實(shí)習(xí)5DNS協(xié)議分析

DNS協(xié)議分析實(shí)習(xí)目的捕捉本機(jī)閱讀外部某一網(wǎng)站時的DNS、HTTP數(shù)據(jù)包，取DNS、HTTP典型數(shù)據(jù)包各一個，列出其應(yīng)用層、傳輸層、IP層、數(shù)據(jù)鏈路層上各層上數(shù)據(jù)包相應(yīng)參數(shù)，首部內(nèi)容，并對感愛好的部份進(jìn)行深切分析。實(shí)習(xí)內(nèi)容DNS報文格式：卩 19 31標(biāo)煩標(biāo)占問題離貴標(biāo)歸戟說明一下：并非是所有DNS報文都有以上各個部份的。圖中標(biāo)示的“12字節(jié)”為DNS首部，這部份確信都會有，首手下面的是正文部份，其中查詢問題部份也都會有。除此之外，回答、授權(quán)和額外信息部份是只出此刻DNS應(yīng)答報文中的，而這三部份又都采納資源記錄（RecourceRecord）的相同格式，那個稍后會提到。下面逐個字段地分析DNS報文。標(biāo)識（2字節(jié)）：那個字段網(wǎng)上的說明有點(diǎn)不清楚：“由客戶程序設(shè)置并有效勞器返回結(jié)果?！笨戳讼聦?shí)驗(yàn)室的程序和文檔，原先那個字段能夠看做是DNS報文的ID，關(guān)于相關(guān)聯(lián)的請求報文和應(yīng)答報文，那個字段是相同的，由此能夠區(qū)分DNS應(yīng)答報文是哪個請求報文的響應(yīng)。QR（1比特）：查詢/響應(yīng)的標(biāo)志位，1為響應(yīng)，0為查詢。opcode（4比特）：概念查詢或響應(yīng)的類型（假設(shè)為0那么表示是標(biāo)準(zhǔn)的，假設(shè)為1那么是反向的，假設(shè)為2那么是效勞器狀態(tài)請求）。AA（1比特）：授權(quán)回答的標(biāo)志位。該位在響應(yīng)報文中有效，1表示名字效勞器是權(quán)限效勞器（關(guān)于權(quán)限效勞器以后再討論）TC（1比特）：截斷標(biāo)志位。1表示響應(yīng)已超過512字節(jié)并已被截斷（依稀仿佛記得哪里提過那個截斷和UDP有關(guān)，先記著）RD（1比特）：該位為1表示客戶端希望取得遞歸回答（遞歸以后再討論）RA（1比特）：只能在響應(yīng)報文中置為1,表示能夠取得遞歸響應(yīng)。zero（3比特）：不說也明白都是0了，保留字段。rcode（4比特）：返回碼，表示響應(yīng)的過失狀態(tài)，一樣為0和3,各取值含義如下：0 無過失格式過失問題在域名效勞器上域參照問題查詢類型不支持在治理上被禁止--15保留標(biāo)志段說完了，下面是問題數(shù)、資源記錄數(shù)、授權(quán)資源記錄數(shù)和額外資源記錄數(shù)，這四個字段都是兩字節(jié)，別離對應(yīng)下面的查詢問題、回答、授權(quán)和額外信息部份的數(shù)量。一樣問題數(shù)都為1，DNS查詢報文中，資源記錄數(shù)、授權(quán)資源記錄數(shù)和額外資源記錄數(shù)都為0.該說正文部份了。查詢問題部份格式如下：

查詢類型（2字節(jié)）：通常查詢類型為A（由名字取得IP地址）或PTR（取得IP地址對應(yīng)的域名），類型列表如下：助記符說明類型1AIPv4地址。2NS名字服務(wù)器。5CNAME規(guī)范名稱。定義主機(jī)的正式名字的別名。6SOA開始授權(quán)。標(biāo)記一個區(qū)的開始。11WKS熟知服務(wù)。定義主機(jī)提供的網(wǎng)絡(luò)服務(wù)。12PTR指針。把IP地址轉(zhuǎn)化為域名。13HINFO主機(jī)信息。給出主機(jī)使用的硬件和操作系統(tǒng)的表述。15MX郵件交換。把郵件改變路由送到郵件服務(wù)器。28AAAAIPv6地址。252AXFR傳送整個區(qū)的請求。255ANY對所有記錄的請求。查詢類（2字節(jié)）：一樣為1，指Internet數(shù)據(jù)。前面說過，回答字段,授權(quán)字段和附加信息字段均采納資源記錄RR（ResourceRecord）的相同格式。