Система IPS/IDS использует эвристики для сопоставления данных, похожих на ожидаемый плохой трафик, но эта система не идеальна. Могут быть ложные срабатывания. Я не говорю, что это ложное срабатывание, просто что это возможно.

Вот правило обнаружения этой угрозы…

`alert udp any 53 -> $HOME_NET any (
 msg:"ET MALWARE Possible Zeus GameOver/FluBot Related DGA NXDOMAIN Responses";
 byte_test:1,&,128,2;
 byte_test:1,&,1,3;
 byte_test:1,&,2,3;
 content:"|00 01 00 00 00 01|";
 offset:4;
 depth:6;
 pcre:"/^..[\x0d-\x20][a-z]{13,32}(?:\x03(?:biz|com|net|org)|\x04info|\x02ru)\x00\x00\x01\x00\x01/Rs";
 threshold: type both, track by_dst, count 12, seconds 120;
 reference:url,vrt-blog.snort.org/2014/03/decoding-domain-generation-algorithms.html;
 classtype:trojan-activity;
 sid:2018316;
 rev:4;
 metadata:created_at 2014_03_25, confidence Medium, signature_severity Major, updated_at 2023_05_19;
)`

Судя по всему, обнаружение ищет ответы на стандартный DNS-запрос имени, которое соответствует необычному формату (ASCII-символы управления в имени хоста — это нетипично). Источником будет шлюз, но соответствующая сторона, скорее всего, сообщит вам IP-адрес затронутого устройства. Если вы сможете определить проблемный хост, это, вероятно, будет полезно.

Как часто происходят эти события?