<div dir="ltr"><div>Hi</div><div><br></div><div>I'm seeing a lot of alerts on an SO rule that looks for DGA's.</div><div><br></div><div>alert udp $EXTERNAL_NET 53 -> $HOME_NET any (msg:"PROTOCOL-DNS domain not found containing random-looking hostname - possible DGA detected"; sid:31738; gid:3; rev:1; classtype:trojan-activity; metadata: engine shared, soid 3|31738, service dns;)</div><div><br></div><div><br></div><div>It seems to trigger on dns requests that are appending search domains like</div><div><br></div><div>First the host does a request for <a href="http://myserverhostname001.subdomain.domain.com">myserverhostname001.subdomain.domain.com</a></div><div>After receiving a NXDOMAIN it appends a search domain suffix and generates a request like</div><div><br></div><div><a href="http://myserverhostname543.subdomain.domain.com.searchdomain.com">myserverhostname543.subdomain.domain.com.searchdomain.com</a></div><div><br></div><div><br></div><div><br></div><div>Does anyone knows what this SO rule is actually looking for and is there any way I can influence this, since it looks pretty useful so I want to avoid disabling it.</div><div><br></div><div><br></div><div>Regards</div><div><br></div><div><br></div><div>Ronny</div><div><br></div></div>