
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0cm;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


span.StileMessaggioDiPostaElettronica17


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:#1F497D;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-family:"Calibri",sans-serif;


        mso-fareast-language:EN-US;}


@page WordSection1


        {size:612.0pt 792.0pt;


        margin:70.85pt 2.0cm 2.0cm 2.0cm;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="IT" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:&quot;Calibri&quot;,sans-serif;color:#1F497D;mso-fareast-language:EN-US">Hi Justin,<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:&quot;Calibri&quot;,sans-serif;color:#1F497D;mso-fareast-language:EN-US">&nbsp;&nbsp; I am in fact seeing 2,2 or 2,0 as orig_pkts and resp_pkts. And I confirmed this with tcpdump. So I believe it is an


 issue with the network we are tapping as I see these duplicated packets only for dns.<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:&quot;Calibri&quot;,sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p>&nbsp;</o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:&quot;Calibri&quot;,sans-serif;color:#1F497D;mso-fareast-language:EN-US">Thnaks<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:&quot;Calibri&quot;,sans-serif;color:#1F497D;mso-fareast-language:EN-US">Mauro<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:&quot;Calibri&quot;,sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p>&nbsp;</o:p></span></p>


<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,sans-serif">Da:</span></b><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,sans-serif"> Justin Azoff [mailto:justin@corelight.com]


<br>


<b>Inviato:</b> giovedì 3 ottobre 2019 17:58<br>


<b>A:</b> Palumbo Mauro &lt;mauro.palumbo@aizoon.it&gt;<br>


<b>Cc:</b> zeek &lt;zeek@zeek.org&gt;<br>


<b>Oggetto:</b> Re: [Zeek] duplicated intel logs DNS::IN_REQUEST<o:p></o:p></span></p>


<p class="MsoNormal"><o:p>&nbsp;</o:p></p>


<div>


<div>


<p class="MsoNormal">On Thu, Oct 3, 2019 at 8:38 AM Palumbo Mauro &lt;<a href="mailto:mauro.palumbo@aizoon.it">mauro.palumbo@aizoon.it</a>&gt; wrote:<o:p></o:p></p>


</div>


<div>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">Hi everybody,</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">&nbsp;</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">&nbsp; I am having an issue with the intel.log file, I am getting duplicated lines for the same dns request such as:</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">&nbsp;</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">#fields ts&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; uid&nbsp;&nbsp;&nbsp;&nbsp; id.orig_h&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; id.orig_p&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; id.resp_h&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; id.resp_p&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; seen.indicator&nbsp; seen.indicator_type&nbsp;&nbsp;&nbsp;&nbsp; seen.where&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; seen.node&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;


 matched sources fuid&nbsp;&nbsp;&nbsp; file_mime_type&nbsp; file_desc&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; cif.tags&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; cif.confidence&nbsp; cif.source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; cif.description cif.firstseen&nbsp;&nbsp; cif.lastseen</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">#types&nbsp; time&nbsp;&nbsp;&nbsp; string&nbsp; addr&nbsp;&nbsp;&nbsp; port&nbsp;&nbsp;&nbsp; addr&nbsp;&nbsp;&nbsp; port&nbsp;&nbsp;&nbsp; string&nbsp; enum&nbsp;&nbsp;&nbsp; enum&nbsp;&nbsp;&nbsp; string&nbsp; set[enum]&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; set[string]&nbsp;&nbsp;&nbsp;&nbsp; string&nbsp; string&nbsp; string&nbsp; string&nbsp; double&nbsp;


 string&nbsp; string&nbsp; string&nbsp; string</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">1570105259.197420&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CP1BZx1QgzdPpfEyda&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 172.17.0.186&nbsp;&nbsp;&nbsp; 43283&nbsp;&nbsp; 172.16.1.10&nbsp;&nbsp;&nbsp;&nbsp; 53&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;


<a href="http://opencalphad.com" target="_blank">opencalphad.com</a> Intel::DOMAIN&nbsp;&nbsp; DNS::IN_REQUEST worker-1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Intel::DOMAIN&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 85.0&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">1570105259.197420&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CP1BZx1QgzdPpfEyda&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 172.17.0.186&nbsp;&nbsp;&nbsp; 43283&nbsp;&nbsp; 172.16.1.10&nbsp;&nbsp;&nbsp;&nbsp; 53&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;


<a href="http://opencalphad.com" target="_blank">opencalphad.com</a> Intel::DOMAIN&nbsp;&nbsp; DNS::IN_REQUEST worker-1 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Intel::DOMAIN&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 85.0&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">1570105259.207335&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CJZASAQTB2qgPSYw7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 172.17.0.186&nbsp;&nbsp;&nbsp; 59553&nbsp;&nbsp; 172.16.1.10&nbsp;&nbsp;&nbsp;&nbsp; 53&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;


<a href="http://opencalphad.com" target="_blank">opencalphad.com</a> Intel::DOMAIN&nbsp;&nbsp; DNS::IN_REQUEST worker-1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;Intel::DOMAIN&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 85.0&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">1570105259.211927&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CJZASAQTB2qgPSYw7&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 172.17.0.186&nbsp;&nbsp;&nbsp; 59553&nbsp;&nbsp; 172.16.1.10&nbsp;&nbsp;&nbsp;&nbsp; 53&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;


<a href="http://opencalphad.com" target="_blank">opencalphad.com</a> Intel::DOMAIN&nbsp;&nbsp; DNS::IN_REQUEST worker-1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Intel::DOMAIN&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 85.0&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;


</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">&nbsp;</span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">As you can see, some lines are identical, same uid, same worker, same timestamp, etc...</span><o:p></o:p></p>


</div>


</div>


</blockquote>


<div>


<p class="MsoNormal"><br>


The usual case for this is that you are tapping the same traffic twice.&nbsp; &nbsp;If you look up the CP1BZx1QgzdPpfEyda connection in the conn.log&nbsp; and look at&nbsp;orig_pkts and&nbsp;resp_pkts&nbsp; you should see 1 and 1.&nbsp; &nbsp;If you see 2,2 or 2,1 then you are seeing duplicate packets.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p>&nbsp;</o:p></p>


</div>


<div>


<p class="MsoNormal">justin@mbp:/tmp/b$ cat dns.log |bro-cut &nbsp;uid qtype_name query<br>


Cu1Xq04w0nXaBiFiD A <a href="http://opencalphad.com">opencalphad.com</a><br>


CJYuzY33KkZubxHXMc AAAA <a href="http://opencalphad.com">opencalphad.com</a><br>


CdgXOb43ML2PJSv84a MX <a href="http://opencalphad.com">opencalphad.com</a><br>


justin@mbp:/tmp/b$ cat conn.log |bro-cut uid orig_pkts resp_pkts |fgrep Cu1Xq04w0nXaBiFiD<br>


Cu1Xq04w0nXaBiFiD 1 1<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p>&nbsp;</o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p>&nbsp;</o:p></p>


</div>


</div>


<div>


<p class="MsoNormal"><o:p>&nbsp;</o:p></p>


</div>


<p class="MsoNormal">-- <o:p></o:p></p>


<div>


<div>


<p class="MsoNormal">Justin<o:p></o:p></p>


</div>


</div>


</div>


</div>


</body>


</html>