DNS协议分析实验Word文档下载推荐.docx

DNS协议分析实验Word文档下载推荐.docx

《DNS协议分析实验Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《DNS协议分析实验Word文档下载推荐.docx（12页珍藏版）》请在冰豆网上搜索。

以下会详细介绍个字段：

1.标识

标识字段由客户程序设置并有服务器返回结果，16位，在对应的query和response

报文中有着相同的ID，可以在抓到的包中配对请求和应答报文，提取相关信息，同时也可以根据他们的时间戳大致估计DNS的相应时间。

2.标志

标志字段长16bit，结构如图2所示：

QR1OpcodeAA1TC1RD1RA1Zero3Rcode4

QR1bits字段，0表示查询报文，1表示响应报文

Opcode：

4bits字段，通常值为0（标准查询），其他值为1（反向查询）和2（服务器状态请求）

AA1bits标志表示授权回答（authoritiveanswer）,该名字服务器是授权于该领域的

TC:

1bits字段，表示可截（truncated），使用UD时，它表示当应答的总长度超过512字节时，只返回前512个字节

RD1bits字段，表示期望递归，该比特能在一个查询中设置，并在一个响应中返回，这个标志告诉名字服务器必须处理这个查询，也称为一个递归查询，如果该位为0,且被请

求的名字服务器没有一个授权回答，它就返回一个能解答该查询的其他名字服务器列表，这称为迭代查询（期望递归）

RA1bits字段，表示可用递归，如果名字服务器支持递归查询，则在响应中将该bit置为

1（可用递归）

zero:

必须为0

rcode:

是一个4bit的返回码字段，通常值为0（没有差错）和3（名字差错），名字差错只有从一个授权名字服务器上返回，它表示在查询中指定的域名不存在

随后的4个bit字段说明最后4个变长字段中包含的条目数，对于查询报文，问题数通常是1,

其他三项为0,类似的，对于应答报文，回答数至少是1,剩余两项可以使0或非0

5.DNS查询报文中每个查询问题的格式

01631查询名

查询类

查询类型查询名：

要查找的名字

查询类：

通常值为1,表示是互联网的地址，也就是IP协议族的地址

查询类型：

有很多种查询类型，一般最常用的查询类型是A类型（表示查找域名对应的IP

地址）和PT啖型（表示查找IP地址对应的域名）

查询名为要查找的名字，它由一个或者多个标示符序列组成，每个标示符已首字符字节数

的计数值来说明该表示符长度，每个名字以0结束，计数字节数必须是0~63之间，该字段

无需填充字节，如：

gemine.tuc.noao.edu

“小°

•°

P車u

t

计教

6.DNS响应报文中的资源记录格式:

城名

类型

黄

生存时间

資源数据民度

域名：

记录中资源数据对应的名字，它的格式和查询名字段格式相同

类型：

类型说明RR勺类型码，类通常为1,指Internet数据

生存时间：

客户程序保存该资源记录的秒数

资源数据长度：

说明后面资源数据的数量，该数据的格式依赖于类型字段的值，对于类1

（A记录）记录数据室4字节的IP地址

资源数据：

服务器端返回给客户端的记录数据

Nslookup是一个监测网络中DNS艮务器是否能够正确实现域名解析的命令行工具。

它在

WindowsNT/2000/XP中均可使用。

本实验通过nslookup检测服务器的配置，并利用协议分析Wireshark捕获分析nslookup命令产生的DNS数据包。

Nslookup查询命令格式为nslookup域名，主要做两个操作，一个是根据本地DNS艮务器的

IP地址获得本地DNS艮务器的名字，二是根据输入查询的域名查找该域名的IP地址。

三、实验步骤

1.打开Wireshark，选择工具栏上的“Capture^”“interfaces选择网关”截图替换：

2、然后在Wireshark，选择工具栏上的“Capture->

“optoins选'

择过滤器，并在capturefilter中输入udpport53（表示要抓dns的包），截图替换

3.打开命令提示符，键入CMD后，输入nslookup.截图替换

分析：

1）由此可知，本地域名服务器是：

Cc-cache1-ibm

2）Ip地址是：

219.149.194.56

3）另廿名：

.DHCP

4）的ip地址有1个

分析抓到的DNS的包，截图：

*2interfaces

一a|

Id件®

<

aH（H）iKLSQii期昭宝

S^IFtCA]

ZCHCD

帮助CH）

W■Q®

1素哇安

◎孕

直舊星M[W]

包n

[・|应用压示谅达器<

aT

Wl—+

JUTime

Destmatien

Frotoi^E

L*en匸+Inf

10.&

&

192・1E8■:

L・

108

DNS

75Standard

que^y0x2d47A

pub・±

n.

