DNS抓包分析詳細(xì)教程_第1頁
DNS抓包分析詳細(xì)教程_第2頁
DNS抓包分析詳細(xì)教程_第3頁
DNS抓包分析詳細(xì)教程_第4頁
DNS抓包分析詳細(xì)教程_第5頁
已閱讀5頁,還剩6頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、.對(duì) DNS 域名系統(tǒng)的抓包分析;.目錄一、實(shí)驗(yàn)?zāi)康?二、相關(guān)原理32.1 DNS 的定義32.2 DNS 的構(gòu)成32.3 DNS 的查詢32.4 DNS 的報(bào)文格式4三、結(jié)合具體抓包實(shí)例進(jìn)行的分析53.1 協(xié)議數(shù)據(jù)包窗口53.2 協(xié)議樹窗口53.3 物理層節(jié)點(diǎn)63.4 數(shù)據(jù)鏈路層節(jié)點(diǎn)73.5 IP節(jié)點(diǎn)73.6 UDP 節(jié)點(diǎn)83.7DNS節(jié)點(diǎn)93.7.1DNS 請(qǐng)求報(bào)文93.7.2DNS 應(yīng)答報(bào)文10四、體會(huì)與小結(jié)11;.一、實(shí)驗(yàn)?zāi)康耐ㄟ^網(wǎng)絡(luò)抓包試驗(yàn),深刻理解 TCP/IP 協(xié)議簇中 DNS域名系統(tǒng)的使用方式與報(bào)文具體格式與含義,加強(qiáng)對(duì) DNS的理解與應(yīng)用。二、相關(guān)原理2.1 DNS 的定義D

2、NS 是域名系統(tǒng) (Domain NameSystem) 的縮寫,它是由解析器和域名服務(wù)器組成的。域名服務(wù)器是指保存有該網(wǎng)絡(luò)中所有主機(jī)的域名和對(duì)應(yīng)IP 地址,并具有將域名轉(zhuǎn)換為IP 地址功能的服務(wù)器。其中域名必須對(duì)應(yīng)一個(gè)IP 地址,而IP 地址不一定有域名。域名系統(tǒng)采用類似目錄樹的等級(jí)結(jié)構(gòu)。域名服務(wù)器為客戶機(jī) / 服務(wù)器模式中的服務(wù)器方,它主要有兩種形式:主服務(wù)器和轉(zhuǎn)發(fā)服務(wù)器。將域名映射為 IP 地址的過程就稱為 “域名解析”。在 Internet 上域名與 IP 地址之間是一對(duì)一(或者多對(duì)一)的,域名雖然便于人們記憶,但機(jī)器之間只能互相認(rèn)識(shí) IP 地址,它們之間的轉(zhuǎn)換工作稱為域名解析,域名解

3、析需要由專門的域名解析服務(wù)器來完成, DNS就是進(jìn)行域名解析的服務(wù)器。 DNS 命名用于 Internet等 TCP/IP 網(wǎng)絡(luò)中,通過用戶友好的名稱查找計(jì)算機(jī)和服務(wù)。 當(dāng)用戶在應(yīng)用程序中輸入 DNS 名稱時(shí),DNS 服務(wù)可以將此名稱解析為與之相關(guān)的其他信息, 如 IP 地址。因?yàn)?,你在上網(wǎng)時(shí)輸入的網(wǎng)址, 是通過域名解析系統(tǒng)解析找到了相對(duì)應(yīng)的IP 地址,這樣才能上網(wǎng)。其實(shí),域名的最終指向是IP 。2.2 DNS 的構(gòu)成在 IPV4 中 IP 是由 32 位二進(jìn)制數(shù)組成的,將這32 位二進(jìn)制數(shù)分成4 組每組 8個(gè)二進(jìn)制數(shù) ,將這 8 個(gè)二進(jìn)制數(shù)轉(zhuǎn)化成 十進(jìn)制數(shù) ,就是我們看到的IP 地址,其范圍

