基于Wireshark软件的DNS协议分析毕业论文

1、 PAGE18 / NUMPAGES18目 录 TOC o 1-3 h z u HYPERLINK l _Toc279087656实验目的 PAGEREF _Toc279087656 h 2HYPERLINK l _Toc2790876571)熟练地使用Wireshark软件 PAGEREF _Toc279087657 h 2HYPERLINK l _Toc2790876582） 运用软件分析网络协议 PAGEREF _Toc279087658 h 2HYPERLINK l _Toc279087659实验任务 PAGEREF _Toc279087659 h 2HYPERLINK l _Toc2

2、790876601) 软件要求 PAGEREF _Toc279087660 h 2HYPERLINK l _Toc2790876612） 网络协议分析要求 PAGEREF _Toc279087661 h 2HYPERLINK l _Toc279087662软件介绍 PAGEREF _Toc279087662 h 2HYPERLINK l _Toc2790876631） wireshark软件的发展史： PAGEREF _Toc279087663 h 2HYPERLINK l _Toc2790876642） wireshark的功能与相关知识 PAGEREF _Toc279087664 h 2H

3、YPERLINK l _Toc2790876653） wireshark所不能提供的功能 PAGEREF _Toc279087665 h 3HYPERLINK l _Toc2790876664） wireshark软件运行的主界面 PAGEREF _Toc279087666 h 3HYPERLINK l _Toc279087667实验环境 PAGEREF _Toc279087667 h 4HYPERLINK l _Toc2790876681） 软件要求 PAGEREF _Toc279087668 h 4HYPERLINK l _Toc2790876692） 硬件要求 PAGEREF _Toc2

4、79087669 h 4HYPERLINK l _Toc279087670实验容和过程 PAGEREF _Toc279087670 h 4HYPERLINK l _Toc2790876711） DNS基本知识与原理 PAGEREF _Toc279087671 h 4HYPERLINK l _Toc279087672DNS解析过程 PAGEREF _Toc279087672 h 4HYPERLINK l _Toc2790876732）域服务器报文 PAGEREF _Toc279087673 h 5HYPERLINK l _Toc279087674不变部分含有6个定长域，各域分别占2个字节： PA

5、GEREF _Toc279087674 h 6HYPERLINK l _Toc279087675变化部分含有4个部分： PAGEREF _Toc279087675 h 6HYPERLINK l _Toc2790876763） 分析过程 PAGEREF _Toc279087676 h 7HYPERLINK l _Toc279087677（一）进入命令提示符中，查看当前的一些信息。 PAGEREF _Toc279087677 h 7HYPERLINK l _Toc279087678（二）通过一个ping实例，来获得域名解析数据包。 PAGEREF _Toc279087678 h 8HYPERLIN

6、K l _Toc279087679（三）数据包列表分析 PAGEREF _Toc279087679 h 9HYPERLINK l _Toc279087680（四）运用第一个数据包（询问）的协议树分析解析过程： PAGEREF _Toc279087680 h 10HYPERLINK l _Toc279087681（五）运用第二个数据包（响应）的协议树分析解析过程： PAGEREF _Toc279087681 h 13HYPERLINK l _Toc279087682总结 PAGEREF _Toc279087682 h 17基于wireshark软件的分析报告实验目的熟练地使用Wireshark软

7、件Wireshark是一个有名的网络端口探测器，是可以在Windows、Unix等各种平台运行的网络监听软件，它主要是针对TCP/IP协议的不安全性对运行该协议的机器进行监听。其功能是在一个共享的网络环境下对数据包进行捕捉和分析。2） 运用软件分析网络协议本实验的主要的目的就是对用Wireshark捕获的数据包进行分析，尤其是针对网络协议（DNS）的分析。深入了解其基本原理，学会结合实际的数据来分析其原理。实验任务1) 软件要求熟悉Wireshark软件的一些基本功能，包括Wireshark的用户界面如何使用，如何捕捉包，如何查看包，如何过滤包等。2）网络协议分析要求对捕获的数据包进行分析，主

