Immersivelabs Snort 规则：EP.2 - DNS - 创建 Snort 规则来检测对“interbanx”的 DNS 请求

我目前正在沉浸式实验室的 Snort Rules EP.2 实验室工作。我不太了解整个设置，因为我对沉浸式实验室和 Snort 规则都很陌生。但本质上，这是一个带有 Snort 规则编辑器的实验室，它是实验室的一部分，检查我的 snort 规则是否正确地从 pcap 文件中获取数据包，如果是，则给我一个可以用来回答实验室问题的令牌（ Q1-Q5).

我已完成除 Q4 之外的所有问题。我设法获得了前面所有问题的代币，但我被困在了这一个问题上。

对于第三季度（要求创建一条规则来检测对“icanhazip”的 DNS 请求），我使用了以下规则：

alert udp any any -> any 53 (msg:"alert"; content:"|09|icanhazip|03|com|00|"; sid:5000010;)

这非常有效。因此，对于第四季度（其中的任务是检测对“interbanx”的 DNS 请求），我想我可以简单地调整内容字段中的域，如下所示：

alert udp any any -> any 53 (msg:"alert"; content:"|09|interbanx|03|com|00|"; sid:5000011;)

但是，这似乎不起作用，我不断收到消息：“您的规则与问题 4 的 pcap 中的任何数据包都不匹配。”

*icanhazip * 和 interbanx 的域名长度相同，因此我预计只需更改域名即可。我缺少的这两个域的 DNS 查询之间有什么区别吗？

我可以在 Wireshark 中检查 pcap 文件以查看有何不同并相应地调整我的规则吗？任何指导将非常感激！问我有关设置的问题也可能对我有帮助，因为我可能会发现一些我还不知道的东西并以这种方式解决问题。预先感谢您！

到目前为止我尝试过的：

alert udp any any -> any 53 (msg:"alert"; content:"|09|interbanx|03|com|00|"; sid:5000011; nocase;)

alert udp any any -> any 53 (msg:"alert"; content:"|09 69 6e 74 65 72 62 61 6e 78 03 63 6f 6d 00|"; sid:5000011; nocase;)

（我开始绝望了）：

alert udp any any <> any 53 (msg:"alert"; content:"|09|interbanx|03|com|00|"; sid:5000011; nocase;)

alert tcp any any -> any 53 (msg:"alert"; content:"|09|interbanx|03|com|00|"; sid:5000011; nocase;)

alert ip any any -> any 53 (msg:"alert"; content:"|09|interbanx|03|com|00|"; sid:5000011; nocase;)

alert ip any any <> any 53 (msg:"alert"; content:"|09|interbanx|03|com|00|"; sid:5000011; nocase;)