实习5DNS协议分析

DNS协议分析实习目的捕捉本机阅读外部某一网站时的DNS、HTTP数据包，取DNS、HTTP典型数据包各一个，列出其应用层、传输层、IP层、数据链路层上各层上数据包相应参数，首部内容，并对感爱好的部份进行深切分析。实习内容DNS报文格式：卩 19 31标煩标占问题離贵標歸戟说明一下：并非是所有DNS报文都有以上各个部份的。图中标示的“12字节”为DNS首部，这部份确信都会有，首手下面的是正文部份，其中查询问题部份也都会有。除此之外，回答、授权和额外信息部份是只出此刻DNS应答报文中的，而这三部份又都采纳资源记录（RecourceRecord）的相同格式，那个稍后会提到。下面逐个字段地分析DNS报文。标识（2字节）：那个字段网上的说明有点不清楚：“由客户程序设置并有效劳器返回结果。”看了下实验室的程序和文档，原先那个字段能够看做是DNS报文的ID，关于相关联的请求报文和应答报文，那个字段是相同的，由此能够区分DNS应答报文是哪个请求报文的响应。QR（1比特）：查询/响应的标志位，1为响应，0为查询。opcode（4比特）：概念查询或响应的类型（假设为0那么表示是标准的，假设为1那么是反向的，假设为2那么是效劳器状态请求）。AA（1比特）：授权回答的标志位。该位在响应报文中有效，1表示名字效劳器是权限效劳器（关于权限效劳器以后再讨论）TC（1比特）：截断标志位。1表示响应已超过512字节并已被截断（依稀仿佛记得哪里提过那个截断和UDP有关，先记着）RD（1比特）：该位为1表示客户端希望取得递归回答（递归以后再讨论）RA（1比特）：只能在响应报文中置为1,表示能够取得递归响应。zero（3比特）：不说也明白都是0了，保留字段。rcode（4比特）：返回码，表示响应的过失状态，一样为0和3,各取值含义如下：0 无过失格式过失问题在域名效劳器上域参照问题查询类型不支持在治理上被禁止--15保留标志段说完了，下面是问题数、资源记录数、授权资源记录数和额外资源记录数，这四个字段都是两字节，别离对应下面的查询问题、回答、授权和额外信息部份的数量。一样问题数都为1，DNS查询报文中，资源记录数、授权资源记录数和额外资源记录数都为0.该说正文部份了。查询问题部份格式如下：

查询类型（2字节）：通常查询类型为A（由名字取得IP地址）或PTR（取得IP地址对应的域名），类型列表如下：助记符说明类型1AIPv4地址。2NS名字服务器。5CNAME规范名称。定义主机的正式名字的别名。6SOA开始授权。标记一个区的开始。11WKS熟知服务。定义主机提供的网络服务。12PTR指针。把IP地址转化为域名。13HINFO主机信息。给出主机使用的硬件和操作系统的表述。15MX邮件交换。把邮件改变路由送到邮件服务器。28AAAAIPv6地址。252AXFR传送整个区的请求。255ANY对所有记录的请求。查询类（2字节）：一样为1，指Internet数据。前面说过，回答字段,授权字段和附加信息字段均采纳资源记录RR（ResourceRecord）的相同格式。该格式如下:域名字段（不定长或2字节）：记录中资源数据对应的名字，它的格式和查询名字段格式相同。当报文中域名重复显现时，就需要利用2字节的偏移指针来替换。例如，在资源记录中，域名一般是查询问题部份的域名的重复，就需要用指针指向查询问题部份的域名。关于指针怎么用，TCP/IP详解里面有，即2字节的指针，最签名的两个高位是11，用于识别指针。其他14位从报文开始处计数（从0开始），指出该报文中的相应字节数。注意，DNS报文的第一个字节是字节0,第二个报文是字节1。一样响应报文中，资源部份的域名都是指针C00C，恰好指向请求部份的域名。类型（2字节）、类（2字节）：含义与查询问题部份的类型和类相同。生存时刻（4字节）：该字段表示资源记录的生命周期（以秒为单位），一样用于本地址解析程序掏出资源记录后决定保留及利用缓存数据的时刻。资源数据长度（2字节）：表示资源数据的长度（以字节为单位，若是资源数据为IP那么为0004）资源数据：该字段是可变长字段，表示按查询段要求返回的相关资源记录的数据。大体上对DNS报文格式的分析确实是这些了。实习结果一、学会利用nslookup命令要在交互模式下启动，只需在命令提示符下输入nslookup：C:\>nslookupDefaultServer:在命令提示符下输入help或?将生成可用的命令列表。自己上网查找nslookup命令利用的信息。nslookup命令的功能是查询一台机械的IP地址和其对应的域名。它通常需要一台域名效劳器来提供域名效劳。若是用户已经设置好域名效劳器，就能够够用那个命令查看不同主机的IP地址对应的域名。Nslookup必需要安装了TCP/IP 协议的网络环境以后才能利用。