DNS 照会フィールドと応答フィールドの解析

DNS 照会 フィールドおよび DNS 応答 フィールドが除去されました。 検索結果にさらに詳細な DNS データ・フィールドを含めることにより、DNS 応答データを引き続き表示できます。 使用できる DNS データ・フィールドについて詳しくは、 中程度の検査を参照してください。

以下の情報は、「DNS 照会 (DNS query)」フィールドと「DNS 応答」フィールド内のデータの解析に役立ちます。

「DNS 照会」フィールドと「DNS 応答」フィールドにデータが取り込まれるのは、フローに DNS 照会または DNS 応答のデータがあり、検査レベルが「中程度」または「拡張」に設定されている場合のみです。

DNS 照会

「DNS 照会 (DNS query)」フィールドでは次のフォーマットを使用します。このフォーマットについて、以下の表で説明しています。
<transaction ID>,<flags>,<query domain>,<request type>
表 1. DNS 照会フィールドのフォーマット
フィールド 説明
トランザクション ID 要求と応答を突き合わせるときに、DNS クライアントとサーバーがトランザクションを識別するのに使用します。
フラグ R の値は、再帰が要求されたことを示します。それ以外の場合、このフィールドは空です。

再帰が要求され、有効である場合、DNS サーバーは、クライアントに代わって照会を行ってドメイン名を解決します。
照会ドメイン 解決が要求されたドメイン名。
要求タイプ Internet Assigned Numbers Authority (IANA) によって定義された、要求されたリソース情報のタイプを識別します。

最も一般的な要求タイプの中には、IPv4 ホスト・アドレス (A)、IPv6 アドレス (AAAA)、別名に対する正規ドメイン名 (CNAME)、ドメインの権限ネーム・サーバー (NS)、メール交換サーバーの名前 (MX) があります。
例えば、次の DNS 照会は以下のように解析されます。
51736,R,<domain name>,A
ここで
  • トランザクション ID は 51736 です。
  • 再帰が要求されました。
  • 括弧付きのロケーションは、解決するドメイン名を示します。
  • 要求されたリソース情報は IPv4 ホスト・アドレスです。

DNS 応答

「DNS 応答」フィールドでは次のフォーマットを使用します。このフォーマットについて、以下の表で説明しています。

<transaction id>,<flags>,<query domain>,<response code>,
<num answers>,<num authority>,<num additional>,<answers>
表 2. DNS 応答フィールドのフォーマット
フィールド 説明
トランザクション ID 要求と応答を突き合わせるときに、DNS クライアントとサーバーがトランザクションを識別するのに使用します。
フラグ 空であるか、A、R、および T の何らかの組み合わせです。この場合、
  • A は、応答が権限応答であることを意味します。
  • R は、再帰が使用可能であることを意味します。
  • T は、応答が切り捨てられたことを意味します。
照会ドメイン 解決が要求されたドメイン名。
応答コード 応答コード 0 は、エラーが検出されなかったことを意味します。 それ以外の応答コード値はすべて、何らかのタイプのエラーを示します。 例えば、照会が適切にフォーマットされていない、ドメイン名が存在しないなどです。
Num answers 照会によって戻された通常応答レコードの数。
Num authority 照会によって戻された権限応答レコードの数。
Num additional 照会によって戻された追加応答レコードの数。
回答 照会によって戻された応答のリスト。

各応答は「|」記号で区切られます。 権限応答と追加応答のフォーマットは、通常応答と同じであり、応答リスト内の位置に基づいて権限応答と追加応答として示されます。

QRadar Network Insights V7.3.1.4 以前では、応答は以下の形式に従います。

<domain name>,<answer type>,<time to live>,<answer fields>

ここで
  • Domain name は、応答が適用されるドメインの名前です。
  • Answer type は、提供される応答のタイプです。 DNS 照会で指定される要求タイプと同じです。
  • Time to live は、クライアントが情報をキャッシュに入れることができる秒数です。 値 0 は、情報をキャッシュに入れることができないことを示します。
  • Answer fields には、応答情報が入ります。 通常、応答は 1 つの値のみですが、一部の応答には、コンマで区切られた複数の値が含まれることがあります。 例えば、要求タイプが MX である場合、ドメインがプライマリー・メール・サーバーとセカンダリー・メール・サーバーの両方を使用してセットアップされていれば、応答フィールドには複数の値があります。

QRadar Network Insights V7.3.1.5 以降では、応答に応答タイプが含まれ、以下の形式に従います。

<domain name>,<response type>,<answer type>,<time to live>,<answer fields>

response type フィールドは、応答が標準応答 (ANS) であるか、権限応答 (AUTH) であるか、追加応答 (ADD) であるかを示します。

例えば、 QRadar Network Insights V7.3.1.4では、上記の DNS 照会に対する DNS 応答は次のようになります。

51736,R,<domain name>,0,1,2,2|<domain name>,A,246,145.72.70.20|
<domain name>,NS,1359,<auth_name_server1>|<domain name>,NS,1359,<auth_name_server2>
|<auth_name_server1>,A,72008,<IPv4 address>|<auth_name_server2>,A,2074,<IPv4 address>
ここで
  • トランザクション ID は 51736 です。これは、照会に割り当てられたのと同じ ID です。
  • 「R」は、再帰が使用可能であり、応答の一部であることを示します。
  • 括弧付きのロケーションは、解決するドメイン名を示します。
  • 応答コード 0 は、エラーが検出されなかったことを示します。
  • 一連の 1,2,2 は、1 つの標準応答、2 つの権限応答、および 2 つの追加応答があることを示します。
  • 「|」記号は、応答フィールドの先頭を示します。
  • 最初の応答で、タイプ A は IPv4 アドレスに関連します。これは、<domain name> が <IPv4 address> で検出でき、246 秒キャッシュに入れることができることを示しています。
  • 2 番目と 3 番目の応答は、ドメインの権限ネーム・サーバー (NS) を指定します。
  • 4 番目と 5 番目の応答は、2 つの権限ネーム・サーバーの IPv4 アドレスを指定します。

QRadar Network Insights V7.3.1.5 以降では、応答フィールドに応答タイプが含まれるため、同じ DNS 応答は以下のようになります。

51736,R,<domain name>,0,1,2,2|<domain name>,ANS,A,246,145.72.70.20|
<domain name>,AUTH,NS,1359,<auth_name_server1>|<domain name>,AUTH,NS,1359,
<auth_name_server2>|<auth_name_server1>,ADD,A,72008,<IPv4 address>|
<auth_name_server2>,ADD,A,2074,<IPv4 address>