实习5__________________DNS协议分析

1、DNS协议分析实习目的捕获本机浏览外部某一网站时的DNS、HTTP数据包，取DNS、HTTP典型数据包各一个，列出其应用层、传输层、IP层、数据链路层上各层上数据包相应参数，首部内容，并对感兴趣的部分进行深入分析。实习内容DNS报文格式： 说明一下：并不是所有DNS报文都有以上各个部分的。图中标示的“12字节”为DNS首部，这部分肯定都会有，首部下面的是正文部分，其中查询问题部分也都会有。除此之外，回答、授权和额外信息部分是只出现在DNS应答报文中的，而这三部分又都采用资源记录（Recource Record）的相同格式，这个稍后会提到。下面逐个字段地分析DNS报文。标识（2字节）：这个字段网

2、上的解释有点不清楚：“由客户程序设置并有服务器返回结果。”看了下实验室的程序和文档，原来这个字段可以看作是DNS报文的ID，对于相关联的请求报文和应答报文，这个字段是相同的，由此可以区分DNS应答报文是哪个请求报文的响应。标志（2字节）：这部分非常重要，需要逐比特分析。再借个图：QR(1比特）：查询/响应的标志位，1为响应，0为查询。opcode（4比特）：定义查询或响应的类型（若为0则表示是标准的，若为1则是反向的，若为2则是服务器状态请求）。AA（1比特）：授权回答的标志位。该位在响应报文中有效，1表示名字服务器是权限服务器（关于权限服务器以后再讨论）TC（1比特）：截断标志位。1表示响应

3、已超过512字节并已被截断（依稀好像记得哪里提过这个截断和UDP有关，先记着）RD（1比特）：该位为1表示客户端希望得到递归回答（递归以后再讨论）RA（1比特）：只能在响应报文中置为1，表示可以得到递归响应。zero（3比特）：不说也知道都是0了，保留字段。rcode（4比特）：返回码，表示响应的差错状态，通常为0和3，各取值含义如下：0          无差错1          格式差错2  

4、;        问题在域名服务器上3          域参照问题4          查询类型不支持5          在管理上被禁止6          - 15

5、保留标志段说完了，下面是问题数、资源记录数、授权资源记录数和额外资源记录数，这四个字段都是两字节，分别对应下面的查询问题、回答、授权和额外信息部分的数量。一般问题数都为1，DNS查询报文中，资源记录数、授权资源记录数和额外资源记录数都为0.    该说正文部分了。查询问题部分格式如下：查询名部分长度不定，一般为要查询的域名（也会有IP的时候，即反向查询）。此部分由一个或者多个标示符序列组成，每个标示符以首字节数的计数值来说明该标示符长度，每个名字以0结束。计数字节数必须是063之间。该字段无需填充字节。还是借个例子来说明更直观些，查询名为gemini.tuc.no

6、的话，查询名字段如下：查询类型（2字节）：通常查询类型为A（由名字获得IP地址）或者PTR（获得IP地址对应的域名），类型列表如下：    类型助记符说明1AIPv4地址。2NS名字服务器。5CNAME规范名称。定义主机的正式名字的别名。6SOA开始授权。标记一个区的开始。11WKS熟知服务。定义主机提供的网络服务。12PTR指针。把IP地址转化为域名。13HINFO主机信息。给出主机使用的硬件和操作系统的表述。15MX邮件交换。把邮件改变路由送到邮件服务器。28AAAAIPv6地址。252AXFR传送整个区的请求。255ANY对所有记录的请求。查询类

7、（2字节）：通常为1，指Internet数据。前面说过，回答字段，授权字段和附加信息字段均采用资源记录RR（Resource Record）的相同格式。该格式如下：域名字段（不定长或2字节）：记录中资源数据对应的名字，它的格式和查询名字段格式相同。当报文中域名重复出现时，就需要使用2字节的偏移指针来替换。例如，在资源记录中，域名通常是查询问题部分的域名的重复，就需要用指针指向查询问题部分的域名。关于指针怎么用，TCP/IP详解里面有，即2字节的指针，最签名的两个高位是11，用于识别指针。其他14位从报文开始处计数（从0开始），指出该报文中的相应字节数。注意，DNS报文的第一个字节是字节0，第二

