DNS抓包分析详细教程

1、对DNS域名系统的抓包分析目录一、 实验目的3二、相关原理32.1 DNS的定义322 DNS的构成32.3 DNS的查询 32.4 DNS的报文格式 4三、结合具体抓包实例进行的分析 53.1协议数据包窗口 53.2协议树窗口 53.3物理层节点63.4数据链路层节点73.5 IP 节点73.6 UDP 节点83.7DNS节点93.7.1DNS请求报文93.7.2DNS应答报文10四、 体会与小结11、实验目的通过网络抓包试验，深刻理解 TCP/IP协议簇中DNS域名系统的使用方式与报文 具体格式与含义，加强对 DNS勺理解与应用。1、相关原理2.1 DNS的定义DNS是域名系统（Domai

2、n NameSystem）的缩写，它是由解析器和域名服务 器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址，而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客 户机/服务器模式中的服务器方，它主要有两种形式：主服务器和转发服务器。 将域名映射为IP地址的过程就称为“域名解析”。在In ternet上域名与IP地址 之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互相 认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名 解析服务器来完成，DNS就是进

3、行域名解析的服务器。DNS命名用于In ternet等TCP/IP网络中，通过用户友好的名称查找计算机和服务。 当用户在应用程序 中输入DNS名称时，DNS服务可以将此名称解析为与之相关的其他信息，如IP地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的 IP地址，这样才能上网。其实，域名的最终指向是IP。2.2 DNS的构成在IPV4中IP是由32位二进制数组成的，将这 32位二进制数分成4组每组8 个二进制数，将这8个二进制数转化成十进制数，就是我们看到的IP地址，其 范围是在0255之间。因为，8个二进制数转化为十进制数的最大范围就是 0 255。现在已开始试运行、将

4、来必将代替 IPv4的IPV6中，将以128位二进制数 表示一个IP地址。2.3 DNS的查询DNSS询可以有两种解释，一种是指客户端查询指定DNSK务器上的资源记 录（如A记录），另一种是指查询FQDN名的解析过程。一、查询DNS服务器上的资源记录您可以在 Windows平台下，使用命令行工具，输入 nslookup，返回的结果 包括域名对应的IP地址（A记录）、别名（CNAM记录）等。除了以上方法外，还可以通过一些DNS查询站点如国外的国内的查询域名的DNS信息。二、FQD名的解析过程查询若想跟踪一个FQDN名的解析过程，在Linux Shell下输入dig www+trace， 返回的结

5、果包括从跟域开始的递归或迭代过程，一直到权威域名服务器。2.4 DNS的报文格式图2-2 DNS报文格式QROpCodeAATCRDRA000rCode14111111 14图2-3 DNS报文标志字段的格式DNS报文首部的后面是可变部分，包括四个小部分 问题部分由一组问题记录组成。01631询问名询问类型询问类图2-4 DNS报文问题记录格式DNS报文的其余三个部分是回答部分、授权部分和附加信息部分，附加信息包含 回答部分和授权部分返回的资源所要求的附加信息 （如IP地址）。这三部分均由 一组资源记录组成，而且仅在应答报文中出现。一条资源记录描述一个域名。01631域名类型类生存时间资源数据

6、长度资源数据图2-5 DNS资源记录格式三、结合具体抓包实例进行的分析3.1协议数据包窗口No., TimeSoiraDwtiationPrccl1Q.WD1O.112JJ5310.100,250.200讯5standard query ptr 200.2lOOJOJn-addr.arpil2 0.0091j.100,250.20010.112,7,15JStandard query response m dnsihe从包到达的时间，顺序以及源和目的IP地址可知，这是一对DNS请求与应答报 文。下图为1号包与2号包中DNS段的报文分析注释，由此可证明，包1为DNS请求报文，包2为包1的应答报文

7、，请求与应答报文的到达间隔时间为 0.000349s，它们的标识字段都为0x001,用于相互匹配。a Domain Name system (query)口电呂DoriEE工门：21Transaction id: 0x00010 Domai n Name system (response)Hecjliest:工n: 11Time: 0.000349000 secondsTransatcfion id: 0x0001因为DNS请求报文的目的是请求 DNSServer的IP地址，故包1的源IP地址为本 机IP，目的IP地址为DNS服务器的IP，包2与包1相反。3.2协议树窗口DNS请求报文：0 i

