131630何珊珊DNS.docx
- 文档编号:11387335
- 上传时间:2023-02-28
- 格式:DOCX
- 页数:15
- 大小:807.97KB
131630何珊珊DNS.docx
《131630何珊珊DNS.docx》由会员分享,可在线阅读,更多相关《131630何珊珊DNS.docx(15页珍藏版)》请在冰豆网上搜索。
131630何珊珊DNS
实验一DNS报文分析
1316-30-何珊珊
[实验名称]:
DNS报文分析
[实验器材]:
与因特网连接的计算机网络系统;
主机操作系统为Windows7;
WireShark软件;
IE浏览器;
cmd命令程序。
[实验内容]:
◆学生可以自由选择一个网站在浏览器中输入后进行抓取数据包,然后对照标准报文结构进行分析。
◆学生需要搜集至少3个网站的不同域名和地址。
例如的另一个域名为,其解析后的地址为119.75.217.109.
[实验步骤]:
1.打开wiresark软件,选择一个可用的interfaces,点击开始后在过滤栏中输入DNS然后点击Apply;
2.在打开浏览器之前清空浏览器的缓存,在地址栏中输入域名;
3.查看wireshark里的数据,并对他们进行分析;
4.对wireshark里显示的域名进行浏览器上的核实,打开cmd命令程序,ping谷歌的ip地址;
5.对wireshark里显示的发送报文以及回答报文进行分析,并找出他们的不同域名和地址。
[实验结果分析]:
对DNS数据包的分析:
打开后wireshark里显示了与本次浏览器相关的DNS数据包有10个。
从图中可以看到:
(1)询问的IPv4地址DNS询问报文;
(2)应答该报文的应答DNS数据包;
(3)询问的IPv6地址DNS询问报文;
(4)第四个报文为应答第三个报文的应答DNS数据包;
(5)询问.hk的IPv4地址DNS询问报文;
(6)应答该报文的应答DNS数据包;
(7)询问.hk的IPv6地址DNS询问报文;
(8)应答该报文的应答DNS数据包;
(9)询问NOTEBOOK的IPv4地址询问报文;
(10)回答上一条询问,服务器表示没有这个名字,请求失败回答报文。
通过上文可以分析得到:
在请求时系统自动转到了另一域名.hk;
本地主机的IP为118.229.210.2,北邮服务器的IP为211.68.71.4,由北邮服务器返回的信息得到google的一个服务器IP为74.125.71.104。
这些信息可以通过在浏览器中直接输入IP地址得到证实;
在浏览器中输入地址后可以看到该地址为北邮的域名服务器系统:
得到:
在各个DNS应答报文中回应的域名地址都是谷歌有效地域名地址
得到:
并且通过cmd命令行进行证实:
本地IP:
pinggoogle的IP:
从抓的包中可以知道主机将请求发送到本地的服务器,本地服务器内应有关于google的IP缓存,由本地服务器直接返回想要询问的google的IP地址信息给主机;如果本地服务器内没有关于请求的缓存,则会进行迭代或者递归的查询依次向其他服务器发出查询请求。
分析窗口中各层的报文:
分析窗口中看到各层的报头,最外面的是这帧报文的整个信息,接着是以太网报头,然后是IP层报头,然后是传输层报头(本例以UDP方式传输),然后是DNS数据包。
Fream:
链路层上抓取的整个数据包,记号为帧;
EthernetII,Src:
链路层报头,可以看到双方的MAC地址;
InternetProtocol,Src:
IP层报头;
UserDatagramProtocol,SrcPort:
传输层报头,因为DNS协议使用UDP,所以传输层为UDP报头;
DomainNameSystem:
DNS数据包,包括请求报文和回答报文等。
报文内容分析:
对具体报文的分析可知:
在传输过程中由77777706676f6f676c65036f6d的十六位进制数表示存储并发送。
标识符会被复制到对查询的回答报文中,以便让客户机用它来匹配发送的请求和接收到的回答。
标志字段格式为:
QR(1比特):
查询/响应的标志位,1为响应,0为查询。
这里QR为0表示是一个查询报文。
opcode(4比特):
定义查询或响应的类型(若为0则表示是标准的,若为1则是反向的,若为2则是服务器状态请求)。
AA(1比特):
授权回答的标志位。
该位在响应报文中有效,1表示名字服务器是权限服务器。
TC(1比特):
截断标志位。
1表示响应已超过512字节并已被截断。
RD(1比特):
该位为1表示客户端希望得到递归回答。
RA(1比特):
只能在响应报文中置为1,表示可以得到递归响应。
zero(3比特):
保留字段,为0。
rcode(4比特):
返回码,表示响应的差错状态。
问题区域包含着正在进行的查询信息。
该区域包括:
名字字段,用于指出正在被查询主机名字;类型字段,用于指出正被询问的问题类型。
回答区域只在来自DNS服务器的回答报文中,包含了对最初请求的名字的资源记录。
每个资源记录中有Type字段,Value字段和TTL字图案。
在一个回答报文中的回答区域中可以包含多条RR,因为一个主机名可以对应多个IP段。
权威区域包含了其他权威DNS服务器的记录。
附加区域包含了其他一些有帮助的记录。
对请求报文的分析:
其中,标识符为0x3406,这个标识符将和DNS回答报文中的标识符对应。
标志字段为0x0100。
0...............=Response:
Messageisaquery表示报文是请求报文
.0000...........=Opcode:
Standardquery(0)表示为标准
......0.........=Truncated:
Messageisnottruncated表示未截断
.......1........=Recursiondesired:
Doqueryrecursively表示希望递归查询
.........0......=Z:
reserved(0)保留位为0
...........0....=Non-authenticateddata:
Unacceptable
Questions:
1问题数为1
AnswerRRs:
0回答为0
AuthorityRRs:
0权威域名服务器回答为0
AdditionalRRs:
0
这里的查询名为,查询类型为AAAA,表示是IPv6地址。
查询类为0x0001表示Internet数据。
对回答报文内容的分析:
回答字段第一行看到请求的是一个类型为CNAME的记录:
,结果得到规范主机名www-g-com-。
第二行和第三行请求类型为A的记录www-g-com-,得到结果为IP地址74.125.71.99和74.125.71.104。
从这里可以看到谷歌的另一个域名为:
www-g-com-,解析后的地址为:
74.125.71.99。
接下来Authoritativenameservers中的四行表示请求知道如何获取域中主机IP地址的权威DNS服务器的主机名,得到结果为、、和。
在下面Additionalrecords中的四行是请求主机名为、、和的IP地址,得到结果分别是216.239.32.10、216.239.34.10、216.239.36.10、216.239.38.10。
不同域名搜寻结果:
XX:
新华网:
新浪网:
所以,由上可得,不同网址的其他域名和地址:
域名
地址
www-g-com-
74.125.71.99
61.135.169.105
60.217.232.197
202.108.33.73
[实验总结]:
通过实验学会了对DNS协议的分析,能借助于wireshark和cmd对DNS进行分析;
通过实验让自己更清楚的认识了域名的定义;
学会了ipconfig和ping的相关操作;
[我有问题]:
在wireshark的过滤框中输入dns后会出现MDNS的protocol,MDNS是什么?
是加载在dns里的一个协议?
为什么在学校外面用wireshark截的回答报文的图里没有Authoritativenameservers和Additionalrecords?
而在学校的时候有,和我所处的位置和网络环境有关?
校内:
校外:
谢谢了~
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 131630 DNS