Analisando os campos de consulta e resposta do DNS

Os campos Consulta DNS e Resposta do DNS foram removidos. Ainda é possível visualizar os dados de resposta DNS incluindo campos de dados de DNS granulares em seus resultados da procura. Para obter mais informações sobre os campos de dados DNS que você pode usar, consulte Inspeção Enrichada.

As informações a seguir podem ajudar a analisar os dados nos campos Consulta DNS e Resposta DNS.

Os campos Consulta DNS e Resposta DNS serão preenchidos apenas se o fluxo tiver dados em uma consulta DNS ou uma resposta DNS e o nível de inspeção estiver configurado como Enriquecido ou Avançado.

Consulta DNS

O campo Consulta DNS usa esse formato, que é descrito na tabela a seguir:
<transaction ID>,<flags>,<query domain>,<request type>
Tabela 1. Formato do campo de consulta DNS
Campo Descrição
ID de transação Usado pelo cliente e servidor DNS para identificar a transação quando ela corresponde a uma solicitação a uma resposta.
Sinalizações Um valor de R indica que a recursão foi solicitada; caso contrário, o campo estará vazio.

Quando a recursão é solicitada e ativada, o servidor DNS faz consultas em nome do cliente para resolver o nome do domínio.
Consultar domínio O nome de domínio cuja resolução foi solicitada.
Tipo de solicitação Identifica o tipo de informação de recurso que foi solicitado, conforme definido pela Autoridade para Atribuição de Números na Internet(IANA).

Alguns dos tipos de pedidos mais comuns incluem endereço de host IPv4 (A), endereço IPv6 (AAAA), nome de domínio canônico para o alias (CNAME), servidor de nomes autoritativo para o domínio (NS) e nome do servidor de troca de e-mail (MX).
Por exemplo, essa consulta DNS é analisada como esta:
51736,R,<domain name>,A
em que
  • O ID da transação é 51736.
  • A recursão foi solicitada.
  • O local entre colchetes mostra o nome do domínio a ser resolvido.
  • As informações de recurso solicitadas são o endereço do host IPv4.

Resposta do DNS

O campo Resposta DNS usa esse formato, que é descrito na tabela a seguir:

<transaction id>,<flags>,<query domain>,<response code>,
<num answers>,<num authority>,<num additional>,<answers>
Tabela 2. Formato do campo Resposta DNS
Campo Descrição
ID de transação Usado pelo cliente e servidor DNS para identificar a transação quando ela corresponde a uma solicitação a uma resposta.
Sinalizações Pode estar vazio ou alguma combinação de A, R, e T, em que
  • A significa que a resposta é autoritária.
  • R significa que a recursão está disponível.
  • T significa que a resposta foi truncada.
Consultar domínio O nome de domínio cuja resolução foi solicitada.
Código de resposta Um código de resposta 0 significa que nenhum erro foi encontrado. Todos os outros valores de código de resposta indicam algum tipo de erro. Por exemplo, a consulta pode estar formatada incorretamente ou o nome de domínio pode não existir.
Número de respostas O número de registros de respostas regulares que foram retornados pela consulta.
Número de autoridade O número de registros de resposta de autoridade que foram retornados pela consulta.
Número adicional O número de registros de respostas extras que foram retornados pela consulta.
Respostas A lista de respostas que foram retornadas pela consulta.

Cada resposta é separada pelo símbolo "|". As respostas de autoridade e adicional têm o mesmo formato de respostas regulares e são denotadas como autoridade e respostas adicionais com base em sua localização na lista de respostas.

Em QRadar Network Insights V7.3.1.4 e mais cedo, as respostas da resposta seguem este formato:

<domain name>,<answer type>,<time to live>,<answer fields>

em que
  • O nome do domínio é o nome do domínio ao qual a resposta se aplica.
  • O tipo de resposta é o tipo de resposta que é fornecida. Ele é o mesmo que o tipo de solicitação que é especificado na consulta DNS.
  • O tempo de vida é o número de segundos durante o qual o cliente pode armazenar em cache as informações. Um valor igual a 0 indica que as informações não podem ser armazenadas em cache.
  • Os campos de resposta contêm as informações de resposta. Geralmente, a resposta é apenas um valor, mas algumas respostas podem conter vários valores separados por vírgula. Por exemplo, se o tipo de solicitação for MX, o campo de resposta poderá ter vários valores se o domínio estiver configurado com os servidores de correio primário e secundário.

Em QRadar Network Insights V7.3.1.5 e mais tarde, as respostas incluem o tipo de resposta e seguem este formato:

<domain name>,<response type>,<answer type>,<time to live>,<answer fields>

O campo de tipo de resposta indica se a resposta é uma resposta padrão (ANS), uma resposta autoritária (AUTH) ou uma resposta adicional (ADD).

Por exemplo, em QRadar Network Insights V7.3.1.4, a resposta DNS para a consulta DNS acima pode parecer assim:

51736,R,<domain name>,0,1,2,2|<domain name>,A,246,145.72.70.20|
<domain name>,NS,1359,<auth_name_server1>|<domain name>,NS,1359,<auth_name_server2>
|<auth_name_server1>,A,72008,<IPv4 address>|<auth_name_server2>,A,2074,<IPv4 address>
em que
  • O ID da transação é 51736, que é o mesmo ID que foi designado para a consulta.
  • O "R" indica que a recursão estava disponível e faz parte da resposta.
  • O local entre colchetes mostra o nome do domínio a ser resolvido.
  • O código de resposta 0 indica que nenhum erro foi encontrado.
  • A sequência 1, 2, 2 indica que há uma resposta padrão, duas respostas de autoridade e duas respostas adicionais.
  • O símbolo "|" mostra o início dos campos de resposta.
  • Na primeira resposta, o tipo A correlaciona-se a um endereço IPv4, que indica que o <domain name> pode ser localizado em <IPv4 address> e pode ser armazenado em cache por 246 segundos.
  • A 2ª e a 3ª respostas especificam os servidores de nomes (NS) autorizados para o domínio.
  • A 4ª e a 5ª respostas especificam os endereços IPv4 para os dois servidores de nomes autorizados.

Em QRadar Network Insights V7.3.1.5 ou posterior, os campos de resposta incluem o tipo de resposta, portanto, a mesma resposta DNS pode parecer assim:

51736,R,<domain name>,0,1,2,2|<domain name>,ANS,A,246,145.72.70.20|
<domain name>,AUTH,NS,1359,<auth_name_server1>|<domain name>,AUTH,NS,1359,
<auth_name_server2>|<auth_name_server1>,ADD,A,72008,<IPv4 address>|
<auth_name_server2>,ADD,A,2074,<IPv4 address>