8、FitnE 1 (心？on 員勺厂电 I 0 by*电!5 fjaptui足日)LU1 0.000000 10.1117.153 10JOO.250.2M DNS Standard query PTR 200.250.1 DO. 10.i Ethernpr IIf Src;丽曲(96：4b：ei ;ca：ci6), Ost; Fujian5t_l：5&：;a3 W;lLa：;ES intirmt 口 ggl. SrG; 10.112,7,153 (IQ.112, 7.153) , St： 10,100,250, gig 2 純丄阿Ei user Dat JigraH P

9、rOCaCl r StC Pcirt: 6255 (62055) r Mt Port - domain (S3)EEJ 聞nQl 力 Name EySECH (ffuary)DNS答报文：2 IPJ byt电p UT 聲ii电I i23 臥足耳 tayrtw电d)凹2 0 000349 10100 250200 53 DNS Standard query response PTR d nscacheA Ethernet II. Src: FuJianSr.ig: 5Q: a3 (ODzla ra99?50: a3X Dsr： 9Sb:el : 39 :ds (gs?4b:e

10、l :ca:lijdE)回 interneE PraTOCCil, sre: 00 (10.100.2 5O 200), DST： 10112.7.15a (1O112.7.153)ffi User Datagram Protocol B Src Port; ctoinain (B)a Ost Port; 62055 (62055圄 Dofiai n Name Sysrem (response)可以看出，DNS青求报文与应答报文链路层的 MAC地址相反，请求报文中的源物 理地址为本机的物理地址，这与IP地址相对应。此外，DNS青求报文与应答报 文传输层中UDP的源端口与

11、目的端口相反，其中请求报文UDP的源端口为客户机 动态申请的本地端口，目的端口为 DNS所固有的53号周知端口。这两点都体现 了 DNS青求报文与应答报文间的请求-应答关系。DNS请求报文与应答报文协议树窗口显示的协议层次与网络协议的层次对应相 同，如下表：树节点名称对应的协议层次说明Frame物理层Ethernet II数据链路层以太网协议Internet Protocol网络层IP协议User Datagram Protocol传输层UDP协议Domai n Name System应用层DNS域名系统3.3物理层节点DNS青求报文：Frane 1 (47 bytes an wirefc 8

12、7 byt-es capturedArriv-al Time； Apr 丸 2011 15:10:G2.6102000Time delta fran previdus 匚aptured fraree: 0.ODOOOOOO0 secondsTfme delta fron previous displayed frane: 0.secondsTfme since reference or first frame: .aODDDDDDO sieicondsFrame Nuntierj 1F酬i色 Length: S7 bytesCaprure lengrh：呂丁 bytesFrame 1$ mar

13、ked:proiocols Im frine： ench：邛冲耳用眶Coloring Rule Name： chidcsui errorscolorIng ru! string: cdp= checksymJsid1 | edp,cbecksundbad1 | pchscksumjjicl1 | AJli1DNS应答报文：Frame 2 (123 bytes on wire, 123 bytes captured)Arrival Time: Apr 3, 2013 15:10:02 86451000Time delta from previous captured frame: 0,00034

14、9000 seconds time delta from previous displayed frame: 0.000349000 seconds Time since reference or first frame: 0.000349000 seconds Frame Number: ?Frame Length: 123 bytescapture Length: 123 bytesFrame is marked： raiseprotocols in frame: eth:ip:udp:dn5coloring ru7e Name: udpcolori ng Rule strlng: udp

15、以上两张图分别给出了 DNS青求报文与应答报文的时间参数、包号、长度与协议 层次，在此不一一细说。但是，我们可以很清楚的看出，DNS青求报文的长度为72字节，而应答报文的长度为123字节，比请求报文长得多。这是由于在DNS 应答报文中，具有请求报文所没有的回答部分、 授权部分与附加部分，在下面的 应答报文分析中会具体说明。3.4数据链路层节点DNS青求报文:B Ethernet II, rc: 98：4b:ei:ca:39:dB (98:4b:el:ca:39:dS)p Dst: Fujianst_19:50:a3 (00:13:39:19:50: E Destination: Fujians

16、tJ.9:50:a3 (00:la:a9:19:5O:a3)Address3 Fujianst_19tso：a?：岂g：19:50. 0 a -.a * XG bit-： individual address (uni cast) f. 0m 三LG bit: Global ly unique address (factory default)E source： 9S=4b；el：Ca;39;d8 (9S：4b：elca：39：dS)Address: 98t4b:el:ca:(98:4b:el:ca:39:d) 0 IG bit: individual address (unicast) 0”

17、，.t=LE bit: Globally unique address (factory default) Typei ip (oxoeoo)DNS应答报文：B E.thernet Tl Src: Fujiansu_15i 5O：a3 (M:la:：:19: 50:：a3) D&r t(9Si4b:el:cai 39：dB)I- oestinariDm gsbjelzcajds (9E：4b:eltcai 39：d8)Address: 98:4b:el:ca:39;dB (98:4b:el:ca:39:d8), 0 * IG bit: individual address (unicast).

