Bro脚本:硬编码IP地址

Question

我有一个任务，我需要一点帮助。我有infected.pcap和以下任务：

硬编码的IP地址有时，恶意软件包含硬编码的IP地址下载他们的有效载荷或与他们的命令和控制(C&C)服务器通信。找到所有这样的沟通方式。提示:这些IP之前没有DNS请求。

我需要用兄弟脚本来解决这个问题。这是我的主意，但不幸的是，我所有的连接都没有DNS请求：

    @load base/protocols/dns/main.bro
event file_timeout(f: fa_file)
    {
    for ( cid in f$conns )
        {
    if(f$conns[cid]?$dns){
        print f$conns[cid]$dns; 
        print "DNS";
    }else {
        print "No DNS";
    }
        }
    }

你知道我的密码有什么问题吗？

Answer 1

我建议你用错误的事件来做这件事。只有当文件传输发生并在未完成的情况下停止时，file_timeout才会发生。一个更有趣的事件关联是：

1. 跟踪DNS地址查找响应(我可能会使用event dns_A_reply(c: connection, msg: dns_msg, ans: dns_answer, a: addr))。
2. 记录一组返回的地址；这将为您提供一组通过DNS查询发现的所有地址。
3. 检查出站请求(其中SYN上的orig_h是内部地址)
4. 检查id$resp_h中的地址是否在第2步的地址集中。如果是，返回(如果不是)生成一个通知，因为您有一个出站连接尝试而没有相应的DNS查找。