<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html;

      charset=windows-1252">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <p>Any comments on this proposal?<br>

    </p>

    <br>

    <div class="moz-cite-prefix">On 04/12/2017 12:54 PM, Sebastian

      Wagner wrote:<br>

    </div>

    <blockquote type="cite"

      cite="mid:4a718255-7d9d-4318-7829-e7df05d90e04@cert.at">

      <pre wrap="">Hi,

we have this IP vs FQDN problem in some parsers, not only the

shadowserver. Stripping the port there can be simply achieved by use a

conversion function. But the main problem is IP/FQDN.

Instead of implementing the logic in many parsers we could add this

"intelligence" in the libs.

One possibility: If the parser tries to add an FQDN as IP, save the IP.

But I don't like this simple approach as this implicitness raises other

problems.

Other possibility: Use a new "logic" (actually non-existing) field, e.g.

`destination.host-info`, same applies to source. If some data is added

to this field, the data will be parsed and added to ip, fqdn, port

(,network?)

Example 1:

event['destination.host-info'] = 'example.com:8080'

results in:

{'destination.fqdn': 'example.com', 'destination.port': 8080}

Example2:

event['destination.host-info'] = '10.0.0.1'

results in:

{'source.ip': '10.0.0.1'}

Sebastian

</pre>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">_______________________________________________

Intelmq-dev mailing list

<a class="moz-txt-link-abbreviated" href="mailto:Intelmq-dev@lists.cert.at">Intelmq-dev@lists.cert.at</a>

<a class="moz-txt-link-freetext" href="http://lists.cert.at/cgi-bin/mailman/listinfo/intelmq-dev">http://lists.cert.at/cgi-bin/mailman/listinfo/intelmq-dev</a>

</pre>

    </blockquote>

    <br>

    <pre class="moz-signature" cols="72">-- 

// Sebastian Wagner <a class="moz-txt-link-rfc2396E" href="mailto:wagner@cert.at"><wagner@cert.at></a> - T: +43 1 5056416 7201

// CERT Austria - <a class="moz-txt-link-freetext" href="https://www.cert.at/">https://www.cert.at/</a>

// Eine Initiative der nic.at GmbH - <a class="moz-txt-link-freetext" href="https://www.nic.at/">https://www.nic.at/</a>

// Firmenbuchnummer 172568b, LG Salzburg</pre>

  </body>

</html>