DNS sorgu ve yanıt alanlarının ayrıştırılması

DNS Sorgusu ve DNS Yanıtı alanları kaldırıldı. Arama sonuçlarınızda daha fazla ayrıntı DNS veri alanı da dahil olmak üzere DNS yanıt verilerini yine de görüntüleyebilirsiniz. Kullanabileceğiniz DNS veri alanlarıyla ilgili daha fazla bilgi için Zenginleştirilmiş Incelemebaşlıklı konuya bakın.

Aşağıdaki bilgiler, DNS Sorgusu ve DNS Yanıtı alanlarındaki verileri ayrıştıramanıza yardımcı olabilir.

The DNS Sorgusu and DNS Yanıtı fields are populated only if the flow has data on a DNS query or DNS response, and the inspection level is set to Zenginleştirilmiş or İleri Düzey.

DNS sorgusu

DNS Sorgusu alanı, aşağıdaki tabloda açıklanan biçimi kullanır:
<transaction ID>,<flags>,<query domain>,<request type>
Tablo 1. DNS sorgu alanı biçimi
Alan Açıklama
İşlem Tanıtıcısı DNS istemcisi ve sunucusu tarafından, bir yanıta ilişkin bir istekle eşleştiğinde hareketi tanımlamak için kullanılır.
İşaretler R değeri, özyinelemenin istendiğini gösterir; tersi durumda, alan boş olur.

Özyineleme istendiğinde ve etkinleştirildiğinde, DNS sunucusu, etki alanı adını çözmek için istemci adına sorgular yapar.
Sorgu etki alanı Çözümlenmesi istenen etki alanı adı.
İstek tipi Internet Assignd Numbers Authority (IANA) tarafından tanımlandığı şekilde, istenen kaynak bilgileri tipini tanımlar.

En sık kullanılan istek tiplerinden bazıları şunlardır: IPv4 anasistem adresi (A), IPv6 adresi (AAAA), diğer ad için kurallı etki alanı adı (CNAME), etki alanına ilişkin yetkili ad sunucusu (NS) ve posta değişim sunucusunun adı (MX).
Örneğin, bu DNS sorgusu aşağıdaki gibi ayrıştırılır:
51736,R,<domain name>,A
Burada:
  • İşlem tanıtıcısı: 51736.
  • Özyineleme istendi.
  • Çift bayt dizilimi başlangıç ve bitiş karakterleri, çözülebilmek için etki alanı adını gösterir.
  • İstenilen kaynak bilgileri IPv4 anasistem adresidir.

DNS yanıtı

DNS Response (DNS Yanıtı) alanı, aşağıdaki tabloda açıklanan biçimi kullanır:

<transaction id>,<flags>,<query domain>,<response code>,
<num answers>,<num authority>,<num additional>,<answers>
Tablo 2. DNS Yanıt alanı için biçim
Alan Açıklama
İşlem Tanıtıcısı DNS istemcisi ve sunucusu tarafından, bir yanıta ilişkin bir istekle eşleştiğinde hareketi tanımlamak için kullanılır.
İşaretler Boş olabilir ya da A, R ve T bileşiminin bir bileşimi
  • Yanıt, yanıtın yetkili olduğu anlamına gelir.
  • R, özyinelemenin kullanılabilir olduğunu gösterir.
  • T, yanıtın kesildiğini gösterir.
Sorgu etki alanı Çözümlenmesi istenen etki alanı adı.
Yanıt kodu Yanıt kodu 0, hata saptanmadı anlamına gelir. Diğer tüm yanıt kodu değerleri, bazı hata tiplerini gösterir. Örneğin, sorgu düzgün şekilde biçimlendirilmiş ya da etki alanı adı var olmayabilir.
Num yanıtları Sorgunun döndürdüğü düzenli yanıtlama kayıtlarının sayısı.
Num yetkisi Sorgunun döndürdüğü yetki yanıtı kayıtlarının sayısı.
Num ek Sorgunun döndürdüğü fazladan yanıt kayıtlarının sayısı.
Yanıtlar Sorgunun döndürdüğü yanıt yanıtlarının listesi.

