课程设计--用协议分析工具分析 DNS以及以下各层协议的工作机制.doc

TCP/IP协议分析课程设计题目: 用协议分析工具分析 DNS以及以下各层协议的工作机制院系: 计算机学院班 级: 2012级网络工程班姓 名: 蔡世明学 号: 1210020019 组 别 ：第四组组长：徐超组员：蔡世明 毕建发 娄甲甲 潘柯宏 刘栋 2015年1月8日一 、课程设计的基本任务 TCP/IP 协议原理课程设计 是在完成TCP/IP 协议原理课程的学习之后，为牢固掌 握相关的知识而进行的总结性实践环节。通过课程设计，学生进一步掌握常用网络协议的工 作原理与机制， 在实践中充分利用所学理论知识分析和研究协议运行过程中出现的各种现象 和问题， 能够利用网络协议的原理解释网络的工作过程, 并编写合格的课程设计报告， 训练灵 活运用所学知识解决较复杂的综合问题的能力， 为以后走向相应的工作岗位打下良好的基础。二、 课程设计的基本要求 【目的和要求】 理解 TCP/IP 协议族在 Internet 中的地位和作用，结合具体网络环境，分析网络协议的 运行机理，捕捉协议数据包的组成成分， 以理解 TCP/IP 协议是如何管理和组织计算机网络协 调运行的。通过观察 TCP/IP 的具体细节， 掌握常用协议的工作原理和应用机制，分析具体网 络环境所采用的主要协议，同时, 利用协议分析工具进行具体网络协议的数据采集和分析理 解。 1、分析网络拓扑图的结构与组成，观察网络设备在拓扑图中的表示方法，学习根据拓扑图进 行网络构建的基本步骤，了解网络组建的过程。 分析网络中可能用到的网络协议，说明其应 用目的和实现机理。 2、 掌握协议分析工具的安装、 配置和基本操作。 利用协议分析工具分析现实中某种网络应用 的协议工作过程，通过分析工具捕获网络数据的具体传输，分析该应用在协议栈个层次中数 据包的具体内容，从而理解各层协议的作用与协同工作的过程，达到能更加深入掌握网络协 议原理的目的。 【实验环境】 1、 网络环境 可以使用真实环境。也可采用软件 Packet Tracer 组建模拟网 络环境。 2、 操作系统 WindowsXP， 根据需要安装相应的服务（如 FTP， SSH， TELNET， HTTP 等） 3、协议分析工具: Windows 环境下常用的工具有： Sniffer Pro、 Wireshark、 Iris 以及 Packet Tracer 等。实 验中可具体选择一种工具进行协分析实验。 三、具体实验内容 选题：用协议分析工具分析 DNS 以及以下各层协议的工作机制 环境：六台电脑的小型局域网 工具：wareshark ，Cisco Packet Tracer，四、实验内容及过程1、DNS基本知识及原理DNS（Domain Name System）及域名服务系统，它的作用就是域名到IP地址的转换过程。IP地址是网络上标识web站点的数字地址，为了简单好记，采用域名代替IP地址来标识站点地址。而实现域名到IP地址的转换就必须具有DNS服务器。2、DNS解析过程第一步：客户端提出域名解析请求，并将该请求发送给本地的域名服务器第二步：当本地的DNS服务器收到请求后，就先查询本地的缓存，如果有该项记录，则本地的DNS服务器就直接把查询结果返回；第三步：如果本地的缓存记录中没有该记录就直接把该请求发给根服务器，然后根域名服务器再返回本地域名服务器一个所查询域的主域名服务器地址；第四步：本地服务器再向上一步返回的域名服务器发出请求，然后接收请求的服务器查询自己的缓存记录，如果有该条记录则将结果返回；第五步：若没有则重复该过程，直到找到正确记录；第六步：本地域名服务器把返回的结果保存到本地缓存以备下次使用，同时将结果返回给发出请求的客户机； 3实验设计一、 首先，使用Cisco Packet Tracer设计拓扑结构，并进行可行性分析， 拓扑结构如下： 整个拓扑结构由六台电脑，一台DNS服务器，一台DHCP服务器，一台交换机和一台路游器组成。配置交换机等设备配置如下：DNS服务器DHCP服务器：PC机：设定拓扑结构中：Dns服务器ip：1Dhcp服务器IP：5IP分配范围：-54设置1为网址的IP从一台PC机上进行测试，打开浏览器输入模拟成功后则可以得到每层详细的数据报文实验步骤1. 