4、是在 0255 之間。因?yàn)椋? 個(gè)二進(jìn)制數(shù)轉(zhuǎn)化為十進(jìn)制數(shù)的最大范圍就是0255。現(xiàn)在已開始試運(yùn)行、將來必將代替 IPv4 的 IPV6 中,將以 128 位二進(jìn)制數(shù)表示一個(gè) IP 地址。2.3 DNS 的查詢DNS查詢可以有兩種解釋, 一種是指客戶端查詢指定 DNS服務(wù)器上的資源記錄(如 A 記錄),另一種是指查詢 FQDN名的解析過程。一、查詢 DNS服務(wù)器上的資源記錄您可以在 Windows 平臺(tái)下,使用命令行工具,輸入 nslookup ,返回的結(jié)果包括域名對(duì)應(yīng)的 IP 地址( A 記錄)、別名( CNAME記錄)等。除了以上方法外,;.還可以通過一些DNS查詢站點(diǎn)如國外的國內(nèi)的查詢域名

5、的 DNS信息。二、 FQDN名的解析過程查詢?nèi)粝敫櫼粋€(gè) FQDN名的解析過程,在 Linux Shell 下輸入 dig www+trace ,返回的結(jié)果包括從跟域開始的遞歸或迭代過程,一直到權(quán)威域名服務(wù)器。2.4 DNS 的報(bào)文格式DNS 報(bào)文的首部:01631標(biāo)識(shí)標(biāo)志問題記錄數(shù)回答記錄數(shù)首部授權(quán)記錄數(shù)附加信息記錄數(shù)問題部分回答部分授權(quán)部分附加信息圖 2-2 DNS 報(bào)文格式1411111114QROpCodeAATCRDRA000rCode圖 2-3DNS 報(bào)文標(biāo)志字段的格式DNS 報(bào)文首部的后面是可變部分,包括四個(gè)小部分。問題部分由一組問題記錄組成。01631詢問名詢問類型詢問類圖

6、2-4DNS 報(bào)文問題記錄格式DNS報(bào)文的其余三個(gè)部分是回答部分、授權(quán)部分和附加信息部分,附加信息包含回答部分和授權(quán)部分返回的資源所要求的附加信息 (如 IP 地址)。這三部分均由一組資源記錄組成,而且僅在應(yīng)答報(bào)文中出現(xiàn)。一條資源記錄描述一個(gè)域名。;.01631域名類型類生存時(shí)間資源數(shù)據(jù)長度資源數(shù)據(jù)圖 2-5 DNS 資源記錄格式三、結(jié)合具體抓包實(shí)例進(jìn)行的分析3.1 協(xié)議數(shù)據(jù)包窗口從包到達(dá)的時(shí)間,順序以及源和目的 IP 地址可知,這是一對(duì) DNS請(qǐng)求與應(yīng)答報(bào)文。下圖為 1 號(hào)包與 2 號(hào)包中 DNS段的報(bào)文分析注釋,由此可證明,包 1 為 DNS 請(qǐng)求報(bào)文,包 2 為包 1 的應(yīng)答報(bào)文,請(qǐng)求與

7、應(yīng)答報(bào)文的到達(dá)間隔時(shí)間為 0.000349s ,它們的標(biāo)識(shí)字段都為 0x001,用于相互匹配。因?yàn)?DNS請(qǐng)求報(bào)文的目的是請(qǐng)求 DNSServer的 IP 地址,故包 1 的源 IP 地址為本機(jī) IP ,目的 IP 地址為 DNS服務(wù)器的 IP ,包 2 與包 1 相反。3.2 協(xié)議樹窗口DNS請(qǐng)求報(bào)文:;.DNS應(yīng)答報(bào)文:可以看出, DNS請(qǐng)求報(bào)文與應(yīng)答報(bào)文鏈路層的 MAC地址相反,請(qǐng)求報(bào)文中的源物理地址為本機(jī)的物理地址,這與 IP 地址相對(duì)應(yīng)。此外, DNS請(qǐng)求報(bào)文與應(yīng)答報(bào)文傳輸層中 UDP的源端口與目的端口相反, 其中請(qǐng)求報(bào)文 UDP的源端口為客戶機(jī)動(dòng)態(tài)申請(qǐng)的本地端口,目的端口為 DNS

