<div dir="ltr">Domain rep doesn't exist yet, but it's in the works. Emerging Threats is sponsoring some work directly with Victor to get this coded up. We are as anxious to see this as well!<div><br></div><div>He's going down the road of building some kind of short term tracking of the IP responses from dns queries that can then be referred to by reputation directives in a rule either by IP or dns name. </div>
<div><br></div><div>Shouldn't be long till there is beta code, but it's not a easy an undertaking as it sounds I think. Victor may have a few comments here. </div><div><br></div><div>Matt<br><div class="gmail_extra">
<br><br><div class="gmail_quote">On Sun, Jan 6, 2013 at 1:14 PM, Matt <span dir="ltr"><<a href="mailto:matt@somedamn.com" target="_blank">matt@somedamn.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

  
    
  
  <div text="#000000" bgcolor="#FFFFFF">
    <div>Does DNS reputation exist even for DNS
      packets today?  IP Reputation just came out in 1.4.  I'd love to
      see a similar feature for hostnames, as those are actually more
      useful to me than IP addresses.  The vast majority of trojan
      command & control servers use hostnames rather than IP
      addresses.  It would be great if the reputation rules could be
      applied to http Host headers as well, since most of the C&C's
      are HTTP-based.<br>
      <br>
      <pre cols="72">Matt</pre><div><div class="h5">
      On 1/5/2013 10:25 PM, Kevin Ross wrote:<br>
    </div></div></div>
    <blockquote type="cite"><div><div class="h5">Hi,<br>
      <br>
      I have a though of what might be a useful feature. I was thinking
      it would be cool if Suricata could use the HTTP host header or the
      connections in the http.log file to apply specified blacklists
      against it to look for connections.<br>
      <br>
      i.e <br>
      <br>
      Have IP and domains blacklists specified in a preprocessor and
      then apply it such as:<br>
      <br>
      Preprocessor:<br>
      reputation:<br>
      domains: $RULE_PATH/malwaredrop.txt<br>
      ips: $RULE_PATH/botnetcncips.txt<br>
      domains: $RULE_PATH/malwarecnc.txt<br>
      <br>
      And then have it detect things like these if it appears in the
      specified lists:<br>
      Host: malwarecnc.bad<br>
      Host. 13.213.123.X<br>
      <br>
      Essentially if it was in a rule format it could be like this:<br>
      Specified Variable in config: malwarecncdomains =
      $RULE_PATH/malwarecnc.txt<br>
      alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"HTTP
      Connection To Malware CnC Domain"; flow:established,to_server;
      content:"Host|3A 20|"; http_header;
      reputation:$malwarecncdomains,relative; http_header;
      classtype:trojan-activityl; sid:1323991; rev:1;)<br>
      <br>
      It may even allow in rule format to search for malicious links in
      websites if the variables could be applied anywhere to the HTTP
      traffic. This would be useful in some environments where the IDS
      may see traffic from client to proxy depending on setup. <br>
      <br>
      What are people's thoughts on this?<br>
      Thanks,<br>
      Kevin Ross<br>
      <br>
      <br>
      <br>
      <fieldset></fieldset>
      <br>
      </div></div><pre>_______________________________________________
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a>
OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a></pre>
    </blockquote>
    <br>
  </div>

<br>_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br></blockquote></div><br><br clear="all"><div><br></div>-- <br><br><br>----------------------------------------------------<br>
Matt Jonkman<br>Emerging Threats Pro<br>Open Information Security Foundation (OISF)<br>Phone 866-504-2523 x110<br><a href="http://www.emergingthreatspro.com" target="_blank">http://www.emergingthreatspro.com</a><br><a href="http://www.openinfosecfoundation.org" target="_blank">http://www.openinfosecfoundation.org</a><br>
----------------------------------------------------
</div></div></div>