實(shí)習(xí)5DNS協(xié)議分析

DNS協(xié)議分析實(shí)習(xí)目的捕捉本機(jī)閱讀外部某一網(wǎng)站時(shí)的DNS、HTTP數(shù)據(jù)包，取DNS、HTTP典型數(shù)據(jù)包各一個(gè)，列出其應(yīng)用層、傳輸層、IP層、數(shù)據(jù)鏈路層上各層上數(shù)據(jù)包相應(yīng)參數(shù)，首部?jī)?nèi)容，并對(duì)感愛(ài)好的部份進(jìn)行深切分析。實(shí)習(xí)內(nèi)容DNS報(bào)文格式：卩 19 31標(biāo)煩標(biāo)占問(wèn)題離貴標(biāo)歸戟說(shuō)明一下：并非是所有DNS報(bào)文都有以上各個(gè)部份的。圖中標(biāo)示的“12字節(jié)”為DNS首部，這部份確信都會(huì)有，首手下面的是正文部份，其中查詢問(wèn)題部份也都會(huì)有。除此之外，回答、授權(quán)和額外信息部份是只出此刻DNS應(yīng)答報(bào)文中的，而這三部份又都采納資源記錄（RecourceRecord）的相同格式，那個(gè)稍后會(huì)提到。下面逐個(gè)字段地分析DNS報(bào)文。標(biāo)識(shí)（2字節(jié)）：那個(gè)字段網(wǎng)上的說(shuō)明有點(diǎn)不清楚：“由客戶程序設(shè)置并有效勞器返回結(jié)果?！笨戳讼聦?shí)驗(yàn)室的程序和文檔，原先那個(gè)字段能夠看做是DNS報(bào)文的ID，關(guān)于相關(guān)聯(lián)的請(qǐng)求報(bào)文和應(yīng)答報(bào)文，那個(gè)字段是相同的，由此能夠區(qū)分DNS應(yīng)答報(bào)文是哪個(gè)請(qǐng)求報(bào)文的響應(yīng)。QR（1比特）：查詢/響應(yīng)的標(biāo)志位，1為響應(yīng)，0為查詢。opcode（4比特）：概念查詢或響應(yīng)的類型（假設(shè)為0那么表示是標(biāo)準(zhǔn)的，假設(shè)為1那么是反向的，假設(shè)為2那么是效勞器狀態(tài)請(qǐng)求）。AA（1比特）：授權(quán)回答的標(biāo)志位。該位在響應(yīng)報(bào)文中有效，1表示名字效勞器是權(quán)限效勞器（關(guān)于權(quán)限效勞器以后再討論）TC（1比特）：截?cái)鄻?biāo)志位。1表示響應(yīng)已超過(guò)512字節(jié)并已被截?cái)啵ㄒ老》路鹩浀媚睦锾徇^(guò)那個(gè)截?cái)嗪蚒DP有關(guān)，先記著）RD（1比特）：該位為1表示客戶端希望取得遞歸回答（遞歸以后再討論）RA（1比特）：只能在響應(yīng)報(bào)文中置為1,表示能夠取得遞歸響應(yīng)。zero（3比特）：不說(shuō)也明白都是0了，保留字段。rcode（4比特）：返回碼，表示響應(yīng)的過(guò)失狀態(tài)，一樣為0和3,各取值含義如下：0 無(wú)過(guò)失格式過(guò)失問(wèn)題在域名效勞器上域參照問(wèn)題查詢類型不支持在治理上被禁止--15保留標(biāo)志段說(shuō)完了，下面是問(wèn)題數(shù)、資源記錄數(shù)、授權(quán)資源記錄數(shù)和額外資源記錄數(shù)，這四個(gè)字段都是兩字節(jié)，別離對(duì)應(yīng)下面的查詢問(wèn)題、回答、授權(quán)和額外信息部份的數(shù)量。一樣問(wèn)題數(shù)都為1，DNS查詢報(bào)文中，資源記錄數(shù)、授權(quán)資源記錄數(shù)和額外資源記錄數(shù)都為0.該說(shuō)正文部份了。查詢問(wèn)題部份格式如下：

查詢類型（2字節(jié)）：通常查詢類型為A（由名字取得IP地址）或PTR（取得IP地址對(duì)應(yīng)的域名），類型列表如下：助記符說(shuō)明類型1AIPv4地址。2NS名字服務(wù)器。5CNAME規(guī)范名稱。定義主機(jī)的正式名字的別名。6SOA開(kāi)始授權(quán)。標(biāo)記一個(gè)區(qū)的開(kāi)始。11WKS熟知服務(wù)。定義主機(jī)提供的網(wǎng)絡(luò)服務(wù)。12PTR指針。把IP地址轉(zhuǎn)化為域名。13HINFO主機(jī)信息。給出主機(jī)使用的硬件和操作系統(tǒng)的表述。15MX郵件交換。把郵件改變路由送到郵件服務(wù)器。28AAAAIPv6地址。