该命令的一样格式为：nslookup[IP地址/域名]3、正向地址解析单击“开始”>“程序”>“附件”>“命令提示符”C:\>Nslookup “回车”以后即可看到如下结果：正在工作的DNS效劳器的主机名为，它的IP地址是，而域名所对应的IP地址为，别名为，、反向地址解析它的反向解析是不是正常呢?也确实是说，可否把IP地址反向解析为域名 NslookupK:XDocumentsand in lookup213Eeruer: caclie-aHddress: 202.96.12B.86name: £325913783.uehsiteliome.co.uknddress: 9得结果说明，DNS效劳器的反向解析功能也正常。但是，有的时候，咱们键入Nslookup，却显现如下结果：Server:Address:***can'tfindNon-existentdomain这种情形说明网络中DNS效劳器在工作，却不能实现域名的正确解析。现在，要分析DNS效劳器的配置情形，看是不是这一条域名对应的IP地址记录已经添加到了DNS的数据库中。还有的时候，咱们键入Nslookup,会显现如下结果***Can'tfindservernamefordomain:Noresponsefromserver***Can't :Non-existentdomain这时，说明测试主机在目前的网络中，全然没有找到能够利用的DNS效劳器。现在，咱们要对整个网络的连通性作全面的检测，并检查DNS效劳器是不是处于正常工作状态，采纳慢慢排错的方式，找出DNS效劳不能启动的本源。假假想查询更多信息，咱们可将查询模式设为any以后，再输入一样的主机名称碰运气：C:/>nslookupsetq=any就能够够看到更多的数据了。假设利用“除错模式”的话，看到的资料还将更多！>setdebug另外，您还能够用setq=mx或setq=ptr等模式来查询特定的记录，也能够用ls后接domainname来查看某个domain的所有主机记录。善用nslookup咱们能够找到许多DNS的信息，而当有问题发生的时候，那个工具就变得超级有效了。五、分析DNS消息格式清空DNS高速缓存：“开始”>“程序”>“附件”>“命令提示符”输入命令行“ipconfig/flushdns”按“回车键”执行命令。在Dos命令提示符中，执行实验步骤3的正向解析命令nslookup,同时利用ethereal进行捕捉，并分析捕捉到的DNS请求和响应消息格式。观看DNS是不是利用的是传输层UDP协议，效劳端口53。观看DNS消息的发送主机IP地址和接收主机IP地址。请求消息内容

M0.TimeSourceDesDnaliori^FQlDCfllInto5D.367Q2637ZQ2u56ulZ8-atiDN51135D.3B17D62D2.96.12S.a-537orussiandardqueryresp口仃三匕pth.cache-=i„quangzhou.1145D.3B4OB7172.lfi.57.137202.^.128.骑DN5Standardquerya*w,qnolE,com1155D.393754ZDZuSe.izSuas172ul6u57uia7DNSSxandardquervresponseA .7D.39SFraitie112CB6bytasonwire,E6bytescapruredj£Ethernetll4即匚：EliTegro.clrszzeitoo：l^:2a:cl:37:&O.dst:0口；1就匚日汕4；3chaLCoo：19：ce：w：3d：EL?i±InternetProrocal^Src：B7(172^16^57^1373,Dst：202u56ulZ8-36(202-96.125.36)国UserDatagraitiPratacDleSrcPorts125DClZ5DjeDstPortsdottiain(53)-DemalnMattieSyszernCquery)TransactIanIDsQxOOOltFlagssCxOlDOCstandardquery!a □i=Response]Messageisaquery.ODOD = Dpcodfi!zraridardqdfir*yfD) 0 = iruncared!message1snoi：rrun匚niRd 1 = Recursiondesired:口口quer^feuurslvely D = z:r'eserved(0) 0 ....=ruon-aurhenr1careddatadk^Non-aiKhenTlcareddataIsdnaccepTablcquesrIons1Answerrre:0Aurhorlry尺礼e: 0Addlrlonalrrs:086.12B. 202-I86.12B. 202-I:ryp^ftr?classimName:86.12B.9&.202.1n~Type!fir(Domainnamepo1nxer)匚IN(DicODOl)TransactionID:消息编号，作为确认依据；Flags:标志位Response:消息是请求消息=0Opcode:消息类型：=0标准查询，=1IQUERY反向查询，=2效劳器状态查询,Truncated:截断，若是UDP包超过512字节将被截流。