实验环境的搭建在一台pc上采用sdnsplus-setup 搭建一个DNS服务并配置IP地址为 子网掩码；并在DNS服务器的解析记录中添加一条记录 指向主机设置截图如下2. 在另外一台pc上用IIS搭建一个web服务器，并建立一个名为test的站点，绑定站点的主机名为 ，在站点文件夹中新建一个html页面，页面中写入“这是一个测试页面”；配置IP地址为 子网掩码 DNS服务器地址为3. 其余是pc 作为客户机 分别配置IP地址-4. 打开Wireshark 设置抓包模式 开始抓包5. 在客户机pc上打开命令行工具键入 nslookup 使用nslookup命令，向搭建好的DNS服务器发送请求命令，序列号6显示的是DNS查询报文，序列号7显示的是DNS应答报文。本次解析主要解析的就是查询报文和应答报文，来了解DNS服务器的运行方式一、DNS请求报文可以发现DNS为应用层协议,下层传输层采用UDP,再下层网络层是IP协议,然后是数据链路层的以太网帧.我们将对DNS请求过程中的需要的每一层的协议进行分析在此之前,可以从下层获得一些必要信息:DNS（Domain Name System）为请求报文：RequestUDP(User Datagram Protocol)报文中:DNS的目的端口(Dst Port)是53IPv4(Internet Protocol Version 4)报文中目的IP是另外第一个是Transaction ID为标识字段,2字节,用于辨别DNS应答报文是哪个请求报文的响应.第二个是Flags标志字段,2字节,每一位的含义不同,具体可以参考上面那个图,也可以看下面这个图:RCODEZERORDTCAAOpcodeQR 1 4 1 1 1 1 3QR: 查询/响应,1为响应,0为查询Opcode: 查询或响应类型,这里0表示标准,1表示反向,2表示服务器状态请求AA: 授权回答,在响应报文中有效,待会儿再看TC: 截断,1表示超过512字节并已被截断,0表示没有发生截断RD: 是否希望得到递归回答RA: 响应报文中为1表示得到递归响应zero: 全0保留字段rcode: 返回码,在响应报文中,各取值的含义: 0 - 无差错 1 - 格式错误 2 - 域名服务器出现错误 3 - 域参照问题 4 - 查询类型不支持 5 - 被禁止 6 15 保留紧接着标志位的是Quetions(问题数),2字节,通常为1Answer RRs(资源记录数),Authority RRs(授权资源记录数),Additional RRs(额外资源记录数)通常为0字段Queries为查询或者响应的正文部分,分为Name Type ClassName(查询名称):这里是ping后的参数,不定长度以0结束Type(查询类型):2字节,这里是主机A记录.其各个取值的含义如下: 值 助记符 说明 1 A IPv4地址。 2 NS 名字服务器。 5 CNAME 规范名称。定义主机的正式名字的别名。 6 SOA 开始授权。标记一个区的开始。 11 WKS 熟知服务。定义主机提供的网络服务。 12 PTR 指针。把IP地址转化为域名。 13 HINFO 主机信息。给出主机使用的硬件和操作系统的表述。 15 MX 邮件交换。把邮件改变路由送到邮件服务器。 28 AAAA IPv6地址。 252 AXFR 传送整个区的请求。 255 ANY 对所有记录的请求。Class(类):2字节,IN表示Internet数据,通常为1展开DNS数据（应用层）首部:ID标识符：0x0006QR操作码查询报文Opcode：0000 正向解析Truntaced截断：0RD期望递归：1 表示引导名称服务器递归跟踪查询。Z：保留将来使用，必须为0Recode：0 表示没有错误计数器：questions：1 其他：0问题部分：Name： 长度：7 字节：2Type：A 主机地址Class：IN 查询类，两个八位位组代码，指定查询的类。