DNS-Keywords

DNS-Keywords dienen dem Vergleich mit verschiedenen Feldern einer DNS-Request. Die Puffer sind normalisiert, um den Vergleich des Inhalts anhand des literalen Domänennamens zu ermöglichen.

dns.query

Sticky Buffer zum Abgleich mit dem Inhalt einer DNS-Abfrage.

Zum Beispiel:

alert tls any any -> any any (classtype:misc-attack; \
msg:"content matching in dns query field"; \
dns.query; content:"mail.example.com"; sid:1; rev:1;)

Bemerkung

Das Keyword dns_query ist veraltet und sollte nicht mehr verwendet werden.