該格式如下:域名字段（不定長或2字節(jié)）：記錄中資源數(shù)據(jù)對應(yīng)的名字，它的格式和查詢名字段格式相同。當(dāng)報文中域名重復(fù)顯現(xiàn)時，就需要利用2字節(jié)的偏移指針來替換。例如，在資源記錄中，域名一般是查詢問題部份的域名的重復(fù)，就需要用指針指向查詢問題部份的域名。關(guān)于指針怎么用，TCP/IP詳解里面有，即2字節(jié)的指針，最簽名的兩個高位是11，用于識別指針。其他14位從報文開始處計數(shù)（從0開始），指出該報文中的相應(yīng)字節(jié)數(shù)。注意，DNS報文的第一個字節(jié)是字節(jié)0,第二個報文是字節(jié)1。一樣響應(yīng)報文中，資源部份的域名都是指針C00C，恰好指向請求部份的域名。類型（2字節(jié)）、類（2字節(jié)）：含義與查詢問題部份的類型和類相同。生存時刻（4字節(jié)）：該字段表示資源記錄的生命周期（以秒為單位），一樣用于本地址解析程序掏出資源記錄后決定保留及利用緩存數(shù)據(jù)的時刻。資源數(shù)據(jù)長度（2字節(jié)）：表示資源數(shù)據(jù)的長度（以字節(jié)為單位，若是資源數(shù)據(jù)為IP那么為0004）資源數(shù)據(jù)：該字段是可變長字段，表示按查詢段要求返回的相關(guān)資源記錄的數(shù)據(jù)。大體上對DNS報文格式的分析確實(shí)是這些了。實(shí)習(xí)結(jié)果一、學(xué)會利用nslookup命令要在交互模式下啟動，只需在命令提示符下輸入nslookup：C:\>nslookupDefaultServer:在命令提示符下輸入help或?將生成可用的命令列表。自己上網(wǎng)查找nslookup命令利用的信息。nslookup命令的功能是查詢一臺機(jī)械的IP地址和其對應(yīng)的域名。它通常需要一臺域名效勞器來提供域名效勞。若是用戶已經(jīng)設(shè)置好域名效勞器，就能夠夠用那個命令查看不同主機(jī)的IP地址對應(yīng)的域名。Nslookup必需要安裝了TCP/IP 協(xié)議的網(wǎng)絡(luò)環(huán)境以后才能利用。該命令的一樣格式為：nslookup[IP地址/域名]3、正向地址解析單擊“開始”>“程序”>“附件”>“命令提示符”C:\>Nslookup “回車”以后即可看到如下結(jié)果：正在工作的DNS效勞器的主機(jī)名為，它的IP地址是，而域名所對應(yīng)的IP地址為，別名為，、反向地址解析它的反向解析是不是正常呢?也確實(shí)是說，可否把IP地址反向解析為域名 NslookupK:XDocumentsand in lookup213Eeruer: caclie-aHddress: 202.96.12B.86name: ￡325913783.uehsiteliome.co.uknddress: 9得結(jié)果說明，DNS效勞器的反向解析功能也正常。但是，有的時候，咱們鍵入Nslookup，卻顯現(xiàn)如下結(jié)果：Server:Address:***can'tfindNon-existentdomain這種情形說明網(wǎng)絡(luò)中DNS效勞器在工作，卻不能實(shí)現(xiàn)域名的正確解析?，F(xiàn)在，要分析DNS效勞器的配置情形，看是不是這一條域名對應(yīng)的IP地址記錄已經(jīng)添加到了DNS的數(shù)據(jù)庫中。還有的時候，咱們鍵入Nslookup,會顯現(xiàn)如下結(jié)果***Can'tfindservernamefordomain:Noresponsefromserver***Can't :Non-existentdomain這時，說明測試主機(jī)在目前的網(wǎng)絡(luò)中，全然沒有找到能夠利用的DNS效勞器?，F(xiàn)在，咱們要對整個網(wǎng)絡(luò)的連通性作全面的檢測，并檢查DNS效勞器是不是處于正常工作狀態(tài)，采納慢慢排錯的方式，找出DNS效勞不能啟動的本源。