展开UDP数据（传输层）源端口：为49840目的端口：53（UDP的传输端口）；长度：33字节；校验和：oxcfd0网络层 ，网络层采用IP协议封装，IP首部格式如下0 15 16 31版本首部长度服务类型/差分服务总长度标识标志展开IPv4数据（网络层）Version版本：4Head length首部长度：20bytesType of serves服务类型：差分服务 differentiatedTotal总长度：53标识：0x7000（28672）占 16位。IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加 1，并将此值赋给标识字段。但这个“标识”并不是序号，因为 IP是无连接的服务，数据报不存在按序接收的问题。当数据报由于长度超过网络的 MTU 而必须分片时，这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。标志：0x00分片偏移：0 生岑时间：64协议类型：udp首部校验和：0x75a原地址：目的地址：展开Ehernet数据（接口层）源地址：universal（16进制）目的地址：universal（16进制）封装上层协议类型：IP（0x0800）展开物理层数据（物理层第0层）捕获日期：2015.01.06 13:38:10时间戳：1420522690.057973000此帧与捕获的前一帧的时间间隔：0.000880000s此帧已所显示的前一帧的时间间隔：0.000880000s此帧与第一帧的时间间隔：2.368273000s帧序列号：6帧长度：67bytes捕获长度：67bytes染色标记的规则名称：UDP染色显示规则的字符串：udp二、DNS应答报文展开DNS数据（应用层）首部部分时间：0.001732000标识符：0x0002标志和代码： QR查询/应答标志：1 表示为应答报文 Opcode操作码：0000 表示正向解析 AA权威性标志：1 表示给出应答的服务器是权威服务器 TC阶段日志：0 没有超过512，不允许被截断 RD期望递归：1 引导名称服务器递归跟踪查询 RA递归可用：1 支持递归查询 Z： 保留将来使用 必须置0计数器： 查询数：1 指定应答部分中资源记录：1 指定权威记录部分中名称服务器资源记录：1 附加记录：0问题部分Name： 长度：7 字节：2Type：A 主机地址Class：IN 查询类，两个八位位组代码，指定查询的类。应答部分：名称：类型：A 主机地址类： IN 查询类生存时间：10800数据长度：4地址：权威部分：名称：类型：A 主机地址类： IN 查询类生存时间：10800数据长度：11客户端名称：lenovo-pc展开UDP数据（传输层）源端口：为49840目的端口：53（UDP的传输端口）；长度：33字节；校验和：ox2da5网络层 ，网络层采用IP协议封装，IP首部格式如下0 15 16 31版本首部长度服务类型/差分服务总长度标识标志展开ipv4数据（网络层）Version版本：4Head length首部长度：20bytesType of serves服务类型：差分服务 differentiatedTotal总长度：92标识：0x7000（28672）占 16位。IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加 1，并将此值赋给标识字段。但这个“标识”并不是序号，因为 IP是无连接的服务，数据报不存在按序接收的问题。当数据报由于长度超过网络的 MTU 而必须分片时，这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。标志：0x00分片偏移：0 生岑时间：64协议类型：udp首部校验和：0x8fe2原地址：目的地址：展开Ehernet数据（接口层）源地址：universal（16进制）目的地址：universal（16进制）封装上层协议类型：IP（0x0800）展开物理层数据（第0层）捕获日期：2015.01.06 13:38:10.059705000时间戳：1420522690.059705000s此帧与捕获的前一帧的时间间隔：0.001732000s此帧已所显示的前一帧的时间间隔：0.001732000s此帧与第一帧的时间间隔：2.370005000s帧序列号：7帧长度：106b