Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 5639 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Detailed DNS logging?

Jack Daniel
Greetings all, long time no see...

I'm sure I've forgotten something, or I'm overlooking something obvious, but I can't find detailed DNS logging on my ASG (yeah, I know it is a UTM, but it will always be ASG to me).

I keep getting the Snort hit for network trojan due to failed DNS lookup of funky hostnames, but can't find the hostnames in question in the ASG logs.  

Thankfully I have other tools on the network monitoring traffic and know the problem domains and know the hits are FPs, but it seems I should be able to find this somewhere in the logs.

Cheers
-jd


This thread was automatically locked due to age.
  • 0
    Is this it?

    Network Protection -> Firewall -> Advanced -> Log Unique DNS Requests

    Never turned it on myself.
  • 0
    That looked promising, but no luck- it logs DNS requests in the firewall log, but that doesn't include the lookup info.

    And the DNS proxy log just shows the state of the proxy, not the lookups.

    Thanks
    -jd
  • 0
    Hey, Jack - glad to see you around!  It's been too long, though, as you've forgotten your good habits of old. [;)]

    What version - 9.305?  What do you see that makes you conclude that you get "the Snort hit for network trojan due to failed DNS lookup of funky hostnames?"

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi,

    If you just need it temporarily, run tcpdump:

    (sudo) tcpdump -nn -i eth0 port 53

    (change 'eth0' to the desired interface)

    Barry
  • 0 in reply to BarryG
    delayed reply, distracted by life and stuff...

    I should hang out here more with my old friends.

    Running 9.305-4.

    I'm sending all of the logs over to our SIEM-like thing (Tenable Log Correlation Engine and SecurityCenter), that normalizes the Sophos/Snort logs, looks up the Snort sig reference, and shows the DNS/virus warning- but the log entries don't include the offending lookups so there is no easy way to validate the Snort hits.  With all of the mayhem that happens in my home lab "interesting" things do happen so I need to be able to sort out the "looks bad on purpose, ignore that" from the "time to reimage things again".

    The UTM log shows:
    2015:01:13-01:13:37 jdlab snort[4246]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="PROTOCOL-DNS TMG Firewall Client long host entry exploit attempt" group="241" srcip="192.168.123.1" dstip="192.168.123.160" proto="17" srcport="53" dstport="52731" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0"

    The normalized entry in the SIEM reads:
    2015:01:12-18:47:57 jdlab snort[4246]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="PROTOCOL-DNS domain not found containing random-looking hostname - possible DGA detected" group="241" srcip="192.168.123.1" dstip="192.168.123.101" proto="17" srcport="53" dstport="59928" sid="31738" class="A Network Trojan was Detected" priority="1" generator="3" msgid="0"

    (not the same hit there, just samples)

    The UTM IPS log doesn't include the URI in question, I can't find it anywhere in the UTM logs.

    I can correlate the problem lookups via another tool, our passive scanner (PVS), but that's a manual lookup and correlation process.  It would just be great if there was a way to get logs of the DNS queries.

    As critical as DNS logging is I'm surprised others haven't hit this, I never really noticed because I have other network tools catching the dropped ball on DNS logging.

    Any thoughts? 
    Thanks 
    -jd
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?