DNS抓包分析詳細教程

1、.對 DNS 域名系統(tǒng)的抓包分析;.目錄一、實驗目的3二、相關原理32.1 DNS 的定義32.2 DNS 的構成32.3 DNS 的查詢32.4 DNS 的報文格式4三、結(jié)合具體抓包實例進行的分析53.1 協(xié)議數(shù)據(jù)包窗口53.2 協(xié)議樹窗口53.3 物理層節(jié)點63.4 數(shù)據(jù)鏈路層節(jié)點73.5 IP節(jié)點73.6 UDP 節(jié)點83.7DNS節(jié)點93.7.1DNS 請求報文93.7.2DNS 應答報文10四、體會與小結(jié)11;.一、實驗目的通過網(wǎng)絡抓包試驗，深刻理解 TCP/IP 協(xié)議簇中 DNS域名系統(tǒng)的使用方式與報文具體格式與含義，加強對 DNS的理解與應用。二、相關原理2.1 DNS 的定義D

2、NS 是域名系統(tǒng) (Domain NameSystem) 的縮寫，它是由解析器和域名服務器組成的。域名服務器是指保存有該網(wǎng)絡中所有主機的域名和對應IP 地址，并具有將域名轉(zhuǎn)換為IP 地址功能的服務器。其中域名必須對應一個IP 地址，而IP 地址不一定有域名。域名系統(tǒng)采用類似目錄樹的等級結(jié)構。域名服務器為客戶機 / 服務器模式中的服務器方，它主要有兩種形式：主服務器和轉(zhuǎn)發(fā)服務器。將域名映射為 IP 地址的過程就稱為 “域名解析”。在 Internet 上域名與 IP 地址之間是一對一（或者多對一）的，域名雖然便于人們記憶，但機器之間只能互相認識 IP 地址，它們之間的轉(zhuǎn)換工作稱為域名解析，域名解

3、析需要由專門的域名解析服務器來完成， DNS就是進行域名解析的服務器。 DNS 命名用于 Internet等 TCP/IP 網(wǎng)絡中，通過用戶友好的名稱查找計算機和服務。 當用戶在應用程序中輸入 DNS 名稱時，DNS 服務可以將此名稱解析為與之相關的其他信息， 如 IP 地址。因為，你在上網(wǎng)時輸入的網(wǎng)址， 是通過域名解析系統(tǒng)解析找到了相對應的IP 地址，這樣才能上網(wǎng)。其實，域名的最終指向是IP 。2.2 DNS 的構成在 IPV4 中 IP 是由 32 位二進制數(shù)組成的，將這32 位二進制數(shù)分成4 組每組 8個二進制數(shù) ，將這 8 個二進制數(shù)轉(zhuǎn)化成 十進制數(shù) ，就是我們看到的IP 地址，其范圍

4、是在 0255 之間。因為，8 個二進制數(shù)轉(zhuǎn)化為十進制數(shù)的最大范圍就是0255。現(xiàn)在已開始試運行、將來必將代替 IPv4 的 IPV6 中，將以 128 位二進制數(shù)表示一個 IP 地址。2.3 DNS 的查詢DNS查詢可以有兩種解釋， 一種是指客戶端查詢指定 DNS服務器上的資源記錄（如 A 記錄），另一種是指查詢 FQDN名的解析過程。一、查詢 DNS服務器上的資源記錄您可以在 Windows 平臺下，使用命令行工具，輸入 nslookup ，返回的結(jié)果包括域名對應的 IP 地址（ A 記錄）、別名（ CNAME記錄）等。除了以上方法外，;.還可以通過一些DNS查詢站點如國外的國內(nèi)的查詢域名

5、的 DNS信息。二、 FQDN名的解析過程查詢?nèi)粝敫櫼粋€ FQDN名的解析過程，在 Linux Shell 下輸入 dig www+trace ，返回的結(jié)果包括從跟域開始的遞歸或迭代過程，一直到權威域名服務器。2.4 DNS 的報文格式DNS 報文的首部：01631標識標志問題記錄數(shù)回答記錄數(shù)首部授權記錄數(shù)附加信息記錄數(shù)問題部分回答部分授權部分附加信息圖 2-2 DNS 報文格式1411111114QROpCodeAATCRDRA000rCode圖 2-3DNS 報文標志字段的格式DNS 報文首部的后面是可變部分，包括四個小部分。問題部分由一組問題記錄組成。01631詢問名詢問類型詢問類圖

6、2-4DNS 報文問題記錄格式DNS報文的其余三個部分是回答部分、授權部分和附加信息部分，附加信息包含回答部分和授權部分返回的資源所要求的附加信息 （如 IP 地址）。這三部分均由一組資源記錄組成，而且僅在應答報文中出現(xiàn)。一條資源記錄描述一個域名。;.01631域名類型類生存時間資源數(shù)據(jù)長度資源數(shù)據(jù)圖 2-5 DNS 資源記錄格式三、結(jié)合具體抓包實例進行的分析3.1 協(xié)議數(shù)據(jù)包窗口從包到達的時間，順序以及源和目的 IP 地址可知，這是一對 DNS請求與應答報文。下圖為 1 號包與 2 號包中 DNS段的報文分析注釋，由此可證明，包 1 為 DNS 請求報文，包 2 為包 1 的應答報文，請求與

