協(xié)議分析(第12講)

1、TCP/IP協(xié)議分析（第十二講）主講：1第九章 DNS協(xié)議分析29.1 DNS協(xié)議概述域名系統(tǒng)（DNS）是一種用于TCP/IP應(yīng)用程序的分布式數(shù)據(jù)庫，它提供主機(jī)名字和IP地址之間的轉(zhuǎn)換及有關(guān)電子郵件的選路信息。RFC 1034 Mockapetris 1987a 說明了DNS的概念和功能，RFC 1035 Mockapetris 1987b詳細(xì)說明了DNS 的規(guī)范和實(shí)現(xiàn)。與其相關(guān)的還有RFC 1921和RFC 2136。1、DNS域名結(jié)構(gòu)因特網(wǎng)采用了層次樹狀結(jié)構(gòu)的命名方法。任何一個連接在因特網(wǎng)上的主機(jī)或路由器，都有一個唯一的層次結(jié)構(gòu)的名字，即域名。域名的結(jié)構(gòu)由標(biāo)號序列組成，各標(biāo)號之間用點(diǎn)隔開：

2、 . 三級域名 . 二級域名 . 頂級域名各標(biāo)號分別代表不同級別的域名。 2、域名的解析過程 主機(jī)向本地域名服務(wù)器的查詢一般都是采用遞歸查詢。如果主機(jī)所詢問的本地域名服務(wù)器不知道被查詢域名的 IP 地址，那么本地域名服務(wù)器就以 DNS 客戶的身份，向其他根域名服務(wù)器繼續(xù)發(fā)出查詢請求報文。本地域名服務(wù)器向根域名服務(wù)器的查詢通常是采用迭代查詢。當(dāng)根域名服務(wù)器收到本地域名服務(wù)器的迭代查詢請求報文時，要么給出所要查詢的 IP 地址，要么告訴本地域名服務(wù)器：“你下一步應(yīng)當(dāng)向哪一個域名服務(wù)器進(jìn)行查詢”。然后讓本地域名服務(wù)器進(jìn)行后續(xù)的查詢。本地域名服務(wù)器采用迭代查詢 頂級域名服務(wù)器權(quán)限域名服務(wù)本地域名服務(wù)器

3、根域名服務(wù)器迭代查詢 的 IP 地址 遞歸查詢需要查找 的 IP 地址本地域名服務(wù)器采用遞歸查詢（比較少用） 頂級域名服務(wù)器權(quán)限域名服務(wù)本地域名服務(wù)器 根域名服務(wù)器遞歸查詢遞歸查詢 的 IP 地址 需要查找 的 IP 地址9.2 DNS報文結(jié)構(gòu)9標(biāo)識字段由客戶程序設(shè)置并由服務(wù)器返回結(jié)果?？蛻舫绦蛲ㄟ^它來確定響應(yīng)與查詢是否匹配。1016 bit的標(biāo)志字段被劃分為若干子字段。11 QR 是1 bit字段：0表示查詢報文，1表示響應(yīng)報文。 opcode是一個4 bit字段：通常值為0（標(biāo)準(zhǔn)查詢），其他值為1（反向查詢）和2（服務(wù)器狀態(tài)請求）。 AA是1 bit標(biāo)志，表示“授權(quán)回答(authorita

4、tive answer)”。該名字服務(wù)器是授權(quán)于該域的。 TC是1 bit字段，表示“可截?cái)嗟? t r u n c a t e d )”。使用U D P時，它表示當(dāng)應(yīng)答的總長度超過5 1 2字節(jié)時，只返回前5 1 2個字節(jié)。 RD是1 bit字段表示“期望遞歸（ recursion desired）”。該比特能在一個查詢中設(shè)置，并在響應(yīng)中返回。這個標(biāo)志告訴名字服務(wù)器必須處理這個查詢，也稱為一個遞歸查詢。如果該位為0，且被請求的名字服務(wù)器沒有一個授權(quán)回答，它就返回一個能解答該查詢的其他名字服務(wù)器列表，這稱為迭代查詢。 RA是1 bit字段，表示“可用遞歸”。如果名字服務(wù)器支持遞歸查詢，則在響應(yīng)