18、 0=LG bit: G1 obally unique address (factory default)B source: FujianiStJ.9:5O:a3 (00:la:9:19: 50:a3)Address; Fuj 1 ansr_i9 ：5O：a3 (00:la;a9：19： 5O：a3).亠0.亠“亠亠=IG bit: lnd1vlduil address (uniesse) .0 .亠.丄 - LG bit: G1 obally unique address (factory def ault)Type: IP (0x0800)由上图可以更明显的看出，DNS青求与应答报文的源与

19、目的 MA(地址的相反现象。 此外，DNS青求与应答报文以太网协议中的类型均为IP ,即在DNS协议层次中网络层协议为IP，这体现了 DNS作为TCP/IP协议簇中协议的特点。3.5 IP节点DNS请求报文：ZJ internet Protocol p 5rc: 1O.112.7.1S3 (10.112. 7,153) p Mt: 10.100. 250.200 (10.100.2 50. 00) version: 4Heder length: 20 bytes-i Differentiated Services Field: 0x00 (OSCP 0x00: Oefault; CN: 0x0

20、0)oooo oo. = oifferenfiated services codepoinr: Default (oxoo0. - ECN-Capabl e Transport (ECT): 0一0 = ECN-CE: 0Tor al Length: 7iIdentification: 0x0ell (3601)F Flags : 0x000.,. = Reserved bit: Not set.O. = Dont fragment: wot set.0. - More fragments: Not setFragment offset: 0Time to live: 64Prctocol:

21、udp Header checksura： Ox0000 incorrect, should be OxSSSeGood: FalseEad : TrueSource： 10.112.7,153 (1Q,112+7,153)Destination: 10.100.250. 200 (00)DNS应答报文：0 Internet Protocol , 5rc: 10.100.250. 200 CIO. 100. 250.2Q0K Ost: 10.112. 7.153 (IQ. 112.7.15 3)Version: 4Header 1ength: 20 bytes-t1 f

22、terentiaced Services Field: oxoo (dscp 0x00： default; ecn: oxoa)0000 00. . - Differertiated Services Codepointi Default C0x00J.-= ecn-capable Transport (ect) : 00 = ECN-CE : 0tot.al Lengthi 109Iderrtdf i cation: 0x0000 (0)ra Flags: 0x04 (Dont Pragnent)0.二 Reserved bit： not set.1. - Dont fragmert: Se

23、t.-Oh = More fragments; Net setFragiment offset: 0Time to live；; 62Protocol: udp (Oxll)日 Header 匚hecksunn： 0x2correctGood: TrueBad : FalseSource: 1(Jl1Q0,25O.200 (IQ. 100, 250. 200)Destination: 51 (53)DNS请求与应答报文IP层相同点：版本号：IPv4首部长度：20字节，没有其他选项 服务类型：最低优先级的一般服务 片偏移：0，无分片协议标识：UDP( 0x

24、11H)DNS青求与应答报文IP层不同点：数据报长度：上文已有分析。标识不同，因为请求与应答为两个不同的报文，信源机给予的用于区分分片的标 识不同。生存时间不同，请求报文为64，应答报文为60。校验和不同，DNS青求与应答报文IP层首部不同，故校验和不同。 源与目的IP地址不同，原因在前面的分析中已经说明。3.6 UDP节点DNS请求报文：E user Datagram Protocola sre Port: 62055 (62055)5 Dst Port: domain source port: 62055 C62O55) Destination port: domain (53)Lengt

25、h; 53j checksum: 0x177c validation disabledGood checksum: FalseJBad checksum: FalseDNS应答报文：i-i user Datagram protocol, sre Port: domain (5占)，Dst Port: 62055 (62055) Source port: domain (53)Destination port: 62055 62055) Length: 89i-i checksum: 0x3af5 validation disabledGood checksum: FalseBad checks