8、要是针对网络协议（DNS）的结合实例的分析。软件介绍1）wireshark软件的发展史：1997年以后，Gerald Combs 需要一个工具追踪网络问题并想学习网络知识。所以他开始开发Ethereal (Wireshark项目以前的名称) 以解决以上的两个需要。Ethereal是第一版，经过数次开发，停顿，1998年，经过这么长的时间，补丁，Bug报告，以与许多的鼓励，0.2.0版诞生了。此后不久，Gilbert Ramirez发现它的潜力，并为其提供了底层分析1998年10月，Guy Harris正寻找一种比TcpView更好的工具，他开始为Ethereal进行改进，并提供分析。1998年

9、以后，正在进行TCP/IP教学的Richard Sharpe 关注了它在这些课程中的作用。并开始研究该软件是否他所需要的协议。如果不行，新协议支持应该很方便被添加。所以他开始从事Ethereal的分析与改进。从那以后，帮助Ethereal的人越来越多，他们的开始几乎都是由于一些尚不被Ethereal支持的协议。所以他们拷贝了已有的解析器，并为团队提供了改进回馈。2006年项目Moved House重新命名为：Wireshark。2）wireshark的功能与相关知识Wireshark是一个有名的网络端口探测器，是可以在Windows、Unix等各种平台运行的网络监听软件，它主要是针对TCP/I

10、P协议的不安全性对运行该协议的机器进行监听。Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包， 并尝试显示包的尽可能详细的情况。你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。其功能相当于Windows下的Sniffer，都是在一个共享的网络环境下对数据包进行捕捉和分析，而且还能够自由地为其增加某些插件以实现额外功能。Wireshark 是开源软件项目，发布遵循 HYPERLINK :/ /copyleft/gpl.html t _top GNU General Public Licence

11、 (GPL协议),所有源代码可以在GPL框架下免费使用。这也就意味着，为了适合自己的需要，你可以自己对wireshark进行修改。3）wireshark所不能提供的功能另外，值得注意的是，wireshark不能提供以下的功能：Wireshark不是入侵检测系统。如果别人在您的网络做了一些他不被允许的奇怪的事情，Wireshark不会警告您。但是如果发生了奇怪的事情，Wireshark可能对察看发生了什么会有所帮助Wireshark不会处理网络事务，它仅仅是“测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情（名称解析除外，但您也可以禁止解析）.4）wireshark软件运

12、行的主界面图1为软件运行后的主窗口界面，大多数打开捕捉包以后的界面都是这样子图1 wireshark运行的主界面主界面介绍Wireshark和其它的图形化嗅探器使用基本类似的界面，整个窗口被分成三个部分：. 最上面为数据包列表，用来显示截获的每个数据包的总结性信息；. 中间为协议树，用来显示选定的数据包所属的协议信息；. 最下边是以十六进制形式表示的数据包容，用来显示数据包在物理层上传输时的最终形式。实验环境1）软件要求该实验在Microsoft Windows XP操作系统下完成，使用的软件是wireshark-win32-1.4.2版本；2）硬件要求奔腾300以上的电脑配置，10M以上的网

13、卡。实验容和过程1）DNS基本知识与原理DNS(Domain Name System)就是域名服务系统，它的作用就是域名到IP地址的转换过程。IP地址是网路上标识您站点的数字地址，为了简单好记，采用域名来代替ip地址标识站点地址。任何域名都至少有一个DNS，一般是2个（主DNS，辅DNS）。因为两个DNS可以轮回处理，第一个解析失败可以找第二个。这样只要有一个DNS解析正常，就不会影响域名的正常使用。DNS解析过程第一步：客户机提出域名解析请求,并将该请求发送给本地的域名服务器。第二步：当本地的域名服务器收到请求后,就先查询本地的缓存,如果有该纪录项,则本地的域名服务器就直接把查询的结果返回。

14、第三步：如果本地的缓存中没有该纪录,则本地域名服务器就直接把请求发给根域名服务器,然后根域名服务器再返回给本地域名服务器一个所查询域(根的子域)的主域名服务器的地址。第四步：本地服务器再向上一步返回的域名服务器发送请求,然后接受请求的服务器查询自己的缓存,如果没有该纪录,则返回相关的下级的域名服务器的地址。第五步：重复第四步,直到找到正确的纪录。第六步：本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时还将结果返回给客户机。下面是解析过程的流程图：图2 解析过程流程图这里值得注意的是，ISP（当地网络接入商）的DNS缓存是有时间限制的，一般是1个小时。前后2次间隔1个小时的话，它就去域