5、中將該比特設(shè)置為1。在后面的例子中可看到大多數(shù)名字服務(wù)器都提供遞歸查詢，除了某些根服務(wù)器。12 隨后的3 bit字段必須為0。 rcode是一個4 bit的返回碼字段。通常的值為0（沒有差錯）和3（名字差錯）。名字差錯只有從一個授權(quán)名字服務(wù)器上返回，它表示在查詢中制定的域名不存在。13隨后的4個16 bit 字段說明最后4個變長字段中包含的條目數(shù)。對于查詢報文，問題(question)數(shù)通常是1，而其他3項(xiàng)則均為0。類似地，對于應(yīng)答報文，回答數(shù)至少是1，剩下的兩項(xiàng)可以是0或非0。149.2.1 DNS查詢報文中的問題部分查詢名是要查找的名字，它是一個或多個標(biāo)識符的序列。每個標(biāo)識符以首字節(jié)的計(jì)數(shù)

6、值來說明隨后標(biāo)識符的字節(jié)長度，每個名字以最后字節(jié)為0結(jié)束，長度為0的標(biāo)識符是根標(biāo)識符。計(jì)數(shù)字節(jié)的值必須是063的數(shù)，因?yàn)闃?biāo)識符的最大長度僅為63。9.2.1 DNS查詢報文中的問題部分每個問題有一個查詢類型，而每個響應(yīng)（也稱一個資源記錄）也有一個類型。9.2.1 DNS查詢報文中的問題部分查詢類：通常值為1，表示是互聯(lián)網(wǎng)的地址，也就是IP協(xié)議族的地址。9.2.2 DNS響應(yīng)報文中的資源記錄部分域名是記錄中資源數(shù)據(jù)對應(yīng)的名字。它的格式和前面介紹的查詢名字段格式相同。9.2.2 DNS響應(yīng)報文中的資源記錄部分類型：類型說明RR的類型碼，類通常為1，指Internet數(shù)據(jù)。9.2.2 DNS響應(yīng)報文

7、中的資源記錄部分生存時間字段是客戶程序保留該資源記錄的秒數(shù)。資源記錄通常的生存時間值為2天。9.2.2 DNS響應(yīng)報文中的資源記錄部分資源數(shù)據(jù)長度說明資源數(shù)據(jù)的數(shù)量。該數(shù)據(jù)的格式依賴于類型字段的值。對于類型1（A記錄）資源數(shù)據(jù)是4字節(jié)的IP地址。9.2.2 DNS響應(yīng)報文中的資源記錄部分資源數(shù)據(jù)：服務(wù)器端返回給客戶端的記錄數(shù)據(jù)。9.3 DNS查詢舉例9.4 DNS用UDP還是用TCP注意到DNS名字服務(wù)器使用的熟知端口號無論對UDP還是TCP都是53。這意味著DNS均支持UDP和TCP訪問，但使用tcpdump觀察的所有例子都是采用UDP。那么這兩種協(xié)議都在什么情況下采用以及采用的理由都是什么

8、呢？1、DNS使用TCP傳輸?shù)那闆r一當(dāng)名字解析器發(fā)出一個查詢請求，并且返回響應(yīng)中的TC（刪減標(biāo)志）比特被設(shè)置為1時，它就意味著響應(yīng)的長度超過了512個字節(jié)，而僅返回前512個字節(jié)。在遇到這種情況時，名字解析器通常使用TCP重發(fā)原來的查詢請求，它將允許返回的響應(yīng)超過512個字節(jié)。既然T C P能將用戶的數(shù)據(jù)流分為一些報文段，它就能用多個報文段來傳送任意長度的用戶數(shù)據(jù)。2、DNS使用TCP傳輸?shù)那闆r二此外，當(dāng)一個域的輔助名字服務(wù)器在啟動時，將從該域的主名字服務(wù)器執(zhí)行區(qū)域傳送。我們也說過輔助服務(wù)器將定時（通常是3小時）向主服務(wù)器進(jìn)行查詢以便了解主服務(wù)器數(shù)據(jù)是否發(fā)生變動。如果有變動，將執(zhí)行一次區(qū)域傳送。區(qū)域傳送將使用TCP，因?yàn)檫@里傳送的數(shù)據(jù)遠(yuǎn)比一個查詢或響應(yīng)多得多。9.5 DNS高速緩存每個域名服務(wù)器都維護(hù)一個高速緩存，存放最近用過的名字以及從何處獲得名字映射信息的記錄?？纱蟠鬁p輕根域名服務(wù)器的負(fù)荷，使因特網(wǎng)上的 DNS 查詢請求和回答報文的數(shù)量