Bro Script:硬编码的IP地址

时间:2017-12-21 15:43:52

标签: bro

Ich有一项任务,我需要一些帮助。我有infected.pcap和以下任务:

硬编码IP地址有时,恶意软件包含硬编码IP地址以下载其有效负载或与其命令和控制(C& C)服务器通信。找到所有这样的沟通。提示:此类IP没有先前的DNS请求。

我需要用Bro脚本来解决它。这是我的想法,但不幸的是我的所有连接都没有DNS请求:

    @load base/protocols/dns/main.bro
event file_timeout(f: fa_file)
    {
    for ( cid in f$conns )
        {
    if(f$conns[cid]?$dns){
        print f$conns[cid]$dns; 
        print "DNS";
    }else {
        print "No DNS";
    }
        }
    }

你知道我的代码可能有什么问题吗?

1 个答案:

答案 0 :(得分:0)

我建议你为此使用错误的事件。 file_timeout仅在发生文件传输时发生,然后在未完成的情况下停止。一个更有趣的事件相关性将是:

  1. 跟踪DNS地址查找响应(我可能会使用event dns_A_reply(c: connection, msg: dns_msg, ans: dns_answer, a: addr))。
  2. 记录集合中返回的地址;这将提供 您是通过DNS查询发现的所有地址的集合。
  3. 检查出站请求(SYN上的orig_h是内部请求 地址)
  4. 检查id$resp_h中的地址是否在该集合中 地址步骤2.如果是,请返回,如果不是, 生成通知,因为您有一个出站连接尝试 没有相应的DNS查询。
相关问题
最新问题