Snort 규칙을 사용하여 ACK가있는 DNS

Question

어떻게하면 안되는지를 ACK가있는 DNS에 알리는 규칙을 작성할 수 있습니까? 꽤 혼란 스러워요.

이 내가 Wireshark를 Acknowledgment Number: 0x000001a4 [should be 0x00000000 because ACK flag is not set]

에서 볼하지만 난이 날을 경고하는 규칙을 원하는 것입니다.

이 규칙은 나를 위해 작동하지 않습니다.

alert tcp any any -> 192.168.10.2 53 (msg:"MALFORMED DNS QUERY"; flags: A; ack:0; sid:10501;) 위의 내용은 경고 로그에 표시되지 않습니다. 그러나 내가 깃발을 제거한다면 : 그리고 그것은 할 것이다.

Answer 1

ACK 플래그가 설정되면 승인 번호는 절대로 "0"이 아니므로이 규칙은 그대로 작동하지 않습니다.

"ack :"가 없으면 규칙의 유일한 확인은 ACK 플래그 세트 (규칙 머리글 따로)입니다. TCP를 통해 DNS를 실행하는 경우 TCP 대화의 정상적인 부분으로 설정된 ACK 플래그, 즉 각 끝점에서받은 TCP 세그먼트를 확인하는 메시지가 표시됩니다.

당신이 와이어 샤크에서보고있다 :

승인 번호 : 0x000001a4 것은

는 승인 번호가 아닌 있음을 알려주는 전문가 정보의 일부가 될 수 있음 [ACK 플래그가 설정되어 있지 않기 때문에 0x00000000의이어야한다] -0이어야합니다 (예를 들어 tcp 연결이 시작될 때 첫 번째 패킷은 SYN 플래그 만 설정해야합니다).

여기에서 성취하고자하는 것이 무엇인지 잘 모릅니다.