7、應答報文的到達間隔時間為 0.000349s ，它們的標識字段都為 0x001，用于相互匹配。因為 DNS請求報文的目的是請求 DNSServer的 IP 地址，故包 1 的源 IP 地址為本機 IP ，目的 IP 地址為 DNS服務器的 IP ，包 2 與包 1 相反。3.2 協(xié)議樹窗口DNS請求報文：;.DNS應答報文：可以看出， DNS請求報文與應答報文鏈路層的 MAC地址相反，請求報文中的源物理地址為本機的物理地址，這與 IP 地址相對應。此外， DNS請求報文與應答報文傳輸層中 UDP的源端口與目的端口相反， 其中請求報文 UDP的源端口為客戶機動態(tài)申請的本地端口，目的端口為 DNS

8、所固有的 53 號周知端口。這兩點都體現(xiàn)了 DNS請求報文與應答報文間的請求 - 應答關系。DNS請求報文與應答報文協(xié)議樹窗口顯示的協(xié)議層次與網(wǎng)絡協(xié)議的層次對應相同，如下表：樹節(jié)點名稱對應的協(xié)議層次說明Frame物理層Ethernet II數(shù)據(jù)鏈路層以太網(wǎng)協(xié)議Internet Protocol網(wǎng)絡層IP 協(xié)議User Datagram Protocol傳輸層UDP 協(xié)議Domain Name System應用層DNS 域名系統(tǒng)3.3 物理層節(jié)點DNS請求報文：DNS應答報文：以上兩張圖分別給出了 DNS請求報文與應答報文的時間參數(shù)、 包號、長度與協(xié)議層次，在此不一一細說。但是，我們可以很清楚的

9、看出， DNS請求報文的長度為 72 字節(jié)，而應答報文的長度為 123 字節(jié)，比請求報文長得多。 這是由于在 DNS;.應答報文中， 具有請求報文所沒有的回答部分、 授權部分與附加部分， 在下面的應答報文分析中會具體說明。3.4 數(shù)據(jù)鏈路層節(jié)點DNS請求報文：DNS應答報文：由上圖可以更明顯的看出， DNS請求與應答報文的源與目的 MAC地址的相反現(xiàn)象。此外，DNS請求與應答報文以太網(wǎng)協(xié)議中的類型均為 IP ，即在 DNS協(xié)議層次中網(wǎng)絡層協(xié)議為 IP ，這體現(xiàn)了 DNS作為 TCP/IP 協(xié)議簇中協(xié)議的特點。3.5 IP節(jié)點DNS請求報文：DNS應答報文：;.DNS請求與應答報文IP 層相同點

10、：版本號： IPv4首部長度： 20 字節(jié)，沒有其他選項服務類型：最低優(yōu)先級的一般服務片偏移： 0，無分片協(xié)議標識： UDP（0x11H）DNS請求與應答報文IP 層不同點：數(shù)據(jù)報長度：上文已有分析。標識不同，因為請求與應答為兩個不同的報文， 信源機給予的用于區(qū)分分片的標識不同。生存時間不同，請求報文為64，應答報文為 60。校驗和不同， DNS請求與應答報文IP 層首部不同，故校驗和不同。源與目的 IP 地址不同，原因在前面的分析中已經(jīng)說明。3.6 UDP 節(jié)點DNS請求報文：DNS應答報文：DNS請求與應答報文的源與目的端口相反，原因在前面的分析中已經(jīng)說明。;.請求報文 UDP長度為 53

11、 字節(jié)，應答報文UDP長度為 89 字節(jié)。3.7DNS節(jié)點3.7.1DNS 請求報文首部：標識字段： 0x0001，用于匹配請求與響應標志字段： 0x0100HQR： 0，為請求報文OpCode：0000（0），標準查詢（正向解析）AA： 0，此字段只在服務器的響應中有效，在上圖中不顯示TC： 0，報文沒有被截斷RD： 1，請求服務器進行遞歸解析RA： 0，此字段只在服務器的響應中有效，在上圖中不顯示3 比特保留位： 000rCode： 0000，沒有錯誤問題記錄數(shù)： 1回答記錄數(shù)： 0（DNS請求報文此字段為0）授權記錄數(shù)： 0（DNS請求報文此字段為0）附加信息記錄數(shù)： 0（ DNS請求報

12、文此字段為0）問題部分：詢問類型： PTR，數(shù)值為 1，反向解析。詢問類： IN，數(shù)值為 1，表示因特網(wǎng)協(xié)議。;.3.7.2DNS 應答報文首部：標識字段： 0x0001，用于匹配請求與響應，此處與DNS請求報文相匹配。標志字段： 0x8180HQR： 1，為應答報文OpCode：0000（0），標準查詢（正向解析） （與請求報文相同）AA： 0，回答的服務器是該域的授權服務器TC： 0，報文沒有被截斷RD： 1，請求服務器進行遞歸解析（與請求報文相同）RA： 1，服務器支持遞歸解析（回應RD）3 比特保留位： 000rCode： 0000，沒有錯誤問題記錄數(shù)： 1回答記錄數(shù)： 1授權記錄數(shù)：

13、 1附加信息記錄數(shù)： 0問題部分：與請求報文相同，即作為DNS請求報文的回答， DNS應答報文的問題部分就是請求報文的問題部分的拷貝?；卮鸩糠郑?.域名：0xC00CH，為指向問題部分詢問名的指針， 具體地址為 00000000001100（二進制地址）類型： PTR，數(shù)值為 1，指針記錄， IP 到域名的解析。類： IN，數(shù)值為 1，表示因特網(wǎng)協(xié)議。生存時間： 1day資源數(shù)據(jù)長度： 10 字節(jié)資源數(shù)據(jù)： dnscache（DNS緩存服務器）授權部分：四、體會與小結(jié)經(jīng)過本次對 DNS 域名系統(tǒng)的抓包實驗的分析， 我們加深了對 DNS 域名系統(tǒng)的理解和掌握。首先從 DNS 的含義上， DNS 是由解析器和域