Her yanıt, "|" simgesiyle ayrılır. Yetki ve ek yanıtlar, düzenli yanıtlarla aynı biçime sahiptir ve yanıtlar listesindeki konumlarına göre yetki ve ek yanıtlar olarak belirtilir.

QRadar Network Insights V7.3.1.4 ve önceki sürümlerde yanıt yanıtları bu biçimi izler:

<domain name>,<answer type>,<time to live>,<answer fields>

Burada:
  • Etki alanı adı, yanıta uygulanacağı etki alanının adıdır.
  • Yanıt tipi, verilen yanıta ilişkin tiptir. Bu değer, DNS sorguunda belirtilen istek tipiyle aynıdır.
  • Yaşam süresi, istemcinin bilgileri önbelleğe alabileceği saniye sayısıdır. 0 değeri, bilgilerin önbelleğe alınacağını gösterir.
  • Yanıt alanları yanıt bilgilerini içerir. Genellikle, yanıt yalnızca bir değerdir, ancak bazı yanıtlar birden çok virgülle ayrılmış değer içerebilir. Örneğin, istek tipi MX ise, etki alanı hem birincil hem de ikincil posta sunucularıyla ayarlandıysa, yanıt alanı birden çok değere sahip olabilir.

QRadar Network Insights V7.3.1.5 ve sonraki yayın düzeylerindeki yanıtlar yanıt tipini içerir ve aşağıdaki biçimi izler:

<domain name>,<response type>,<answer type>,<time to live>,<answer fields>

Yanıt tipi alanı, yanıtta standart bir yanıt (ANS), yetkili yanıt (AUTH) ya da ek yanıt (ADD) olup olmadığını belirtir.

Örneğin, QRadar Network Insights V7.3.1.4' te, yukarıdaki DNS sorgularına verilen DNS yanıtı şu şekilde görünebilir:

51736,R,<domain name>,0,1,2,2|<domain name>,A,246,145.72.70.20|
<domain name>,NS,1359,<auth_name_server1>|<domain name>,NS,1359,<auth_name_server2>
|<auth_name_server1>,A,72008,<IPv4 address>|<auth_name_server2>,A,2074,<IPv4 address>
Burada:
  • İşlem tanıtıcısı, sorguya atanmış olan aynı tanıtıcı olan 51736 'tır.
  • "R", özyinelemenin kullanılabilir olduğunu ve yanıtın bir parçası olduğunu gösterir.
  • Çift bayt dizilimi başlangıç ve bitiş karakterleri, çözülebilmek için etki alanı adını gösterir.
  • Yanıt kodu 0, herhangi bir hata saptanmadığına işaret eder.
  • 1,2,2 sıra, bir standart yanıt, iki yetki yanıtı ve iki ek yanıt olduğunu gösterir.
  • "|" simgesi, yanıt alanlarının başlangıcını gösterir.
  • İlk yanıtta, A tipi bir IPv4 adresi ile ilgilidir; bu, < etki alanı adının > <IPv4 adresi> adresinde bulunabileceğini ve 246 saniye içinde önbelleğe alınabileceğini belirtir.
  • 2nd ve 3rd yanıtları, etki alanına ilişkin yetkili ad sunucularını (NS) belirler.
  • 4th ve 5th yanıtları, iki yetkili ad sunucusu için IPv4 adreslerini belirtir.

QRadar Network Insights V7.3.1.5 ya da sonraki yayın düzeylerinde yanıt alanları yanıt tipini içerir; bu nedenle, aynı DNS yanıtı aşağıdaki gibi olabilir:

51736,R,<domain name>,0,1,2,2|<domain name>,ANS,A,246,145.72.70.20|
<domain name>,AUTH,NS,1359,<auth_name_server1>|<domain name>,AUTH,NS,1359,
<auth_name_server2>|<auth_name_server1>,ADD,A,72008,<IPv4 address>|
<auth_name_server2>,ADD,A,2074,<IPv4 address>