假假想查詢更多信息，咱們可將查詢模式設(shè)為any以后，再輸入一樣的主機(jī)名稱碰運(yùn)氣：C:/>nslookupsetq=any就能夠夠看到更多的數(shù)據(jù)了。假設(shè)利用“除錯模式”的話，看到的資料還將更多！>setdebug另外，您還能夠用setq=mx或setq=ptr等模式來查詢特定的記錄，也能夠用ls后接domainname來查看某個domain的所有主機(jī)記錄。善用nslookup咱們能夠找到許多DNS的信息，而當(dāng)有問題發(fā)生的時候，那個工具就變得超級有效了。五、分析DNS消息格式清空DNS高速緩存：“開始”>“程序”>“附件”>“命令提示符”輸入命令行“ipconfig/flushdns”按“回車鍵”執(zhí)行命令。在Dos命令提示符中，執(zhí)行實(shí)驗(yàn)步驟3的正向解析命令nslookup,同時利用ethereal進(jìn)行捕捉，并分析捕捉到的DNS請求和響應(yīng)消息格式。觀看DNS是不是利用的是傳輸層UDP協(xié)議，效勞端口53。觀看DNS消息的發(fā)送主機(jī)IP地址和接收主機(jī)IP地址。請求消息內(nèi)容

M0.TimeSourceDesDnaliori^FQlDCfllInto5D.367Q2637ZQ2u56ulZ8-atiDN51135D.3B17D62D2.96.12S.a-537orussiandardqueryresp口仃三匕pth.cache-=i?quangzhou.1145D.3B4OB7172.lfi.57.137202.^.128.騎DN5Standardquerya*w,qnolE,com1155D.393754ZDZuSe.izSuas172ul6u57uia7DNSSxandardquervresponseA .7D.39SFraitie112CB6bytasonwire,E6bytescapruredj￡Ethernetll4即匚：EliTegro.clrszzeitoo：l^:2a:cl:37:&O.dst:0口；1就匚日汕4；3chaLCoo：19：ce：w：3d：EL?i±InternetProrocal^Src：B7(172^16^57^1373,Dst：202u56ulZ8-36(202-96.125.36)國UserDatagraitiPratacDleSrcPorts125DClZ5DjeDstPortsdottiain(53)-DemalnMattieSyszernCquery)TransactIanIDsQxOOOltFlagssCxOlDOCstandardquery!a □i=Response]Messageisaquery.ODOD = Dpcodfi!zraridardqdfir*yfD) 0 = iruncared!message1snoi：rrun匚niRd 1 = Recursiondesired:口口quer^feuurslvely D = z:r'eserved(0) 0 ....=ruon-aurhenr1careddatadk^Non-aiKhenTlcareddataIsdnaccepTablcquesrIons1Answerrre:0Aurhorlry尺禮e: 0Addlrlonalrrs:086.12B. 202-I86.12B. 202-I:ryp^ftr?classimName:86.12B.9&.202.1n~Type!fir(Domainnamepo1nxer)匚IN(DicODOl)TransactionID:消息編號，作為確認(rèn)依據(jù)；Flags:標(biāo)志位Response:消息是請求消息=0Opcode:消息類型：=0標(biāo)準(zhǔn)查詢，=1IQUERY反向查詢，=2效勞器狀態(tài)查詢,Truncated:截斷，若是UDP包超過512字節(jié)將被截流。Recursion:=1請求遞歸查詢Z：Reserved(=0)保留沒用Non-authentlacteddataok：非鑒定數(shù)據(jù)不可同意Questions:有一個查詢信息Queries：查詢消息內(nèi)容反向查詢的域名.■HTrarne113fl23byresonw1reH123byrescapruredj.