如何對DNS rdata/IP地址進行規則觸發？

Question

我現在有下面的DNS查詢警惕法則在Suricata設置（用於測試目的）：

alert dns any any -> any any (msg:」Test dns_query option」; dns_query; content:」google」; nocase; sid:1;) 

，當它抓住它包含單詞DNS事件包含「google」，如在此數據包被觸發：

{"timestamp":"2017-06-08T15:58:59.907085+0000","flow_id":1798294020028434,"in_iface":"ens33","event_type":"dns","src_ip":"172.16.10.132","src_port":53,"dest_ip":"192.168.160.140","dest_port":52385,"proto":"UDP","dns":{"type":"answer","id":57334,"rcode":"NOERROR","rrname":"www.google.com","rrtype":"A","ttl":300,"rdata":"172.217.12.164"}} 

然而，而不是搜索資源記錄的名稱包含「谷歌」，我想用這種相同的警報觸發的IP地址解析爲環回，如同下面的數據包的情況下（注意rdata字段）：

{"timestamp":"2017-06-08T15:59:37.120927+0000","flow_id":36683121284050,"in_iface":"ens33","event_type":"dns","src_ip":"172.16.10.132","src_port":53,"dest_ip":"192.168.160.140","dest_port":62260,"proto":"UDP","dns":{"type":"answer","id":53553,"rcode":"NOERROR","rrname":"outlook1.us","rrtype":"A","ttl":120,"rdata":"127.0.0.1"}} 

正如我所注意到的，Suricata規則的content部分只搜索字符串。 我當前的規則觸發與rrname /域的文本匹配，我將如何使它在rdata/IP地址上觸發規則？

p.s. 只是出於好奇，我試圖用「127.0.0.1」替換我的警報內容部分中的「谷歌」，並沒有如預期的那樣工作。

Answer 1

IP地址只是一個32位數字。在規則中，爲了效率和節省帶寬（字符串將是8個字節而不是4個字節），IP應該表示爲十六進制值而不是字符串。

這是我最後Suricata規則，以提醒每當有人被髮送到環回我的網絡上：

alert dns any any -> any any (msg:"BLACKLISTED DOMAIN"; content:"|7F 00 00 01|"; sid:1;)