DNS抓包分析詳細(xì)教程_第1頁(yè)
DNS抓包分析詳細(xì)教程_第2頁(yè)
DNS抓包分析詳細(xì)教程_第3頁(yè)
DNS抓包分析詳細(xì)教程_第4頁(yè)
DNS抓包分析詳細(xì)教程_第5頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

對(duì)DNS域名系統(tǒng)的抓包分析目錄TOC\o"1-3"\h\u27864一、實(shí)驗(yàn)?zāi)康?二、相關(guān)原理3254922.1DNS的定義372592.2DNS的構(gòu)成3275842.3DNS的查詢(xún)3241462.4DNS的報(bào)文格式414989三、結(jié)合具體抓包實(shí)例進(jìn)行的分析5182973.1協(xié)議數(shù)據(jù)包窗口5172923.2協(xié)議樹(shù)窗口540333.3物理層節(jié)點(diǎn)6120343.4數(shù)據(jù)鏈路層節(jié)點(diǎn)7138353.5IP節(jié)點(diǎn)7248933.6UDP節(jié)點(diǎn)847873.7DNS節(jié)點(diǎn)9187843.7.1DNS請(qǐng)求報(bào)文9224313.7.2DNS應(yīng)答報(bào)文107103四、體會(huì)與小結(jié)11一、實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)網(wǎng)絡(luò)抓包試驗(yàn),深刻理解TCP/IP協(xié)議簇中DNS域名系統(tǒng)的使用方式與報(bào)文具體格式與含義,加強(qiáng)對(duì)DNS的理解與應(yīng)用。二、相關(guān)原理2.1DNS的定義DNS是域名系統(tǒng)(DomainNameSystem)的縮寫(xiě),它是由解析器和域名效勞器組成的。域名效勞器是指保存有該網(wǎng)絡(luò)中所有主機(jī)的域名和對(duì)應(yīng)IP地址,并具有將域名轉(zhuǎn)換為IP地址功能的效勞器。其中域名必須對(duì)應(yīng)一個(gè)IP地址,而IP地址不一定有域名。域名系統(tǒng)采用類(lèi)似目錄樹(shù)的等級(jí)結(jié)構(gòu)。域名效勞器為客戶(hù)機(jī)/效勞器模式中的效勞器方,它主要有兩種形式:主效勞器和轉(zhuǎn)發(fā)效勞器。將域名映射為IP地址的過(guò)程就稱(chēng)為“域名解析〞。在Internet上域名與IP地址之間是一對(duì)一〔或者多對(duì)一〕的,域名雖然便于人們記憶,但機(jī)器之間只能互相認(rèn)識(shí)IP地址,它們之間的轉(zhuǎn)換工作稱(chēng)為域名解析,域名解析需要由專(zhuān)門(mén)的域名解析效勞器來(lái)完成,DNS就是進(jìn)行域名解析的效勞器。DNS命名用于Internet等TCP/IP網(wǎng)絡(luò)中,通過(guò)用戶(hù)友好的名稱(chēng)查找計(jì)算機(jī)和效勞。當(dāng)用戶(hù)在應(yīng)用程序中輸入DNS名稱(chēng)時(shí),DNS效勞可以將此名稱(chēng)解析為與之相關(guān)的其他信息,如IP地址。因?yàn)椋阍谏暇W(wǎng)時(shí)輸入的網(wǎng)址,是通過(guò)域名解析系統(tǒng)解析找到了相對(duì)應(yīng)的IP地址,這樣才能上網(wǎng)。其實(shí),域名的最終指向是IP。2.2DNS的構(gòu)成在IPV4中IP是由32位二進(jìn)制數(shù)組成的,將這32位二進(jìn)制數(shù)分成4組每組8個(gè)二進(jìn)制數(shù),將這8個(gè)二進(jìn)制數(shù)轉(zhuǎn)化成十進(jìn)制數(shù),就是我們看到的IP地址,其范圍是在0~255之間。因?yàn)椋?個(gè)二進(jìn)制數(shù)轉(zhuǎn)化為十進(jìn)制數(shù)的最大范圍就是0~255。現(xiàn)在已開(kāi)始試運(yùn)行、將來(lái)必將代替IPv4的IPV6中,將以128位二進(jìn)制數(shù)表示一個(gè)IP地址。2.3DNS的查詢(xún)DNS查詢(xún)可以有兩種解釋?zhuān)环N是指客戶(hù)端查詢(xún)指定DNS效勞器上的資源記錄〔如A記錄〕,另一種是指查詢(xún)FQDN名的解析過(guò)程。一、查詢(xún)DNS效勞器上的資源記錄您可以在Windows平臺(tái)下,使用命令行工具,輸入nslookup,返回的結(jié)果包括域名對(duì)應(yīng)的IP地址〔A記錄〕、別名〔CNAME記錄〕等。除了以上方法外,還可以通過(guò)一些DNS查詢(xún)站點(diǎn)如國(guó)外的國(guó)內(nèi)的查詢(xún)域名的DNS信息。