<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Jan 6, 2017 at 2:17 PM, Michael J. Sheldon <span dir="ltr"><<a href="mailto:msheldon@godaddy.com" target="_blank">msheldon@godaddy.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I have definitely considered converting the rule to be udp packet rather than dns<br>
<br>
But:<br>
<span class="">drop udp $EXTERNAL_NET any -> $INTERNET_NET $DNS_PORTS (msg:"DROP Config sourcenetwork filter test"; flow:to_server; pcre:"/<a href="http://example.com/i" rel="noreferrer" target="_blank">example.com/i</a>"; nocase; sid:3110039;)<br>
<br>
</span>Will not work, since the domain name is encoded. Probably need to be something like:<br>
drop udp $EXTERNAL_NET any -> $INTERNET_NET $DNS_PORTS (msg:"DROP Config sourcenetwork filter test"; flow:to_server; pcre:"/\07example\03com/i"; nocase; sid:3110039;)<br>
<br>
I had been looking at:<br>
drop udp $EXTERNAL_NET any -> $INTERNET_NET $DNS_PORTS (msg:"DROP Config sourcenetwork filter test"; flow:to_server;content:"|07|<wbr>example|03|com"; nocase; sid:3110039;)<br></blockquote><div><br></div><div>Thats why I was using the pcre, the "." should match any byte, but of course its not as precise or performant as matching on the encoded hostname.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
At this point, it begs the question, do I even need to turn the dns protocol filter on?<br></blockquote><div><br></div><div>No, not really.  I was hoping that you could still write the rule as "drop dns ..." with detection on, but that appears to not work with "detection-only" which is something else I'm going to look at real soon now.</div><div><br></div><div>Jason</div><div><br></div></div></div></div>