26、um: FalseDNS请求与应答报文的源与目的端口相反，原因在前面的分析中已经说明请求报文UDP长度为53字节，应答报文UDP长度为89字节3.7DNS节点3.7.1DNS请求报文首部：B DCmain Name system (query)in: 21Transactian ID： 0x0001Flags: 0x0100 (standard query)Q*、 Response:間essage is a query.0000 -Opcode: Standard query (0)L. 0.,.,=Truncated: Message 1 s rot truncated+“1. . . .,

27、. . ,=Recursion desired: Do query recursively* +-0.- =Z- reserved (0)* + + * 0= Non-authenticated data ok： iwon-authenticated data is unacceptableQuestions: 1Answer rrs: 0Autfwrlty rrs : 0Addirional rrs: o标识字段：0x0001，用于匹配请求与响应 标志字段：0X0100HQR 0,为请求报文 OpCode 0000（0），标准查询（正向解析）AA 0,此字段只在服务器的响应中有效，在上图中不

28、显示 TC: 0,报文没有被截断RD 1,请求服务器进行递归解析RA 0,此字段只在服务器的响应中有效，在上图中不显示 3比特保留位：000 rCode : 0000,没有错误问题记录数：1 回答记录数：0 （DNS青求报文此字段为0） 授权记录数：0 （DNS#求报文此字段为0）附加信息记录数：0（ DNS青求报文此字段为0） 问题部分：QueriesT 0.in-addr. arpa: type PTR, cl ass INName: 0.in-addr, arpaType: PTR (Domain name pannter) cJass

29、: TM (0x0001)000000100020003000400050703 9 8 o M14 c o619 e 2 H a of00917 0 011 6 o H003CIUCb 154 13C10017ao c c o 70099000361006401MM. 2 00* 250.100.10. in -.P.K v v 9i i E* i瓠pd* LJ 5 5 * *.*_r-TN3 7询问类型：PTR数值为1,反向解析。 询问类：IN,数值为1,表示因特网协议。3.7.2DNS应答报文首部：日 Domain Name system esponse)卫电口1电!5

30、1 I：门： UTime: o000349000 secondsTransact ion ID： Dxoooi3 Flags: Ox&SBO (standard query responsed no error)I,.= Response: Menage is a resporise000 0 =opcode: stanMad query (0).,1, = A nt hoitativE： server is an authority for donain.Q.=Truncated: Message is not truncated I f 二 Recursion desired: Do qu

31、ery recursively I. Recursion aval 1 abl e: server can do recursive queries0E： reserved (0) .0 * Answer authenticated: Ans we/且11上11041： portion was not authenticated by the server . 0000 Reply code: No error (0)Questions: 1Answer RJl呂：1Authority RJls: 1Additional rrs: D标识字段：0x0001，用于匹配请求与响应，此处与DNS请求

32、报文相匹配。标志字段：0X8180HQR 1,为应答报文OpCode 0000(0)，标准查询(正向解析)(与请求报文相同)AA 0,回答的服务器是该域的授权服务器TC: 0,报文没有被截断RD 1,请求服务器进行递归解析(与请求报文相同)RA 1,服务器支持递归解析(回应 RD3比特保留位：000 rCode : 0000,没有错误问题记录数：1回答记录数：1授权记录数：1附加信息记录数：0问题部分：s Queries曰 2Q0. 250.100.10. in-addr. arpa: type PTR, class IN Name: 200.250*100.10.In-addr* arpaT

33、ype: PTR (Domain name pointer)匚lass: IN COxCOOl)0000 0010 0020 0010 0040 0050 006000708 0 7 0 d o 6 o9 0 2 03 4f o a o 5 1 c o 2 o1 o o o eooo bag 14 9 o8 0 7 09 0 0 02 o o o o 13 o o3 7a 1 o Q o o o o o 2 8 oa 19 115 o e o 0 3 031 30 07 6900 Oc 00 01OS 64 6e 7300 01 51 SOa9 1950Ofi004 50025 4bOa64facSOa703a f50001B5BO000130 30 03 32 35 30 03 312d 61 g 64 72 04 61 721 o5 o1.0 1o o c1 o o oo 5 6c 8 9 0 6 3 30o 6 c c 1 2 60*i2 00,250.1 n -addr.ar2ES-Q* IG 9*P*. * E m. a a* %K. d.p* *