8、所固有的 53 號(hào)周知端口。這兩點(diǎn)都體現(xiàn)了 DNS請(qǐng)求報(bào)文與應(yīng)答報(bào)文間的請(qǐng)求 - 應(yīng)答關(guān)系。DNS請(qǐng)求報(bào)文與應(yīng)答報(bào)文協(xié)議樹窗口顯示的協(xié)議層次與網(wǎng)絡(luò)協(xié)議的層次對(duì)應(yīng)相同,如下表:樹節(jié)點(diǎn)名稱對(duì)應(yīng)的協(xié)議層次說明Frame物理層Ethernet II數(shù)據(jù)鏈路層以太網(wǎng)協(xié)議Internet Protocol網(wǎng)絡(luò)層IP 協(xié)議User Datagram Protocol傳輸層UDP 協(xié)議Domain Name System應(yīng)用層DNS 域名系統(tǒng)3.3 物理層節(jié)點(diǎn)DNS請(qǐng)求報(bào)文:DNS應(yīng)答報(bào)文:以上兩張圖分別給出了 DNS請(qǐng)求報(bào)文與應(yīng)答報(bào)文的時(shí)間參數(shù)、 包號(hào)、長度與協(xié)議層次,在此不一一細(xì)說。但是,我們可以很清楚的

9、看出, DNS請(qǐng)求報(bào)文的長度為 72 字節(jié),而應(yīng)答報(bào)文的長度為 123 字節(jié),比請(qǐng)求報(bào)文長得多。 這是由于在 DNS;.應(yīng)答報(bào)文中, 具有請(qǐng)求報(bào)文所沒有的回答部分、 授權(quán)部分與附加部分, 在下面的應(yīng)答報(bào)文分析中會(huì)具體說明。3.4 數(shù)據(jù)鏈路層節(jié)點(diǎn)DNS請(qǐng)求報(bào)文:DNS應(yīng)答報(bào)文:由上圖可以更明顯的看出, DNS請(qǐng)求與應(yīng)答報(bào)文的源與目的 MAC地址的相反現(xiàn)象。此外,DNS請(qǐng)求與應(yīng)答報(bào)文以太網(wǎng)協(xié)議中的類型均為 IP ,即在 DNS協(xié)議層次中網(wǎng)絡(luò)層協(xié)議為 IP ,這體現(xiàn)了 DNS作為 TCP/IP 協(xié)議簇中協(xié)議的特點(diǎn)。3.5 IP節(jié)點(diǎn)DNS請(qǐng)求報(bào)文:DNS應(yīng)答報(bào)文:;.DNS請(qǐng)求與應(yīng)答報(bào)文IP 層相同點(diǎn)

10、:版本號(hào): IPv4首部長度: 20 字節(jié),沒有其他選項(xiàng)服務(wù)類型:最低優(yōu)先級(jí)的一般服務(wù)片偏移: 0,無分片協(xié)議標(biāo)識(shí): UDP(0x11H)DNS請(qǐng)求與應(yīng)答報(bào)文IP 層不同點(diǎn):數(shù)據(jù)報(bào)長度:上文已有分析。標(biāo)識(shí)不同,因?yàn)檎?qǐng)求與應(yīng)答為兩個(gè)不同的報(bào)文, 信源機(jī)給予的用于區(qū)分分片的標(biāo)識(shí)不同。生存時(shí)間不同,請(qǐng)求報(bào)文為64,應(yīng)答報(bào)文為 60。校驗(yàn)和不同, DNS請(qǐng)求與應(yīng)答報(bào)文IP 層首部不同,故校驗(yàn)和不同。源與目的 IP 地址不同,原因在前面的分析中已經(jīng)說明。3.6 UDP 節(jié)點(diǎn)DNS請(qǐng)求報(bào)文:DNS應(yīng)答報(bào)文:DNS請(qǐng)求與應(yīng)答報(bào)文的源與目的端口相反,原因在前面的分析中已經(jīng)說明。;.請(qǐng)求報(bào)文 UDP長度為 53

