이 필드가 비어 있게 됩니다.

순환이 요청되어 사용으로 설정된 경우 도메인 이름을 분석하기 위해 클라이언트 대신 DNS 서버에서 조회를 작성합니다.
조회 도메인 분석하도록 요청된 도메인 이름입니다.
요청 유형 요청된 자원 정보의 유형을 식별하며, IANA(Internet Assigned Numbers Authority)를 통해 정의됩니다.

가장 일반적인 요청 유형에는 IPv4 호스트 주소(A), IPv6 주소(AAAA), 별명에 대한 표준 도메인 이름(CNAME), 도메인에 대한 권한 이름 서버(NS) 및 메일 교환 서버의 이름(MX) 등이 있습니다.
예를 들어 이 DNS 조회는 다음과 같이 구문 분석됩니다.
51736,R,<domain name>,A
여기서
  • 트랜잭션 ID는 51736입니다.
  • 순환이 요청되었습니다.
  • 대괄호 안의 위치는 분석할 도메인 이름을 표시합니다.
  • 요청된 자원 정보는 IPv4 호스트 주소입니다.

DNS 응답

DNS 응답 필드는 다음 표에서 설명하는 형식을 사용합니다.

<transaction id>,<flags>,<query domain>,<response code>,
<num answers>,<num authority>,<num additional>,<answers>
표 2. DNS 응답 필드의 형식
필드 설명
트랜잭션 ID 요청을 응답과 일치시킬 때 DNS 클라이언트 및 서버에서 트랜잭션을 식별하기 위해 사용됩니다.
플래그 비어 있거나 A, R, T의 몇 가지 결합입니다. 여기서,
  • A는 응답에 권한이 있음을 의미합니다.
  • R은 순환이 사용 가능함을 의미합니다.
  • T는 응답이 잘렸음을 의미합니다.
조회 도메인 분석하도록 요청된 도메인 이름입니다.
Response code 응답 코드 0은 오류가 발생하지 않았음을 의미합니다. 다른 응답 코드 값은 모두 오류의 몇 가지 유형을 나타냅니다. 예를 들어, 조회가 올바르게 형식화되지 않았거나 해당 도메인 이름이 존재하지 않을 수 있습니다.
Num answers 조회에서 리턴된 정규 응답 레코드의 수입니다.
Num authority 조회에서 리턴된 권한 응답 레코드의 수입니다.
Num additional 조회에서 리턴된 추가 응답 레코드의 수입니다.
답변 조회에서 리턴된 응답의 목록입니다.

각각의 응답은 "|" 기호로 구분됩니다. 권한 및 추가 응답의 형식은 정규 응답과 동일하며 응답 목록에서 해당 응답의 위치에 따라 권한 및 추가 응답으로 표시됩니다.

QRadar Network Insights V7.3.1.4 이하에서 응답은 다음 형식을 따릅니다.

<domain name>,<answer type>,<time to live>,<answer fields>

여기서
  • Domain name은 응답이 적용되는 도메인의 이름입니다.
  • Answer type은 제공되는 응답의 유형입니다. 이 항목은 DNS 조회에 지정되어 있는 요청 유형과 동일합니다.
  • Time to live는 클라이언트에서 정보를 캐싱할 수 있는 시간(초)입니다. 0 값은 정보를 캐싱할 수 없음을 나타냅니다.
  • Answer fields에는 응답 정보가 포함되어 있습니다. 일반적으로 응답은 단 하나의 값이지만 일부 응답에는 쉼표로 구분된 복수의 값이 포함될 수 있습니다. 예를 들어 요청 유형이 MX이고 해당 도메인에 복수의 기본 및 보조 메일 서버가 설정되어 있는 경우 응답 필드에 복수의 값이 포함될 수 있습니다.

QRadar Network Insights V7.3.1.5 이상에서 응답은 응답 유형을 포함하며 다음 형식을 따릅니다.

<domain name>,<response type>,<answer type>,<time to live>,<answer fields>

response type 필드는 응답이 표준 응답(ANS)인지, 권한 응답(AUTH)인지, 또는 추가 응답(ADD)인지 여부를 나타냅니다.

예를 들어, QRadar Network Insights V7.3.1.4에서 위의 DNS 조회에 대한 DNS 응답은 다음과 같습니다.

51736,R,<domain name>,0,1,2,2|<domain name>,A,246,145.72.70.20|
<domain name>,NS,1359,<auth_name_server1>|<domain name>,NS,1359,<auth_name_server2>
|<auth_name_server1>,A,72008,<IPv4 address>|<auth_name_server2>,A,2074,<IPv4 address>
여기서
  • 트랜잭션 ID는 조회에 지정된 것과 동일한 ID인 51736입니다.
  • "R"은 순환이 사용 가능하며 응답에 포함되어 있음을 나타냅니다.
  • 대괄호 안의 위치는 분석할 도메인 이름을 표시합니다.
  • 응답 코드 0은 오류가 발생하지 않았음을 의미합니다.
  • 1,2,2 시퀀스는 한 개의 표준 응답, 두 개의 권한 응답, 두 개의 추가 응답이 존재함을 나타냅니다.
  • "|" 기호는 응답 필드의 시작을 나타냅니다.
  • 첫 번째 응답에서는 유형 A를 IPv4 주소에 상관시켰으며(<domain name>을 <IPv4 address>에서 찾을 수 있음) 246초 동안 캐시할 수 있음을 나타냅니다.
  • 2번째 및 3번째 응답은 도메인에 대한 권한 이름 서버(NS)를 지정합니다.
  • 4번째 및 5번째 응답은 두 개의 권한 이름 서버에 대한 IPv4 주소를 지정합니다.

QRadar Network Insights V7.3.1.5 이상에서 응답 필드에는 응답 유형이 포함되므로 동일한 DNS 응답은 다음과 같을 수 있습니다.

51736,R,<domain name>,0,1,2,2|<domain name>,ANS,A,246,145.72.70.20|
<domain name>,AUTH,NS,1359,<auth_name_server1>|<domain name>,AUTH,NS,1359,
<auth_name_server2>|<auth_name_server1>,ADD,A,72008,<IPv4 address>|
<auth_name_server2>,ADD,A,2074,<IPv4 address>