252AXFR傳送整個(gè)區(qū)的請(qǐng)求。255ANY對(duì)所有記錄的請(qǐng)求。查詢類（2字節(jié)）：一樣為1，指Internet數(shù)據(jù)。前面說(shuō)過(guò)，回答字段,授權(quán)字段和附加信息字段均采納資源記錄RR（ResourceRecord）的相同格式。該格式如下:域名字段（不定長(zhǎng)或2字節(jié)）：記錄中資源數(shù)據(jù)對(duì)應(yīng)的名字，它的格式和查詢名字段格式相同。當(dāng)報(bào)文中域名重復(fù)顯現(xiàn)時(shí)，就需要利用2字節(jié)的偏移指針來(lái)替換。例如，在資源記錄中，域名一般是查詢問(wèn)題部份的域名的重復(fù)，就需要用指針指向查詢問(wèn)題部份的域名。關(guān)于指針怎么用，TCP/IP詳解里面有，即2字節(jié)的指針，最簽名的兩個(gè)高位是11，用于識(shí)別指針。其他14位從報(bào)文開(kāi)始處計(jì)數(shù)（從0開(kāi)始），指出該報(bào)文中的相應(yīng)字節(jié)數(shù)。注意，DNS報(bào)文的第一個(gè)字節(jié)是字節(jié)0,第二個(gè)報(bào)文是字節(jié)1。一樣響應(yīng)報(bào)文中，資源部份的域名都是指針C00C，恰好指向請(qǐng)求部份的域名。類型（2字節(jié)）、類（2字節(jié)）：含義與查詢問(wèn)題部份的類型和類相同。生存時(shí)刻（4字節(jié)）：該字段表示資源記錄的生命周期（以秒為單位），一樣用于本地址解析程序掏出資源記錄后決定保留及利用緩存數(shù)據(jù)的時(shí)刻。資源數(shù)據(jù)長(zhǎng)度（2字節(jié)）：表示資源數(shù)據(jù)的長(zhǎng)度（以字節(jié)為單位，若是資源數(shù)據(jù)為IP那么為0004）資源數(shù)據(jù)：該字段是可變長(zhǎng)字段，表示按查詢段要求返回的相關(guān)資源記錄的數(shù)據(jù)。大體上對(duì)DNS報(bào)文格式的分析確實(shí)是這些了。實(shí)習(xí)結(jié)果一、學(xué)會(huì)利用nslookup命令要在交互模式下啟動(dòng)，只需在命令提示符下輸入nslookup：C:\>nslookupDefaultServer:在命令提示符下輸入help或?將生成可用的命令列表。自己上網(wǎng)查找nslookup命令利用的信息。nslookup命令的功能是查詢一臺(tái)機(jī)械的IP地址和其對(duì)應(yīng)的域名。它通常需要一臺(tái)域名效勞器來(lái)提供域名效勞。若是用戶已經(jīng)設(shè)置好域名效勞器，就能夠夠用那個(gè)命令查看不同主機(jī)的IP地址對(duì)應(yīng)的域名。Nslookup必需要安裝了TCP/IP 協(xié)議的網(wǎng)絡(luò)環(huán)境以后才能利用。該命令的一樣格式為：nslookup[IP地址/域名]3、正向地址解析單擊“開(kāi)始”>“程序”>“附件”>“命令提示符”C:\>Nslookup “回車”以后即可看到如下結(jié)果：正在工作的DNS效勞器的主機(jī)名為，它的IP地址是，而域名所對(duì)應(yīng)的IP地址為，別名為，、反向地址解析它的反向解析是不是正常呢?也確實(shí)是說(shuō)，可否把IP地址反向解析為域名 NslookupK:XDocumentsand in lookup213Eeruer: caclie-aHddress: 202.96.12B.86name: ￡325913783.uehsiteliome.co.uknddress: 9得結(jié)果說(shuō)明，DNS效勞器的反向解析功能也正常。但是，有的時(shí)候，咱們鍵入Nslookup，卻顯現(xiàn)如下結(jié)果：Server:Address:***can'tfindNon-existentdomain這種情形說(shuō)明網(wǎng)絡(luò)中DNS效勞器在工作，卻不能實(shí)現(xiàn)域名的正確解析?，F(xiàn)在，要分析DNS效勞器的配置情形，看是不是這一條域名對(duì)應(yīng)的IP地址記錄已經(jīng)添加到了DNS的數(shù)據(jù)庫(kù)中。