15、名的DNS上重新取得数据。这里说的是最前面一次和当前的比较。也就是说如果时间差距较大，就重新去域名的DNS服务器上找。所以刷新就变的很有必要，否则缓存了一次以后，域名记录改了以后，ISP就永远不去找新的记录了。2） 域服务器报文用户使用应用程序时，首先给出欲通信的对方主机的域名。应用程序在真正开始通信之前，首先必须解析出对方的IP地址，这是一个域名解析过程。它将域名交给本地解析器软件，该软件首先在本地缓冲区中查找相应的绑定；如果查找不到，本地解析器构造一个询问报文，发往本地服务器，服务器根据响应情况回答一个响应报文。一旦解析器从本地缓冲区或服务器响应中获得信宿机IP地址，交给应用程序，应用程序

16、便可以开始真正的通信过程。 域服务器报文的格式如表1：0 15 16 31标识参数问题数答案数管理机构数附加信息数问题部分回答部分管理机构部分附加信息部分表1 域名服务器报文格式请求报文与响应报文的格式一样，总的来说，一个域名服务器的报文分为两大部分：不变部分（图二中前三行）与可变部分（图二中后四行）；变与不变是相对于长度而言的。不变部分含有6个定长域，各域分别占2个字节：标识（Identification）：用户用来识别其询问对应到哪个相应信息的码。参数（Parameter）：指出所请求的操作类型与一个响应码。问题数（Question）：在问题区，问题信息的数目。答案数（Answer）：在答

17、案区，答案的数目，答案是指域名服务器对用户提出的询问解析后所响应的信息。管理机构数（Authority）：管辖区管辖信息的数目，管辖数目表示针对此询问有响应的域名服务器的数目。附加信息数（Additional Information）：表示在附加区域额外的信息数目。变化部分含有4个部分：问题部分（Question Section）：由一组询问组成，各表目格式如表2：0 16 31询问域名询问类型询问类表2 问题部分表目格式该部分由用户填写。其余三部分为答案部分（Answer Section）、管理机构部分（Authority Section）、以与附加信息部分（Additional Infor

18、mation Section）均由一组资源记录（Resource Record）组成。如表3所示：0 16 31资源域名类型类生存时间资源数据长度资源数据表3 资源记录格式其中，资源域名（Resource Domain Name）指出本资源记录所涉与的域名，其长度是任意的； 类型域（Type）指出资源记录中所含数据类型； 类域（Class）指出数据类； 生存时间域（TTL）包含一个整数，指出本资源记录可被缓冲区保存的时间（以秒计）。TTL是IP协议包中的一个值，它告诉网络路由器包在网络中的时间是否太长而应被丢弃。TTL的初值通常是系统缺省值，是中的8位的域。TTL的最初设想是确定一个时间围，超

19、过此时间就把包丢弃。当记数到0时，路由器决定丢弃该包，并发送一个ICMP报文给最初的发送者。默认情况下，Linux系统的TTL值为64或255，Windows NT/2000/XP系统的TTL值为128，Windows 98系统的TTL值为32，UNIX主机的TTL值为255。一般情况下Windows系列的系统返回的TTL值在100-130之间，而UNIX/Linux系列的系统返回的TTL值在240-255之间。域名系统资源记录类型：A (Address) 记录是用来指定主机名（或域名）对应的IP地址记录。用户可以将该域名下的服务器指向到自己的web server上。同时也可以设置您域名的二级

20、域名。MX（路由记录），用户可以将该域名下的服务器指向到自己的mail server上，然后即可自行操控所有的设置。您只需在线填写您服务器的IP地址，即可将您域名下的全部转到您自己设定相应的服务器上。CNAME（别名记录）。这种记录允许您将多个名字映射到同一台计算机。 通常用于同时提供WWW和MAIL服务的计算机。NS即名字服务器，域的授权服务器名。3）分析过程（一）进入命令提示符中，查看当前的一些信息。如下所示：Microsoft Windows XP 版本 5.1.2600(C) 所有 1985-2001 Microsoft Corp.C:Documents and SettingsAdm