Recursion:=1请求递归查询Z：Reserved(=0)保留没用Non-authentlacteddataok：非鉴定数据不可同意Questions:有一个查询信息Queries：查询消息内容反向查询的域名.■HTrarne113fl23byresonw1reH123byrescapruredj.■hEThernerilh5rcsQD：i9：c6：a4：3d：aitQD]ie：c6：Q4：3d：ai5,dst:EliTegro.cliaFi&JCou:14：2a:cl：37：&OHInternexPrOTDCC-l,Srci2DZ.96.123u56(202.9-5-12E.a&XDStE17Zul6b57blB7(37).■HUserDaragramPrcrcocalSrcPortedwiain〔5刃*DsrPari：：1250fl25Q)TransacrionID；oxwoai日匚lags;0x6130(St^ndar'dcfjeryresponse：.Noerror)1,・・・“・“・■Response;Me^sa^ aresponseMOD也 r«..■Opcode:Stanek「臼query0、….B0.B….■AuthDritatTve;^rveri5notanauthority尸口「domain….…乩….■Truncated:Messaqeisnottruncated….…1….««..■P.ecursiondesir^;Doqueryrecursivelym,・・・“・« 1，■-■n.ecursioni^ailable:Servercandorecursivequeries 0..__..・z:reservedCD> 0.__..=Anskieraurhenrlcaxfid:nnEkier/auihorIryporr1on**ashotaurhenrScaredbyTheserverODOO=Replycode!：ruoerror(O)quesTioris:1AnsMrrrs:1quesTioris:1AnsMrrrs:1AurhorlTyrre:0Addlxlanalrrs:DBQueries曰E&ulZSu2Q2uin-addrBarpagtypePTR,classINName:B6.12比96.202-1Type:PTR(Demalnnamepa1nrcer^iClassINCOxDOClj曰AnswersRiS-lFS,g<5-2Ci3mFc—adEr""孔『艮彳弋typ£PTIliq13：ss;工匚召匚人皀一彳亠guang^hciLi,grt«znName;B6.128- 202.Type;PTRCDomainnamepoirrter^Class;INWkD<i01；iTimetolive:15hoursii4minutes121secondsData1ength;25Domainname;cache-a.guangzhou・TransactionID:消息编号，作为确认依据二查询消息编号；Flags:标志位Response:消息是响应消息=1Opcode:消息类型：=0标准查询，=1IQUERY反向查询，=2效劳器状态查

询,Authoritative：效劳器是被该域授权的Truncated:截断，若是UDP包超过512字节将被截流。Recursiondesired：=1请求递归查询Recursionavailable：=1效劳器执行递归查询Z：Reserved（=0）保留没用Answerauthentlacted:表示不是授权回答Replycode：名字无错误Questions:有一个查询信息Answer:有一个响应消息Queries：查询消息内容反向查询的域名Answers：响应消息内容查±Frame114.(T3byreton4/1re,73byrescapTLir'fid)±Exherneiir,src:e11reqro_cl!±Frame114.(T3byreton4/1re,73byrescapTLir'fid)±Exherneiir,src:e11reqro_cl!37:e4 :2a:cl:37!：£4),osr;DO:19 i3d;81 i3d;Sl)±inxerneTproracol,src;172.IS.57.1S7(37),osr202.G-6.12S.3S(23.66)IUserDatagramProtncnl3SrcPort:12