還有的時(shí)候，咱們鍵入Nslookup,會(huì)顯現(xiàn)如下結(jié)果***Can'tfindservernamefordomain:Noresponsefromserver***Can't :Non-existentdomain這時(shí)，說(shuō)明測(cè)試主機(jī)在目前的網(wǎng)絡(luò)中，全然沒(méi)有找到能夠利用的DNS效勞器?，F(xiàn)在，咱們要對(duì)整個(gè)網(wǎng)絡(luò)的連通性作全面的檢測(cè)，并檢查DNS效勞器是不是處于正常工作狀態(tài)，采納慢慢排錯(cuò)的方式，找出DNS效勞不能啟動(dòng)的本源。假假想查詢更多信息，咱們可將查詢模式設(shè)為any以后，再輸入一樣的主機(jī)名稱碰運(yùn)氣：C:/>nslookupsetq=any就能夠夠看到更多的數(shù)據(jù)了。假設(shè)利用“除錯(cuò)模式”的話，看到的資料還將更多！>setdebug另外，您還能夠用setq=mx或setq=ptr等模式來(lái)查詢特定的記錄，也能夠用ls后接domainname來(lái)查看某個(gè)domain的所有主機(jī)記錄。善用nslookup咱們能夠找到許多DNS的信息，而當(dāng)有問(wèn)題發(fā)生的時(shí)候，那個(gè)工具就變得超級(jí)有效了。五、分析DNS消息格式清空DNS高速緩存：“開(kāi)始”>“程序”>“附件”>“命令提示符”輸入命令行“ipconfig/flushdns”按“回車鍵”執(zhí)行命令。在Dos命令提示符中，執(zhí)行實(shí)驗(yàn)步驟3的正向解析命令nslookup,同時(shí)利用ethereal進(jìn)行捕捉，并分析捕捉到的DNS請(qǐng)求和響應(yīng)消息格式。觀看DNS是不是利用的是傳輸層UDP協(xié)議，效勞端口53。觀看DNS消息的發(fā)送主機(jī)IP地址和接收主機(jī)IP地址。請(qǐng)求消息內(nèi)容

M0.TimeSourceDesDnaliori^FQlDCfllInto5D.367Q2637ZQ2u56ulZ8-atiDN51135D.3B17D62D2.96.12S.a-537orussiandardqueryresp口仃三匕pth.cache-=i?quangzhou.1145D.3B4OB7172.lfi.57.137202.^.128.騎DN5Standardquerya*w,qnolE,com1155D.393754ZDZuSe.izSuas172ul6u57uia7DNSSxandardquervresponseA .7D.39SFraitie112CB6bytasonwire,E6bytescapruredj￡Ethernetll4即匚：EliTegro.clrszzeitoo：l^:2a:cl:37:&O.dst:0口；1就匚日汕4；3chaLCoo：19：ce：w：3d：EL?i±InternetProrocal^Src：B7(172^16^57^1373,Dst：202u56ulZ8-36(202-96.125.36)國(guó)UserDatagraitiPratacDleSrcPorts125DClZ5DjeDstPortsdottiain(53)-DemalnMattieSyszernCquery)TransactIanIDsQxOOOltFlagssCxOlDOCstandardquery!a □i=Response]Messageisaquery.ODOD = Dpcodfi!zraridardqdfir*yfD) 0 = iruncared!message1snoi：rrun匚niRd 1 = Recursiondesired:口口quer^feuurslvely D = z:r'eserved(0) 0 ....=ruon-aurhenr1careddatadk^Non-aiKhenTlcareddataIsdnaccepTablcquesrIons1Answerrre:0Aurhorlry尺禮e: 0Addlrlonalrrs:086.12B. 202-I86.12B. 202-I:ryp^ftr?classimName:86.12B.9&.202.1n~Type!fir(Domainnamepo1nxer)匚IN(DicODOl)TransactionID:消息編號(hào)，作為確認(rèn)依據(jù)；Flags:標(biāo)志位Response:消息是請(qǐng)求消息=0Opcode:消息類型：=0標(biāo)準(zhǔn)查詢，=1IQUERY反向查詢，=2效勞器狀態(tài)查詢,Truncated:截?cái)?，若是UDP包超過(guò)512字節(jié)將被截流。