Я пытаюсь определить сетевой трафик, журнал которого находится ниже:
{"timestamp":"2018-11-02T09:50:41.504771+0100","flow_id":XXXXXXXXXXX,"in_iface":"eth0","event_type":"dns","src_ip":"XXX.XXX.152.34","src_port":XX,"dest_ip":"XX.XX.XX.100","dest_port":63015,"proto":"UDP","dns":{"type":"answer","id":57901,"rcode":"SERVFAIL","rrname":"www.XXXX.XXX"}}
Я хотел бы обнаружить трафик, который не отвечает, в этом журнале: `
"" RCODE ":." SERVFAIL ""
Как должно выглядеть правило? Я пробую это, но это не работает.
alert ip $HOME_NET any -> any any (msg:"ERR ADDR"; content:"SERVFAIL"; sid:1000003; rev:1;)