DNS協(xié)議分析實(shí)驗(yàn)

1、吉 林 農(nóng) 業(yè) 大 學(xué) 實(shí) 驗(yàn) 報(bào) 告姓名：李洪爽 學(xué)號：12145211 專業(yè)：物聯(lián)網(wǎng)工程 第 六次 2016年 5月 16 日實(shí)驗(yàn)七 DNS協(xié)議分析一、 實(shí)驗(yàn)?zāi)康?.學(xué)會客戶端使用nslookup命令進(jìn)行域名解析。2.通過協(xié)議分析軟件掌握DNS協(xié)議的報(bào)文格式。二、 實(shí)驗(yàn)原理DNS是域名系統(tǒng)(Domain Name System)的縮寫，該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)。域名是由圓點(diǎn)分開一串單詞或縮寫組成的，每一個域名都對應(yīng)一個惟一的IP地址，在Internet上域名與IP地址之間是一一對應(yīng)的，DNS就是進(jìn)行域名解析的服務(wù)器DNS命名用于Internet等TCP/IP網(wǎng)絡(luò)中

2、，通過用戶友好的名稱查找計(jì)算機(jī)和服務(wù)。DNS是因特網(wǎng)的一項(xiàng)核心服務(wù)，它作為可以將域名和IP地址相互映射的一個分布式數(shù)據(jù)庫而存在。 DNS 是一個分層級的分散式名稱對應(yīng)系統(tǒng)，有點(diǎn)像電腦的目錄樹結(jié)構(gòu)：在最頂端的是一個“root”，然后其下分為好幾個基本類別名稱，如：comorgedu 等；再下面是組織名稱，如：IBMMicrosoftIntel 等；繼而是主機(jī)名稱，如：wwwmailftp 等。 一個具體的 DNS運(yùn)作過程如下： 1. 當(dāng)被詢問到有關(guān)本域名之內(nèi)的主機(jī)名稱的時候，DNS 服務(wù)器會直接做出回答；2. 客戶端向服務(wù)器提出查詢項(xiàng)目； 3. 如果所查詢的主機(jī)名稱屬于其它域名的話，會檢查緩存(

3、Cache)，看看有沒有相關(guān)資料； 4. 如果沒有發(fā)現(xiàn)，則會轉(zhuǎn)向 root 服務(wù)器查詢； 5. 然后 root 服務(wù)器會將該域名之下一層授權(quán)(authoritative)服務(wù)器的位置告知(可能會超過一臺) ； 6. 本地服務(wù)器然后會向其中的一臺服務(wù)器查詢，并將這些服務(wù)器名單存到緩存中，以備將來之需(省卻再向 root 查詢的步驟) ； 7. 遠(yuǎn)方服務(wù)器回應(yīng)查詢；8.若該回應(yīng)并非最后一層的答案，則繼續(xù)往下一層查詢，直到獲得客戶端所需的結(jié)果為止； 9. 將查詢結(jié)果回應(yīng)給客戶端，并同時將結(jié)果儲存一個備份在自己的緩存里面； 10. 如果在存放時間尚未過時之前再接到相同的查詢，則以存放于緩存里的資料來做

4、回應(yīng)。 從這個過程我們可以看出，沒有任何一臺 DNS 主機(jī)會包含所有域名的 DNS 資料，資料都是分散在全部的 DNS 服務(wù)器中。DNS協(xié)議報(bào)文結(jié)構(gòu) 通過研究發(fā)現(xiàn)，DNS協(xié)議分成包頭和數(shù)據(jù)兩部分。如圖1所示，該報(bào)文由12字節(jié)的首部和4個長度可變的字段組成。 以下會詳細(xì)介紹個字段： 1. 標(biāo)識 標(biāo)識字段由客戶程序設(shè)置并有服務(wù)器返回結(jié)果，16位，在對應(yīng)的query和response報(bào)文中有著相同的ID，可以在抓到的包中配對請求和應(yīng)答報(bào)文，提取相關(guān)信息，同時也可以根據(jù)他們的時間戳大致估計(jì)DNS的相應(yīng)時間。 2. 標(biāo)志 標(biāo)志字段長16bit，結(jié)構(gòu)如圖2所示：QR 1 OpcodeAA 1 TC 1 R