Recursion:=1請(qǐng)求遞歸查詢Z：Reserved(=0)保留沒(méi)用Non-authentlacteddataok：非鑒定數(shù)據(jù)不可同意Questions:有一個(gè)查詢信息Queries：查詢消息內(nèi)容反向查詢的域名.■HTrarne113fl23byresonw1reH123byrescapruredj.■hEThernerilh5rcsQD：i9：c6：a4：3d：aitQD]ie：c6：Q4：3d：ai5,dst:EliTegro.cliaFi&JCou:14：2a:cl：37：&OHInternexPrOTDCC-l,Srci2DZ.96.123u56(202.9-5-12E.a&XDStE17Zul6b57blB7(37).■HUserDaragramPrcrcocalSrcPortedwiain〔5刃*DsrPari：：1250fl25Q)TransacrionID；oxwoai日匚lags;0x6130(St^ndar'dcfjeryresponse：.Noerror)1,???“?“?■Response;Me^sa^ aresponseMOD也 r?..■Opcode:Stanek「臼query0、….B0.B….■AuthDritatTve;^rveri5notanauthority尸口「domain….…乩….■Truncated:Messaqeisnottruncated….…1….??..■P.ecursiondesir^;Doqueryrecursivelym,???“?? 1，■-■n.ecursioni^ailable:Servercandorecursivequeries 0..__..?z:reservedCD> 0.__..=Anskieraurhenrlcaxfid:nnEkier/auihorIryporr1on**ashotaurhenrScaredbyTheserverODOO=Replycode!：ruoerror(O)quesTioris:1AnsMrrrs:1quesTioris:1AnsMrrrs:1AurhorlTyrre:0Addlxlanalrrs:DBQueries曰E&ulZSu2Q2uin-addrBarpagtypePTR,classINName:B6.12比96.202-1Type:PTR(Demalnnamepa1nrcer^iClassINCOxDOClj曰AnswersRiS-lFS,g<5-2Ci3mFc—adEr""孔『艮彳弋typ￡P(guān)TIliq13：ss;工匚召匚人皀一彳亠guang^hciLi,grt?znName;B6.128- 202.Type;PTRCDomainnamepoirrter^Class;INWkD<i01；iTimetolive:15hoursii4minutes121secondsData1ength;25Domainname;cache-a.guangzhou?TransactionID:消息編號(hào)，作為確認(rèn)依據(jù)二查詢消息編號(hào)；Flags:標(biāo)志位Response:消息是響應(yīng)消息=1Opcode:消息類型：=0標(biāo)準(zhǔn)查詢，=1IQUERY反向查詢，=2效勞器狀態(tài)查

詢,Authoritative：效勞器是被該域授權(quán)的Truncated:截?cái)啵羰荱DP包超過(guò)512字節(jié)將被截流。Recursiondesired：=1請(qǐng)求遞歸查詢Recursionavailable：=1效勞器執(zhí)行遞歸查詢Z：Reserved（=0）保留沒(méi)用Answerauthentlacted:表示不是授權(quán)回答Replycode：名字無(wú)錯(cuò)誤Questions:有一個(gè)查詢信息Answer:有一個(gè)響應(yīng)消息Queries：查詢消息內(nèi)容反向查詢的域名Answers：響應(yīng)消息內(nèi)容查±Frame114.(T3byreton4/1re,73byrescapTLir'fid)±Exherneiir,src:e11reqro_cl!±Frame114.(T3byreton4/1re,73byrescapTLir'fid)±Exherneiir,src:e11reqro_cl!37:e4 :2a:cl:37!：￡4),osr;DO:19 i3d;81 i3d;Sl)±inxerneTproracol,src;172.IS.57.1S7(37),osr202.G-6.12S.3S(23.66)IUserDatagramProtncnl3SrcPort:12