二、FQDN名的解析過(guò)程查詢(xún)假設(shè)想跟蹤一個(gè)FQDN名的解析過(guò)程,在LinuxShell下輸入digwww+trace,返回的結(jié)果包括從跟域開(kāi)始的遞歸或迭代過(guò)程,一直到權(quán)威域名效勞器。2.4DNS的報(bào)文格式DNS報(bào)文的首部:DNS報(bào)文首部的后面是可變局部,包括四個(gè)小局部。問(wèn)題局部由一組問(wèn)題記錄組成。DNS報(bào)文的其余三個(gè)局部是答復(fù)局部、授權(quán)局部和附加信息局部,附加信息包含答復(fù)局部和授權(quán)局部返回的資源所要求的附加信息〔如IP地址〕。這三局部均由一組資源記錄組成,而且僅在應(yīng)答報(bào)文中出現(xiàn)。一條資源記錄描述一個(gè)域名。三、結(jié)合具體抓包實(shí)例進(jìn)行的分析3.1協(xié)議數(shù)據(jù)包窗口從包到達(dá)的時(shí)間,順序以及源和目的IP地址可知,這是一對(duì)DNS請(qǐng)求與應(yīng)答報(bào)文。下列圖為1號(hào)包與2號(hào)包中DNS段的報(bào)文分析注釋?zhuān)纱丝勺C明,包1為DNS請(qǐng)求報(bào)文,包2為包1的應(yīng)答報(bào)文,請(qǐng)求與應(yīng)答報(bào)文的到達(dá)間隔時(shí)間為0.000349s,它們的標(biāo)識(shí)字段都為0x001,用于相互匹配。因?yàn)镈NS請(qǐng)求報(bào)文的目的是請(qǐng)求DNSServer的IP地址,故包1的源IP地址為本機(jī)IP,目的IP地址為DNS效勞器的IP,包2與包1相反。3.2協(xié)議樹(shù)窗口DNS請(qǐng)求報(bào)文:DNS應(yīng)答報(bào)文:可以看出,DNS請(qǐng)求報(bào)文與應(yīng)答報(bào)文鏈路層的MAC地址相反,請(qǐng)求報(bào)文中的源物理地址為本機(jī)的物理地址,這與IP地址相對(duì)應(yīng)。此外,DNS請(qǐng)求報(bào)文與應(yīng)答報(bào)文傳輸層中UDP的源端口與目的端口相反,其中請(qǐng)求報(bào)文UDP的源端口為客戶(hù)機(jī)動(dòng)態(tài)申請(qǐng)的本地端口,目的端口為DNS所固有的53號(hào)周知端口。這兩點(diǎn)都表達(dá)了DNS請(qǐng)求報(bào)文與應(yīng)答報(bào)文間的請(qǐng)求-應(yīng)答關(guān)系。DNS請(qǐng)求報(bào)文與應(yīng)答報(bào)文協(xié)議樹(shù)窗口顯示的協(xié)議層次與網(wǎng)絡(luò)協(xié)議的層次對(duì)應(yīng)相同,如下表:樹(shù)節(jié)點(diǎn)名稱(chēng)對(duì)應(yīng)的協(xié)議層次說(shuō)明Frame物理層EthernetII數(shù)據(jù)鏈路層以太網(wǎng)協(xié)議InternetProtocol網(wǎng)絡(luò)層IP協(xié)議UserDatagramProtocol傳輸層UDP協(xié)議DomainNameSystem應(yīng)用層DNS域名系統(tǒng)3.3物理層節(jié)點(diǎn)DNS請(qǐng)求報(bào)文:DNS應(yīng)答報(bào)文:以上兩張圖分別給出了DNS請(qǐng)求報(bào)文與應(yīng)答報(bào)文的時(shí)間參數(shù)、包號(hào)、長(zhǎng)度與協(xié)議層次,在此不一一細(xì)說(shuō)。但是,我們可以很清楚的看出,DNS請(qǐng)求報(bào)文的長(zhǎng)度為72字節(jié),而應(yīng)答報(bào)文的長(zhǎng)度為123字節(jié),比請(qǐng)求報(bào)文長(zhǎng)得多。這是由于在DNS應(yīng)答報(bào)文中,具有請(qǐng)求報(bào)文所沒(méi)有的答復(fù)局部、授權(quán)局部與附加局部,在下面的應(yīng)答報(bào)文分析中會(huì)具體說(shuō)明。3.4數(shù)據(jù)鏈路層節(jié)點(diǎn)DNS請(qǐng)求報(bào)文:DNS應(yīng)答報(bào)文:由上圖可以更明顯的看出,DNS請(qǐng)求與應(yīng)答報(bào)文的源與目的MAC地址的相反現(xiàn)象。此外,DNS請(qǐng)求與應(yīng)答報(bào)文以太網(wǎng)協(xié)議中的類(lèi)型均為IP,即在DNS協(xié)議層次中網(wǎng)絡(luò)層協(xié)議為IP,這表達(dá)了DNS作為T(mén)CP/IP協(xié)議簇中協(xié)議的特點(diǎn)。