21、inistratoripconfig/allWindows IP Configuration Host Name . . . . . . . . . . . . : 939739AAEB584A0 Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Unknown IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : NoEthernet adapter 无线网络连接: Connection-specific

22、DNS Suffix . : Description . . . . . . . . . . . : Atheros AR5007EG Wireless Network Adapter Physical Address. . . . . . . . . : 00-17-C4-44-76-DF Dhcp Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IP Address. . . . . . . . . . . . : 07 Subnet Mask . . . . . . . . . . .

23、: Default Gateway . . . . . . . . . : DHCP Server . . . . . . . . . . . : DNS Servers . . . . . . . . . . . : Lease Obtained. . . . . . . . . . : 2010年11月28日 星期日 15:45:41 Lease Expires . . . . . . . . . . : 2010年11月28日 星期日 17:45:41Ethernet adapter 本地连接:MediaState . . . . . . . . . . . : Media discon

24、nected Description . . . . . . . . . . . : Realtek RTL8102E/RTL8103E Family PCI-E Fast Ethernet NIC Physical Address. . . . . . . . . : 00-21-70-88-82-61从无线网络连接中可以发现，当前主机的物理地址MAC为00-17-C4-44-76-DF，IP地址为07，子网掩码为，缺省网关为，域名服务器的IP为、。（二）通过一个ping实例，来获得域名解析数据包。C:Documents and SettingsAdministratorping .baid

25、u.Pinging .a.shifen. 5 with 32 bytes of data:Request timed out.Reply from 5: bytes=32 time=23ms TTL=55Reply from 5: bytes=32 time=34ms TTL=55Reply from 5: bytes=32 time=230ms TTL=55Ping statistics for 5: Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),Approximate round trip times in milli-secon

26、ds: Minimum = 23ms, Maximum = 230ms, Average = 95ms从中可以发现，域名 baidu 的CNAME为 a.shifen.，其IP地址为5。在此过程中，wireshark捕获的数据包如图3所示：图3 捕获的数据包（三）数据包列表分析序号为201与202的数据包列表总结性信息如下：图4 数据包列表信息从中我们不难发现，NO201是一条询问报文，源IP地址为07，目的IP地址，即报文是从本地计算机发往本地域名服务器的。这也就是域名解析过程中的第一步：客户机提出域名解析请求,并将该请求发送给本地的域名服务器。接下来就是本地的域名服务器收到请求后,查询本地

27、的缓存,看是否有该纪录项。从NO202可以知道本地域名服务器向客户机回复了一条报文，则可以推断，本地域名服务器缓存中有该项纪录，故直接把查询的结果返回给客户机。经查询可知，IP地址段：在 - 55 之间的记录为市 百度公司的，故域名 HYPERLINK :/ baidu .baidu.首选地IP地址为5。（四）运用第一个数据包（询问）的协议树分析解析过程：对于NO201数据包的协议树所示的具体的协议属性如下图5所示：图5 NO201数据包协议树信息图5中上面的是协议树的容，用来显示选定的数据包所属的协议信息；下边是以十六进制形式表示的数据包容，用来显示数据包在物理层上传输时的最终形式。首先看协

28、议树中的第一项：图6 协议树第一项信息该帧显示了一些基本信息，包括帧到达时间，各种时间差，帧与捕获的包长，帧中所含有的协议（Ethernet、ip、udp、dns协议）等信息； 协议树的第二项为：图7 协议树第二项信息这是Ethernet协议的信息，原物理地址MAC为00:17:c4:44:76:df,目的物理地址MAC为：00:25:86:79:c1:6c，类型为IP(0X0800)表示上一层使用的是IP协议数据报； 协议树的第三项为：图8 协议树第三项信息这是IP协议的信息，而IP数据报的格式如表4所示：0 4 8 15 16 19 24 31版本头标长度服务类型总长标识标志片偏移生存时间