8、个报文是字节1。一般响应报文中，资源部分的域名都是指针C00C，刚好指向请求部分的域名。类型（2字节）、类（2字节）：含义与查询问题部分的类型和类相同。生存时间（4字节）：该字段表示资源记录的生命周期（以秒为单位），一般用于当地址解析程序取出资源记录后决定保存及使用缓存数据的时间。资源数据长度（2字节）：表示资源数据的长度（以字节为单位，如果资源数据为IP则为0004）资源数据：该字段是可变长字段，表示按查询段要求返回的相关资源记录的数据。基本上对DNS报文格式的分析就是这些了。实习结果1、学会使用nslookup命令要在交互模式下启动 Nslookup.exe，只需在命令提示符下输入 nsl

9、ookup： C:> nslookup Default Server: > 在命令提示符下输入 help 或 ? 将生成可用的命令列表。自己上网查找nslookup命令使用的信息。nslookup命令的功能是查询一台机器的IP地址和其对应的域名。它通常需要一台域名服务器来提供域名服务。如果用户已经设置好域名服务器，就可以用这个命令查看不同主机的IP地址对应的域名。Nslookup  必须要安装了 TCP/IP  协议的网络环境之后才能使用。  该命令的一般格式为：nslookup IP地址/域名3、正向地址解析单击 “ 开始 ”

10、>“ 程序 ”>“ 附件 ” >“ 命令提示符 ” C:> Nslookup  “ 回车 ” 之后即可看到如下结果：   说明已经能顺利实现正向解析。正在工作的 DNS 服务器的主机名为 ，它的IP地址是，而域名 所对应的 IP 地址为 04，别名为，4、反向地址解析它的反向解析是否正常呢 ?  也就是说， 能否把 IP 地址04 反向解析为域名  ?C:> Nslookup 04得到结果说明， DNS服务器的反向解析功

11、能也正常。然而，有的时候，我们键入 Nslookup  ，却出现如下结果：   Server: ns- Address:  * ns- can't find : Non-existent domain  这种情况说明网络中 DNS 服务器 ns- 在工作，却不能实现域名   的正确解析。此时，要分析 DNS 服务器的配置情况，看是否    这一条域名对应的  IP  地址记录已经添加到了 DNS 的数据库

12、中。  还有的时候，我们键入 Nslookup   ，会出现如下结果* Can't find server name for domain: No response from server  * Can't   : Non-existent domain  这时，说明测试主机在目前的网络中，根本没有找到可以使用的  DNS  服务器。此时，我们要对整个

13、网络的连通性作全面的检测，并检查 DNS 服务器是否处于正常工作状态，采用逐步排错的方法，找出  DNS  服务不能启动的根源。 若想查询更多信息，我们可将查询模式设为 any 之后再输入同样的主机名称试试看 C:/> nslookup> set q=any> 就可以看到更多的数据了。假如使用“除错模式”的话看到的资料还将更多 > set debug> 另外您还可以用 set q=mx 或 set q=ptr 等模式来查询特定的记录也可以用 ls 后接 domain name 来查看某个 domain 的所有主机记录。善用 nslookup 我

14、们可以找到许多 DNS 的信息而当有问题发生的时候这个工具就变得非常有用了。 5、分析DNS消息格式清空DNS高速缓存：“开始”>“程序”>“附件”>“命令提示符”输入命令行 “ipconfig/flushdns” 按“回车键” 执行命令。在Dos命令提示符中，执行实验步骤3的正向解析命令 nslookup ，同时使用ethereal进行捕获，并分析捕获到的DNS请求和响应消息格式。观察DNS是否使用的是传输层UDP协议，服务端口53。观察DNS消息的发送主机IP地址和接收主机IP地址。请求消息内容Transaction ID: 消息编号，作为确认依据；Flags：标志位Re

15、sponse: 消息是请求消息 = 0Opcode：消息类型：=0标准查询, =1 IQUERY 反向查询, =2服务器状态查询, Truncated: 截断，如果UDP包超过512字节将被截流。Recursion：= 1请求递归查询Z：Reserved（=0）保留没用Non-authentlacted data ok：非鉴定数据不可接受Questions：有一个查询信息Queries：查询消息内容反向查询的域名Transaction ID: 消息编号，作为确认依据=查询消息编号；Flags：标志位Response: 消息是响应消息 = 1Opcode：消息类型：=0标

16、准查询, =1 IQUERY 反向查询, =2服务器状态查询, Authoritative：服务器是被该域授权的Truncated: 截断，如果UDP包超过512字节将被截流。Recursion desired：= 1请求递归查询Recursion available：= 1服务器执行递归查询Z：Reserved（=0）保留没用Answer authentlacted：表示不是授权回答Reply code： 名字无错误Questions：有一个查询信息Answer：有一个响应消息Queries：查询消息内容反向查询的域名Answers：响应消息内容查询的域