20・0956SB

219・149a194a56

192・168.1•10S

214

Standard

query

response

9x2d4U.

31B162679

192a16Ba1a168

72

0xe492A

sqimg—

41B168E22

219.乡*5E

192.168-1_10S

192

9xe^9—

51・25^470

192・1石8・1・108

219,149,1^4,56

71

quer*y

0>

c0c56A

q2.qlr”

6丄.265094

219-149.194.56

192.168,1,108

103

Startd^ird

resportst

0x0c：

5«

.

—

_h_

Frame1■:

75bytesonwire（60Sbit:

s）r75bytescaptured（-600blitsJoninter-Face0

EthernetII,匚：

（b@：

1©

：

4tci：

61）,Osr：

Tp-1InkTM;

35：

52（fc：

d7：

33^InternetProtocolVersion4，Src:

192.168・1・108^Dst:

219,149.194,56

UserDatagramProtoe口丄少Src戸口rt762001（62001）DstPort;

53（53）

DomaiinNameSystem（query）

4=c

d7

33

aa

35

52

bO

10

41

34=

4d

G1

豳

00

45

s3_'

5R„4.

A?

Ma…E.

96

3d

56

e-F

0@

80

11

83

de

c©

a8

01

6c

db

95

・-V.a.-.

…■…1…

3'

2@

c2

38

f2

31

55

29

46

be.

2d

47

.S.1.S.）

F■-G■■・■

Q

0日

03

70

75

€2

07

69

64

p

ub・Idqql

Ed

67

63

6-F

6d

to™,T

第一帧

是192.168.1.108发送给本地DNS服务器219.149.194.56的反

向查询取得报文，用于获得本地DNS服务器的名字。

截图并分析：

4Wireshark-分组1*wireshark_2jnterfaces_20160516170843_a6„,_

[Streamindex:

0]

/DomainNameSystem（query）[血5皿门5已In:

2]TransactionID:

0x2d47

“Flags:

0X01G0Standardquery

0…・………=Response:

Messageisaquery

.0000.……………-Opcode:

Standardquery（0）

0=Truncated:

Messageisnottruncated1=Recursiondesired:

Doqueryrecursively0=Z:

reserved（0）

・**・=Non-EiithEnticBteddata:

UnacceptableQuestions:

1

AnswerRRs:

0

AuthorityRRs;

AdditionalRRs:

“Queries

J:

typeclassIN

Name:

r■ii.ir~1*

Mg.jJ*4炯iW■26$.J.-OS*Ny：

匕:

75・曲w:

SttnQirdi-fryQx2s4?

A宣注一ismim.cgs

C1qs«

H«

lp

问题的个数：

1

回答RF个数：

0权威域名RF数：

附加RR数：

0Type为：

A第

EpochTime:

14G3389733.4£

167SO00seconds

〔Timedeltafnompreviouscapturedfname:

0.005658909seconds]"

Timedeltafppmpreviousdisplayedframe:

9,005658000seconds]'

Timesincereferenceorfirstframe:

0.005658000

FrameNumber；

2

FrameLength:

214bytes（1712bits）

CaptureLength:

214b/tes（1712bits）

[Frj（ieismarked:

False]

[F户EingisignorediFalse]

t）e

3f

61

仕

ad

08

..ATMs..

玉5

阴

c8

c5

40

5e

ec

C0

胡

<

*・11@八+

A

i-

»

B8I%

b4

fd

81

.1.5.1,,

G,-

G«

.B«

90

06

60

62

87

p

ub.

ldqqi

Sd

6f

0C

05

0P

mg.coim.・

3a

0&

18

・IB・A：

・・■

pub

.idqq

92

74

02

ing.con・

tc.

qq…

朋

@0

93

13

17

97

-・！

・•・・•・・・

.pub.

S3

04

6e

idqqimg.

com

tcdn

ce

51

oe

.趴Q--

4ih

—・p

O*|

分组：

、已显示：

伯doo.0*）

留置交件：

Default

存活时间是：

58

告诉查询结果是：

▲Wireshark・3-wireshark_2_interfaces_2O16051617O843_a6L.._

第三帧截图

分析

是192.168.1.108（客户端）发给本地DNS的请求报文：

问域名

为地址N9.149.194.56

第四帧截图

告诉客户端36.49.31.15（IP地址）没无权威域名服务器

对应的ipv4地址有一个

四、实验总结

加强对计算机网络的认知加强对实验软件的熟练程度加强对相应知识的了解