Analizowanie pól zapytań i odpowiedzi DNS

Pola Zapytanie DNS i Odpowiedź DNS zostały usunięte. Nadal można wyświetlać dane odpowiedzi DNS, włączając w to bardziej szczegółowe pola danych DNS w wynikach wyszukiwania. Więcej informacji na temat pól danych DNS, których można użyć, zawiera sekcja Wzbogacona inspekcja.

Poniższe informacje mogą być pomocne podczas analizowania danych w polach Zapytanie DNS i Odpowiedź DNS .

Pola Zapytanie DNS i Odpowiedź DNS są zapełniane tylko wtedy, gdy przepływ ma dane w zapytaniu DNS lub odpowiedzi DNS, a poziom przeglądu jest ustawiony na Wzbogacony lub Zaawansowane.

Zapytanie DNS

W polu Zapytanie DNS jest używany ten format, który jest opisany w poniższej tabeli:
<transaction ID>,<flags>,<query domain>,<request type>
Tabela 1. Format pola zapytania DNS
Pole Opis
ID transakcji Używany przez klienta DNS i serwer do identyfikowania transakcji, gdy jest ona zgodna z żądaniem odpowiedzi.
Flagi Wartość R oznacza, że zażądano rekurencji. W przeciwnym razie pole jest puste.

Gdy rekurencja jest wymagana i włączona, serwer DNS wykonuje zapytania w imieniu klienta w celu rozstrzygnięcia nazwy domeny.
Domena zapytania Nazwa domeny, która została zażądana do rozstrzygnięcia.
Typ żądania Określa typ informacji o zasobach, które zostały zażądane zgodnie z definicją przez Internet Assigned Numbers Authority (IANA).

Niektóre z najczęściej występujących typów żądań to: adres hosta IPv4 (A), adres IPv6 (AAAA), nazwa domeny kanonicznej dla aliasu (CNAME), autorytatywny serwer nazw dla domeny (NS) oraz nazwa serwera wymiany poczty (MX).
Na przykład: to zapytanie DNS jest analizowane w następujący sposób:
51736,R,<domain name>,A
gdzie
  • Identyfikator transakcji to 51736.
  • Zażądano rekurencji.
  • Położenie w nawiasach wskazuje nazwę domeny, która ma zostać rozstrzygnięta.
  • Żądane informacje o zasobach są adresem hosta IPv4 .

Odpowiedź DNS

W polu Odpowiedź DNS jest używany ten format, który jest opisany w poniższej tabeli:

<transaction id>,<flags>,<query domain>,<response code>,
<num answers>,<num authority>,<num additional>,<answers>
Tabela 2. Format pola odpowiedzi DNS
Pole Opis
ID transakcji Używany przez klienta DNS i serwer do identyfikowania transakcji, gdy jest ona zgodna z żądaniem odpowiedzi.
Flagi Może być puste lub może zawierać kombinację wartości A, R i T, gdzie
  • Oznacza to, że odpowiedź jest autorytatywna.
  • R oznacza, że rekurencja jest dostępna.
  • T oznacza, że odpowiedź została obcięta.
Domena zapytania Nazwa domeny, która została zażądana do rozstrzygnięcia.
Kod odpowiedzi Kod odpowiedzi o wartości 0 oznacza, że nie wystąpiły żadne błędy. Wszystkie pozostałe wartości kodów odpowiedzi wskazują na pewien rodzaj błędu. Na przykład zapytanie może być sformatowane niepoprawnie lub nazwa domeny może nie istnieć.
Liczba odpowiedzi Liczba stałych rekordów odpowiedzi, które zostały zwrócone przez zapytanie.
Liczba uprawnień Liczba rekordów odpowiedzi uprawnień, które zostały zwrócone przez zapytanie.
Liczba dodatkowych Liczba dodatkowych rekordów odpowiedzi, które zostały zwrócone przez zapytanie.
Odpowiedzi Lista odpowiedzi odpowiedzi, które zostały zwrócone przez zapytanie.