5、D 1 RA 1 Zero 3 Rcode 4 QR：1bits字段，0表示查詢報(bào)文，1表示響應(yīng)報(bào)文Opcode：4bits字段，通常值為0（標(biāo)準(zhǔn)查詢），其他值為1（反向查詢）和2（服務(wù)器狀態(tài)請求）AA：1bits標(biāo)志表示授權(quán)回答（authoritive answer）,該名字服務(wù)器是授權(quán)于該領(lǐng)域的TC：1bits字段，表示可截（truncated），使用UDP時，它表示當(dāng)應(yīng)答的總長度超過512字節(jié)時，只返回前512個字節(jié)RD：1bits字段，表示期望遞歸，該比特能在一個查詢中設(shè)置，并在一個響應(yīng)中返回，這個標(biāo)志告訴名字服務(wù)器必須處理這個查詢，也稱為一個遞歸查詢，如果該位為0，且被請求的名字服務(wù)

6、器沒有一個授權(quán)回答，它就返回一個能解答該查詢的其他名字服務(wù)器列表，這稱為迭代查詢（期望遞歸）RA：1bits字段，表示可用遞歸，如果名字服務(wù)器支持遞歸查詢，則在響應(yīng)中將該bit置為1（可用遞歸）zero：必須為0rcode：是一個4bit的返回碼字段，通常值為0（沒有差錯）和3（名字差錯），名字差錯只有從一個授權(quán)名字服務(wù)器上返回，它表示在查詢中指定的域名不存在隨后的4個bit字段說明最后4個變長字段中包含的條目數(shù)，對于查詢報(bào)文，問題數(shù)通常是1，其他三項(xiàng)為0，類似的，對于應(yīng)答報(bào)文，回答數(shù)至少是1，剩余兩項(xiàng)可以使0或非05. DNS查詢報(bào)文中每個查詢問題的格式0 16 31查詢名 查詢類型 查詢類

7、 查詢名：要查找的名字查詢類：通常值為1，表示是互聯(lián)網(wǎng)的地址，也就是IP協(xié)議族的地址查詢類型：有很多種查詢類型，一般最常用的查詢類型是A類型（表示查找域名對應(yīng)的IP地址）和PTR類型（表示查找IP地址對應(yīng)的域名）查詢名為要查找的名字，它由一個或者多個標(biāo)示符序列組成，每個標(biāo)示符已首字符字節(jié)數(shù)的計(jì)數(shù)值來說明該表示符長度，每個名字以0結(jié)束，計(jì)數(shù)字節(jié)數(shù)必須是063之間，該字段無需填充字節(jié)，如：6. DNS響應(yīng)報(bào)文中的資源記錄格式：域名：記錄中資源數(shù)據(jù)對應(yīng)的名字，它的格式和查詢名字段格式相同類型：類型說明RR的類型碼，類通常為1，指Internet數(shù)據(jù)生存時間：客戶程序保存該資源記錄的秒數(shù)資源數(shù)據(jù)長度：

8、說明后面資源數(shù)據(jù)的數(shù)量，該數(shù)據(jù)的格式依賴于類型字段的值，對于類1（A記錄）記錄數(shù)據(jù)室4字節(jié)的IP地址資源數(shù)據(jù)：服務(wù)器端返回給客戶端的記錄數(shù)據(jù)Nslookup是一個監(jiān)測網(wǎng)絡(luò)中DNS服務(wù)器是否能夠正確實(shí)現(xiàn)域名解析的命令行工具。它在Windows NT/2000/XP中均可使用。本實(shí)驗(yàn)通過nslookup檢測服務(wù)器的配置，并利用協(xié)議分析Wireshark捕獲分析nslookup命令產(chǎn)生的DNS數(shù)據(jù)包。Nslookup查詢命令格式為nslookup域名，主要做兩個操作，一個是根據(jù)本地DNS服務(wù)器的IP地址獲得本地DNS服務(wù)器的名字，二是根據(jù)輸入查詢的域名查找該域名的IP地址。三、實(shí)驗(yàn)步驟1. 打開Wi

9、reshark，選擇工具欄上的“Capture”->“interfaces選擇網(wǎng)關(guān)”，截圖替換：2、然后在Wireshark，選擇工具欄上的“Capture”->“optoins”選擇過濾器，并在capture filter中輸入 udp port 53(表示要抓dns的包)，截圖替換3.打開命令提示符，鍵入CMD后，輸入nslookup . 截圖替換分析：1） 由此可知，本地域名服務(wù)器是：Cc-cache1-ibm2） Ip地址是：3） 別名：4） 的ip地址有 1 個分析抓到的DNS的包，截圖：第一幀是 發(fā)送給本地DNS服務(wù)器 的反向查詢?nèi)〉脠?bào)文，用于獲得本地DNS服務(wù)器的名字。截圖并分析：分析：問題的個數(shù)： 1回答RR個數(shù)：0 權(quán)威域名RR數(shù)：0 附加RR數(shù)： 0Type 為 ：A第