解析 DNS 查询和响应字段

已除去 DNS 查询DNS 响应 字段。 您仍可以通过在搜索结果中包含更详细的 DNS 数据字段来查看 DNS 响应数据。 有关可以使用的 DNS 数据字段的更多信息,请参阅 丰富的检查

以下信息可帮助您解析 DNS 查询DNS 响应 字段中的数据。

仅当流具有 DNS 查询或 DNS 响应上的数据,并且检查级别设置为 扩充高级时,才会填充 DNS 查询DNS 响应 字段。

DNS 查询

DNS 查询 字段使用此格式,如下表中所述:
<transaction ID>,<flags>,<query domain>,<request type>
表 1. DNS 查询字段的格式
字段 描述
事务标识 当 DNS 客户机和服务器将请求与响应相匹配时,用于标识事务。
标志 值 R 指示请求了递归; 否则,该字段为空。

请求并启用递归时, DNS 服务器将代表客户机进行查询以解析域名。
查询域 请求解析的域名。
请求类型 标识请求的资源信息的类型,如因特网号码分配机构 (IANA) 所定义。

一些最常见的请求类型包括 IPv4 主机地址 (A) , IPv6 地址 (AAAA) ,别名的规范域名 (CNAME) ,域的授权名称服务器 (NS) 以及邮件交换服务器 (MX) 的名称。
例如,此 DNS 查询的解析方式如下所示:
51736,R,<domain name>,A
其中
  • 事务标识为 51736。
  • 请求了递归。
  • 括号中的位置显示要解析的域名。
  • 请求的资源信息是 IPv4 主机地址。

DNS 响应

DNS 响应 字段使用此格式,如下表中所述:

<transaction id>,<flags>,<query domain>,<response code>,
<num answers>,<num authority>,<num additional>,<answers>
表 2. "DNS 响应" 字段的格式
字段 描述
事务标识 当 DNS 客户机和服务器将请求与响应相匹配时,用于标识事务。
标志 可以是空的,也可以是 A , R 和 T 的某种组合,其中
  • A 表示响应具有权威性。
  • R 表示递归可用。
  • T 表示响应已截断。
查询域 请求解析的域名。
响应代码 响应代码 0 表示未迂到任何错误。 所有其他响应代码值都指示某种类型的错误。 例如,查询的格式可能不正确,或者域名可能不存在。
答案数 查询返回的常规答案记录数。
权限数 查询返回的权限应答记录数。
额外的数量 查询返回的额外答案记录数。
答案: 查询返回的应答响应的列表。

每个答案都以 "|" 符号分隔。 权限和其他答案具有与常规答案相同的格式,并根据它们在答案列表中的位置表示为权限和其他答案。

QRadar Network Insights V7.3.1.4 和更低版本中,答案响应遵循以下格式:

<domain name>,<answer type>,<time to live>,<answer fields>

其中
  • 域名是答案所应用于的域的名称。
  • 答案类型是提供的答案类型。 它与 DNS 查询中指定的请求类型相同。
  • 生存时间是客户机可以对信息进行高速缓存的秒数。 值 0 指示无法对信息进行高速缓存。
  • 答案字段包含答案信息。 通常,答案只有一个值,但某些答案可能包含多个以逗号分隔的值。 例如,如果请求类型为 MX ,那么在使用主邮件服务器和辅助邮件服务器设置域时,应答字段可能具有多个值。

QRadar Network Insights V7.3.1.5 和更高版本中,答案包括响应类型并遵循以下格式:

<domain name>,<response type>,<answer type>,<time to live>,<answer fields>

响应类型字段指示答案是标准答案 (ANS) ,权威答案 (AUTH) 还是附加答案 (ADD)。

例如,在 QRadar Network Insights V7.3.1.4中,对上述 DNS 查询的 DNS 响应可能如下所示:

51736,R,<domain name>,0,1,2,2|<domain name>,A,246,145.72.70.20|
<domain name>,NS,1359,<auth_name_server1>|<domain name>,NS,1359,<auth_name_server2>
|<auth_name_server1>,A,72008,<IPv4 address>|<auth_name_server2>,A,2074,<IPv4 address>
其中
  • 事务标识为 51736 ,这与分配给查询的标识相同。
  • "R" 表示递归可用并且是响应的一部分。
  • 括号中的位置显示要解析的域名。
  • 响应代码 0 指示未迂到任何错误。
  • 1,2,2 序列表示有一个标准答案,两个权限答案和两个附加答案。
  • "|" 符号显示答案字段的开头。
  • In the first answer, type A correlates to an IPv4 address, which indicates that the <domain name> can be found at <IPv4 address>, and it can be cached for 246 seconds.
  • 2nd 和 3rd 答案指定域的授权名称服务器 (NS)。
  • 4th 和 5th 答案指定两个授权名称服务器的 IPv4 地址。

QRadar Network Insights V7.3.1.5 或更高版本中,答案字段包含响应类型,因此相同的 DNS 响应可能如下所示:

51736,R,<domain name>,0,1,2,2|<domain name>,ANS,A,246,145.72.70.20|
<domain name>,AUTH,NS,1359,<auth_name_server1>|<domain name>,AUTH,NS,1359,
<auth_name_server2>|<auth_name_server1>,ADD,A,72008,<IPv4 address>|
<auth_name_server2>,ADD,A,2074,<IPv4 address>