3.5IP節(jié)點(diǎn)DNS請(qǐng)求報(bào)文:DNS應(yīng)答報(bào)文:DNS請(qǐng)求與應(yīng)答報(bào)文IP層相同點(diǎn):版本號(hào):IPv4首部長(zhǎng)度:20字節(jié),沒(méi)有其他選項(xiàng)效勞類(lèi)型:最低優(yōu)先級(jí)的一般效勞片偏移:0,無(wú)分片協(xié)議標(biāo)識(shí):UDP〔0x11H〕DNS請(qǐng)求與應(yīng)答報(bào)文IP層不同點(diǎn):數(shù)據(jù)報(bào)長(zhǎng)度:上文已有分析。標(biāo)識(shí)不同,因?yàn)檎?qǐng)求與應(yīng)答為兩個(gè)不同的報(bào)文,信源機(jī)給予的用于區(qū)分分片的標(biāo)識(shí)不同。生存時(shí)間不同,請(qǐng)求報(bào)文為64,應(yīng)答報(bào)文為60。校驗(yàn)和不同,DNS請(qǐng)求與應(yīng)答報(bào)文IP層首部不同,故校驗(yàn)和不同。源與目的IP地址不同,原因在前面的分析中已經(jīng)說(shuō)明。3.6UDP節(jié)點(diǎn)DNS請(qǐng)求報(bào)文:DNS應(yīng)答報(bào)文:DNS請(qǐng)求與應(yīng)答報(bào)文的源與目的端口相反,原因在前面的分析中已經(jīng)說(shuō)明。請(qǐng)求報(bào)文UDP長(zhǎng)度為53字節(jié),應(yīng)答報(bào)文UDP長(zhǎng)度為89字節(jié)。3.7DNS節(jié)點(diǎn)DNS請(qǐng)求報(bào)文首部:標(biāo)識(shí)字段:0x0001,用于匹配請(qǐng)求與響應(yīng)標(biāo)志字段:0x0100HQR:0,為請(qǐng)求報(bào)文OpCode:0000〔0〕,標(biāo)準(zhǔn)查詢(xún)〔正向解析〕AA:0,此字段只在效勞器的響應(yīng)中有效,在上圖中不顯示TC:0,報(bào)文沒(méi)有被截?cái)郣D:1,請(qǐng)求效勞器進(jìn)行遞歸解析RA:0,此字段只在效勞器的響應(yīng)中有效,在上圖中不顯示3比特保存位:000rCode:0000,沒(méi)有錯(cuò)誤問(wèn)題記錄數(shù):1答復(fù)記錄數(shù):0〔DNS請(qǐng)求報(bào)文此字段為0〕授權(quán)記錄數(shù):0〔DNS請(qǐng)求報(bào)文此字段為0〕附加信息記錄數(shù):0〔DNS請(qǐng)求報(bào)文此字段為0〕問(wèn)題局部:詢(xún)問(wèn)類(lèi)型:PTR,數(shù)值為1,反向解析。詢(xún)問(wèn)類(lèi):IN,數(shù)值為1,表示因特網(wǎng)協(xié)議。DNS應(yīng)答報(bào)文首部:標(biāo)識(shí)字段:0x0001,用于匹配請(qǐng)求與響應(yīng),此處與DNS請(qǐng)求報(bào)文相匹配。標(biāo)志字段:0x8180HQR:1,為應(yīng)答報(bào)文OpCode:0000〔0〕,標(biāo)準(zhǔn)查詢(xún)〔正向解析〕〔與請(qǐng)求報(bào)文相同〕AA:0,答復(fù)的效勞器是該域的授權(quán)效勞器TC:0,報(bào)文沒(méi)有被截?cái)郣D:1,請(qǐng)求效勞器進(jìn)行遞歸解析〔與請(qǐng)求報(bào)文相同〕RA:1,效勞器支持遞歸解析〔回應(yīng)RD〕3比特保存位:000rCode:0000,沒(méi)有錯(cuò)誤問(wèn)題記錄數(shù):1答復(fù)記錄數(shù):1授權(quán)記錄數(shù):1附加信息記錄數(shù):0問(wèn)題局部:與請(qǐng)求報(bào)文相同,即作為DNS請(qǐng)求報(bào)文的答復(fù),DNS應(yīng)答報(bào)文的問(wèn)題局部就是請(qǐng)求報(bào)文的問(wèn)題局部的拷貝。答復(fù)局部:域名:0xC00CH,為指向問(wèn)題局部詢(xún)問(wèn)名的指針,具體地址為00000000001100〔二進(jìn)制地址〕類(lèi)型:PTR,數(shù)值為1,指針記錄,IP到域名的解析。類(lèi):IN,數(shù)值為1,表示因特網(wǎng)協(xié)議。生存時(shí)間:1day資源數(shù)據(jù)長(zhǎng)度:10字節(jié)資源數(shù)據(jù):dnscache〔DNS緩存效勞器〕授權(quán)局部:四、體會(huì)與小結(jié)經(jīng)過(guò)本次對(duì)DNS域名系統(tǒng)的抓包實(shí)驗(yàn)的分析,我們加深了對(duì)DNS域名系統(tǒng)的理解和掌握。首先從DNS的含義上,DNS是由解析器和域名效

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論