■hEThernerilh5rcsQD：i9：c6：a4：3d：aitQD]ie：c6：Q4：3d：ai5,dst:EliTegro.cliaFi&JCou:14：2a:cl：37：&OHInternexPrOTDCC-l,Srci2DZ.96.123u56(202.9-5-12E.a&XDStE17Zul6b57blB7(37).■HUserDaragramPrcrcocalSrcPortedwiain〔5刃*DsrPari：：1250fl25Q)TransacrionID；oxwoai日匚lags;0x6130(St^ndar'dcfjeryresponse：.Noerror)1,???“?“?■Response;Me^sa^ aresponseMOD也 r?..■Opcode:Stanek「臼query0、….B0.B….■AuthDritatTve;^rveri5notanauthority尸口「domain….…乩….■Truncated:Messaqeisnottruncated….…1….??..■P.ecursiondesir^;Doqueryrecursivelym,???“?? 1，■-■n.ecursioni^ailable:Servercandorecursivequeries 0..__..?z:reservedCD> 0.__..=Anskieraurhenrlcaxfid:nnEkier/auihorIryporr1on**ashotaurhenrScaredbyTheserverODOO=Replycode!：ruoerror(O)quesTioris:1AnsMrrrs:1quesTioris:1AnsMrrrs:1AurhorlTyrre:0Addlxlanalrrs:DBQueries曰E&ulZSu2Q2uin-addrBarpagtypePTR,classINName:B6.12比96.202-1Type:PTR(Demalnnamepa1nrcer^iClassINCOxDOClj曰AnswersRiS-lFS,g<5-2Ci3mFc—adEr""孔『艮彳弋typ￡P(guān)TIliq13：ss;工匚召匚人皀一彳亠guang^hciLi,grt?znName;B6.128- 202.Type;PTRCDomainnamepoirrter^Class;INWkD<i01；iTimetolive:15hoursii4minutes121secondsData1ength;25Domainname;cache-a.guangzhou?TransactionID:消息編號，作為確認(rèn)依據(jù)二查詢消息編號；Flags:標(biāo)志位Response:消息是響應(yīng)消息=1Opcode:消息類型：=0標(biāo)準(zhǔn)查詢，=1IQUERY反向查詢，=2效勞器狀態(tài)查

詢,Authoritative：效勞器是被該域授權(quán)的Truncated:截斷，若是UDP包超過512字節(jié)將被截流。Recursiondesired：=1請求遞歸查詢Recursionavailable：=1效勞器執(zhí)行遞歸查詢Z：Reserved（=0）保留沒用Answerauthentlacted:表示不是授權(quán)回答Replycode：名字無錯誤Questions:有一個查詢信息Answer:有一個響應(yīng)消息Queries：查詢消息內(nèi)容反向查詢的域名Answers：響應(yīng)消息內(nèi)容查±Frame114.(T3byreton4/1re,73byrescapTLir'fid)±Exherneiir,src:e11reqro_cl!±Frame114.(T3byreton4/1re,73byrescapTLir'fid)±Exherneiir,src:e11reqro_cl!37:e4 :2a:cl:37!：￡4),osr;DO:19 i3d;81 i3d;Sl)±inxerneTproracol,src;172.IS.57.1S7(37),osr202.G-6.12S.3S(23.66)IUserDatagramProtncnl3SrcPort:12