11、 字節(jié),應(yīng)答報(bào)文UDP長度為 89 字節(jié)。3.7DNS節(jié)點(diǎn)3.7.1DNS 請(qǐng)求報(bào)文首部:標(biāo)識(shí)字段: 0x0001,用于匹配請(qǐng)求與響應(yīng)標(biāo)志字段: 0x0100HQR: 0,為請(qǐng)求報(bào)文OpCode:0000(0),標(biāo)準(zhǔn)查詢(正向解析)AA: 0,此字段只在服務(wù)器的響應(yīng)中有效,在上圖中不顯示TC: 0,報(bào)文沒有被截?cái)郣D: 1,請(qǐng)求服務(wù)器進(jìn)行遞歸解析RA: 0,此字段只在服務(wù)器的響應(yīng)中有效,在上圖中不顯示3 比特保留位: 000rCode: 0000,沒有錯(cuò)誤問題記錄數(shù): 1回答記錄數(shù): 0(DNS請(qǐng)求報(bào)文此字段為0)授權(quán)記錄數(shù): 0(DNS請(qǐng)求報(bào)文此字段為0)附加信息記錄數(shù): 0( DNS請(qǐng)求報(bào)

12、文此字段為0)問題部分:詢問類型: PTR,數(shù)值為 1,反向解析。詢問類: IN,數(shù)值為 1,表示因特網(wǎng)協(xié)議。;.3.7.2DNS 應(yīng)答報(bào)文首部:標(biāo)識(shí)字段: 0x0001,用于匹配請(qǐng)求與響應(yīng),此處與DNS請(qǐng)求報(bào)文相匹配。標(biāo)志字段: 0x8180HQR: 1,為應(yīng)答報(bào)文OpCode:0000(0),標(biāo)準(zhǔn)查詢(正向解析) (與請(qǐng)求報(bào)文相同)AA: 0,回答的服務(wù)器是該域的授權(quán)服務(wù)器TC: 0,報(bào)文沒有被截?cái)郣D: 1,請(qǐng)求服務(wù)器進(jìn)行遞歸解析(與請(qǐng)求報(bào)文相同)RA: 1,服務(wù)器支持遞歸解析(回應(yīng)RD)3 比特保留位: 000rCode: 0000,沒有錯(cuò)誤問題記錄數(shù): 1回答記錄數(shù): 1授權(quán)記錄數(shù):

13、 1附加信息記錄數(shù): 0問題部分:與請(qǐng)求報(bào)文相同,即作為DNS請(qǐng)求報(bào)文的回答, DNS應(yīng)答報(bào)文的問題部分就是請(qǐng)求報(bào)文的問題部分的拷貝?;卮鸩糠郑?.域名:0xC00CH,為指向問題部分詢問名的指針, 具體地址為 00000000001100(二進(jìn)制地址)類型: PTR,數(shù)值為 1,指針記錄, IP 到域名的解析。類: IN,數(shù)值為 1,表示因特網(wǎng)協(xié)議。生存時(shí)間: 1day資源數(shù)據(jù)長度: 10 字節(jié)資源數(shù)據(jù): dnscache(DNS緩存服務(wù)器)授權(quán)部分:四、體會(huì)與小結(jié)經(jīng)過本次對(duì) DNS 域名系統(tǒng)的抓包實(shí)驗(yàn)的分析, 我們加深了對(duì) DNS 域名系統(tǒng)的理解和掌握。首先從 DNS 的含義上, DNS 是由解析器和域

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論