DNS に ACK があるべきではないときに警告するルールを作成するにはどうすればよいですか? 私はこれについてかなり混乱しています。
これは私がwiresharkで見たものですAcknowledgment Number: 0x000001a4 [should be 0x00000000 because ACK flag is not set]
しかし、私に警告するルールが必要です。
以下のこのルールは私には機能しません。
alert tcp any any -> 192.168.10.2 53 (msg:"MALFORMED DNS QUERY"; flags: A; ack:0; sid:10501;)
上記はアラートログに表示されません。しかし、flags: と ack: を削除すると、削除されます。
ACK フラグが設定されている場合、確認応答番号が「0」になることはないため、このルールはそのままでは機能しません。
「ack:」がない場合、ルールの唯一のチェックは ACK フラグ セット (ルール ヘッダーは別として) に対するものです。DNS over TCP を実行している場合、TCP 会話の通常の部分として ACK フラグが設定されていることがわかります。つまり、各エンドポイントが受信した TCP セグメントを確認します。
Wireshark で表示される内容:
確認番号: 0x000001a4 [ACK フラグが設定されていないため、0x00000000 のはずです]
確認応答番号がゼロ以外であるべきであることを伝える専門家情報の一部である可能性があります (たとえば、tcp 接続が開始された場合、最初のパケットには SYN フラグが設定されている必要があります)。
あなたがここで何を達成しようとしているのか本当にわかりません。