29、协议头标校验和源IP地址信宿IP地址IP选项（若有）填充域数据域表4 IP数据报格式从中可以知道，源IP地址与目标IP地址分别为07、，且当前的IP协议的版本号为“4”，长度为4比特。头标长度为20字节，所谓的头标长是一个4比特的域，指出以32比特字长为单位的报头长度。服务类型为区分服务，总长59字节，即整个IP数据报的长度为59字节。标识字段唯一地标识主机发送的每一份数据报，该标识字段为0 x8ecc（36556）。标志位为0，片偏移为0，生存时间为128，即，数据报可以经过的最多路由器数为128个，协议是udp协议，也就是说，IP层所封装的上层协议为udp。报头校验和字段是根据IP报头部分

30、计算出的校验和码，其值为0 x873e,校验和正确。 协议树的第四项为：图9 协议树第四项信息这是UDP协议的相关信息，UDP报文格式如表5所示：0 16 31UDP源端口UDP信宿端口UDP长度UDP校验和数据表5 UDP报文格式由上面的协议树信息可以知道，源端口为2720，目的端口为53，数据报长度为39字节，与校验和为0 x803f。 协议树的最后一项为：图10 协议树第五项信息这是DNS协议的信息，且是条询问报文，答复在NO202中。随机产生一个校验数0 x93e3，注：Transaction ID 是随机产生的，DNS服务器返回dns应答信息时，使用的 Transaction ID

31、必须和你询问时使用的一致，才会被机器接受。下面表6介绍一下域名服务器报文参数域各位意义：参数bit位值意义001询问响应1-401标准逆向5如果权威性回答则置位6如果报文被截断则置位7如果希望递归则置位8如果可以递归则置位9-11保留12-1501无错询问格式错表6 域名服务器报文参数域各位意义该次询问属于标准询问，报文没有被截断，且报文希望能够递归，报文保留。在问题区，问题信息的数目为1，而在答案区答案的数目为0，表示域名服务器对用户提出的询问解析后所响应的信息数为0，管理机构数与附加信息数都为0。问题部分：图11 问题部分信息表明询问的域名为 HYPERLINK :/ baidu .bai

32、du.,询问类型为A，即希望希望能够回答所对应的机器名IP地址，类域值为0 x0001,表示Internet数据。（五）运用第二个数据包（响应）的协议树分析解析过程：分析N0202数据包的信息，协议树信息如图12所示：图12 NO202数据包协议树信息 协议树的第一项为：图13 协议树第一项信息Frame 202显示了一些基本信息，包括帧到达时间，各种时间差，帧与捕获的包长，帧中所含有的协议（Ethernet、ip、udp、dns协议）等信息； 协议树第二项为：图14 协议树第二项信息这是Ethernet协议的信息，原物理地址MAC为00:25:86:79:c1:6c,目的物理地址MAC为00

33、:17:c4:44:76:df，类型为IP(0X0800)表示上一层使用的是IP协议数据报； 协议树第三项为：图15 协议树第三项信息这是IP协议的信息，源IP地址与目标IP地址分别为、07，且当前的IP协议的版本号为“4”，长度为4比特。头标长度为20字节，所谓的头标长是一个4比特的域，指出以32比特字长为单位的报头长度。服务类型为区分服务，总长254字节，即整个IP数据报的长度为254字节。标识字段唯一地标识主机发送的每一份数据报，该标识字段为0 x8ba7（35751）。标志位为0，片偏移为0，生存时间为58，即，数据报可以经过的最多路由器数为58个，协议是udp协议，也就是说，IP层所

34、封装的上层协议为udp。报头校验和字段是根据IP报头部分计算出的校验和码，其值为0 xcfa0,校验和正确。 协议树第四项为：图16 协议树第四项信息由上面的协议树信息可以知道，这是UDP协议信息，源端口为53，目的端口为2720，数据报长度为234字节，与校验和为0 x8fd0。 协议树最后一项为：图17 协议树第五项信息这是DNS协议信息，是对NO201的答复。可见此处随机产生的校验数为0 x93e3,与询问时的检验数一致，故能够被接受。 标识与参数信息图18 标识与参数信息由表6中的域名服务器报文参数域各位意义可知，该报文是条标准响应报文，不是权威性的回答，且报文未被截断，报文希望递归，并可以递归，报文保留，报文回复无错。问题区，问题信