Każda odpowiedź jest oddzielona symbolem "|". Uprawnienia i odpowiedzi dodatkowe mają taki sam format, jak zwykłe odpowiedzi, i są oznaczane jako uprawnienia i dodatkowe odpowiedzi na podstawie ich położenia na liście odpowiedzi.

W przypadku produktu QRadar Network Insights V7.3.1.4 i wcześniejszych odpowiedzi odpowiedzi są zgodne z następującym formatem:

<domain name>,<answer type>,<time to live>,<answer fields>

gdzie
  • Nazwa domeny to nazwa domeny, do której odnosi się odpowiedź.
  • Typ odpowiedzi to typ odpowiedzi, która jest dostarczana. Jest on taki sam, jak typ żądania określony w zapytaniu DNS.
  • Czas życia to czas (w sekundach), przez który klient może buforować informacje. Wartość 0 oznacza, że informacje nie mogą być buforowane.
  • Pola odpowiedzi zawierają informacje o odpowiedzi. Zwykle odpowiedź jest tylko jedną wartością, ale niektóre odpowiedzi mogą zawierać wiele wartości rozdzielanych przecinkami. Na przykład, jeśli typem żądania jest MX, pole odpowiedzi może mieć wiele wartości, jeśli domena jest ustawiona zarówno z podstawowymi, jak i dodatkowymi serwerami poczty elektronicznej.

W produkcie QRadar Network Insights V7.3.1.5 i nowszych wersjach odpowiedzi są dostępne typy odpowiedzi i są one zgodne z następującym formatem:

<domain name>,<response type>,<answer type>,<time to live>,<answer fields>

Pole typu odpowiedzi wskazuje, czy odpowiedź jest odpowiedzią standardową (ANS), odpowiedzią autorytatywną (AUTH), czy też dodatkową odpowiedzią (ADD).

Na przykład w programie QRadar Network Insights V7.3.1.4odpowiedź DNS na zapytanie DNS powyżej może wyglądać następująco:

51736,R,<domain name>,0,1,2,2|<domain name>,A,246,145.72.70.20|
<domain name>,NS,1359,<auth_name_server1>|<domain name>,NS,1359,<auth_name_server2>
|<auth_name_server1>,A,72008,<IPv4 address>|<auth_name_server2>,A,2074,<IPv4 address>
gdzie
  • Identyfikator transakcji to 51736, który jest tym samym identyfikatorem, który został przypisany do zapytania.
  • Wartość "R" oznacza, że rekurencja była dostępna i stanowi część odpowiedzi.
  • Położenie w nawiasach wskazuje nazwę domeny, która ma zostać rozstrzygnięta.
  • Kod odpowiedzi 0 wskazuje, że nie wystąpiły żadne błędy.
  • Sekwencja 1,2,2 oznacza, że istnieje jedna standardowa odpowiedź, dwa odpowiedzi uprawnień i dwie dodatkowe odpowiedzi.
  • Symbol "|" przedstawia początek pól odpowiedzi.
  • W pierwszej odpowiedzi typ A koreluje z adresem IPv4 , który wskazuje, że < nazwa domeny > znajduje się w katalogu <IPv4 >, i może być buforowana przez 246 sekund.
  • Odpowiedzi 2nd i 3rd określają autorytatywne serwery nazw (NS) dla domeny.
  • Odpowiedzi 4th i 5th określają adresy IPv4 dla dwóch autorytatywnych serwerów nazw.

W programie QRadar Network Insights V7.3.1.5 lub nowszym, pola odpowiedzi zawierają typ odpowiedzi, więc ta sama odpowiedź DNS może wyglądać następująco:

51736,R,<domain name>,0,1,2,2|<domain name>,ANS,A,246,145.72.70.20|
<domain name>,AUTH,NS,1359,<auth_name_server1>|<domain name>,AUTH,NS,1359,
<auth_name_server2>|<auth_name_server1>,ADD,A,72008,<IPv4 address>|
<auth_name_server2>,ADD,A,2074,<IPv4 address>