實習5DNS協(xié)議分析_第1頁
實習5DNS協(xié)議分析_第2頁
實習5DNS協(xié)議分析_第3頁
實習5DNS協(xié)議分析_第4頁
實習5DNS協(xié)議分析_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

DNS協(xié)議分析實習目的捕捉本機閱讀外部某一網(wǎng)站時的DNS、HTTP數(shù)據(jù)包,取DNS、HTTP典型數(shù)據(jù)包各一個,列出其應用層、傳輸層、IP層、數(shù)據(jù)鏈路層上各層上數(shù)據(jù)包相應參數(shù),首部內(nèi)容,并對感愛好的部份進行深切分析。實習內(nèi)容DNS報文格式:卩 19 31標煩標占問題離貴標歸戟說明一下:并非是所有DNS報文都有以上各個部份的。圖中標示的“12字節(jié)”為DNS首部,這部份確信都會有,首手下面的是正文部份,其中查詢問題部份也都會有。除此之外,回答、授權和額外信息部份是只出此刻DNS應答報文中的,而這三部份又都采納資源記錄(RecourceRecord)的相同格式,那個稍后會提到。下面逐個字段地分析DNS報文。標識(2字節(jié)):那個字段網(wǎng)上的說明有點不清楚:“由客戶程序設置并有效勞器返回結(jié)果?!笨戳讼聦嶒炇业某绦蚝臀臋n,原先那個字段能夠看做是DNS報文的ID,關于相關聯(lián)的請求報文和應答報文,那個字段是相同的,由此能夠區(qū)分DNS應答報文是哪個請求報文的響應。QR(1比特):查詢/響應的標志位,1為響應,0為查詢。opcode(4比特):概念查詢或響應的類型(假設為0那么表示是標準的,假設為1那么是反向的,假設為2那么是效勞器狀態(tài)請求)。AA(1比特):授權回答的標志位。該位在響應報文中有效,1表示名字效勞器是權限效勞器(關于權限效勞器以后再討論)TC(1比特):截斷標志位。1表示響應已超過512字節(jié)并已被截斷(依稀仿佛記得哪里提過那個截斷和UDP有關,先記著)RD(1比特):該位為1表示客戶端希望取得遞歸回答(遞歸以后再討論)RA(1比特):只能在響應報文中置為1,表示能夠取得遞歸響應。zero(3比特):不說也明白都是0了,保留字段。rcode(4比特):返回碼,表示響應的過失狀態(tài),一樣為0和3,各取值含義如下:0 無過失格式過失問題在域名效勞器上域參照問題查詢類型不支持在治理上被禁止--15保留標志段說完了,下面是問題數(shù)、資源記錄數(shù)、授權資源記錄數(shù)和額外資源記錄數(shù),這四個字段都是兩字節(jié),別離對應下面的查詢問題、回答、授權和額外信息部份的數(shù)量。一樣問題數(shù)都為1,DNS查詢報文中,資源記錄數(shù)、授權資源記錄數(shù)和額外資源記錄數(shù)都為0.該說正文部份了。查詢問題部份格式如下:

查詢類型(2字節(jié)):通常查詢類型為A(由名字取得IP地址)或PTR(取得IP地址對應的域名),類型列表如下:助記符說明類型1AIPv4地址。2NS名字服務器。5CNAME規(guī)范名稱。定義主機的正式名字的別名。6SOA開始授權。標記一個區(qū)的開始。11WKS熟知服務。定義主機提供的網(wǎng)絡服務。12PTR指針。把IP地址轉(zhuǎn)化為域名。13HINFO主機信息。給出主機使用的硬件和操作系統(tǒng)的表述。15MX郵件交換。把郵件改變路由送到郵件服務器。28AAAAIPv6地址。252AXFR傳送整個區(qū)的請求。255ANY對所有記錄的請求。查詢類(2字節(jié)):一樣為1,指Internet數(shù)據(jù)。前面說過,回答字段,授權字段和附加信息字段均采納資源記錄RR(ResourceRecord)的相同格式。該格式如下:域名字段(不定長或2字節(jié)):記錄中資源數(shù)據(jù)對應的名字,它的格式和查詢名字段格式相同。當報文中域名重復顯現(xiàn)時,就需要利用2字節(jié)的偏移指針來替換。例如,在資源記錄中,域名一般是查詢問題部份的域名的重復,就需要用指針指向查詢問題部份的域名。關于指針怎么用,TCP/IP詳解里面有,即2字節(jié)的指針,最簽名的兩個高位是11,用于識別指針。其他14位從報文開始處計數(shù)(從0開始),指出該報文中的相應字節(jié)數(shù)。注意,DNS報文的第一個字節(jié)是字節(jié)0,第二個報文是字節(jié)1。一樣響應報文中,資源部份的域名都是指針C00C,恰好指向請求部份的域名。類型(2字節(jié))、類(2字節(jié)):含義與查詢問題部份的類型和類相同。生存時刻(4字節(jié)):該字段表示資源記錄的生命周期(以秒為單位),一樣用于本地址解析程序掏出資源記錄后決定保留及利用緩存數(shù)據(jù)的時刻。資源數(shù)據(jù)長度(2字節(jié)):表示資源數(shù)據(jù)的長度(以字節(jié)為單位,若是資源數(shù)據(jù)為IP那么為0004)資源數(shù)據(jù):該字段是可變長字段,表示按查詢段要求返回的相關資源記錄的數(shù)據(jù)。大體上對DNS報文格式的分析確實是這些了。實習結(jié)果一、學會利用nslookup命令要在交互模式下啟動,只需在命令提示符下輸入nslookup:C:\>nslookupDefaultServer:在命令提示符下輸入help或?將生成可用的命令列表。自己上網(wǎng)查找nslookup命令利用的信息。nslookup命令的功能是查詢一臺機械的IP地址和其對應的域名。它通常需要一臺域名效勞器來提供域名效勞。若是用戶已經(jīng)設置好域名效勞器,就能夠夠用那個命令查看不同主機的IP地址對應的域名。Nslookup必需要安裝了TCP/IP 協(xié)議的網(wǎng)絡環(huán)境以后才能利用。該命令的一樣格式為:nslookup[IP地址/域名]3、正向地址解析單擊“開始”>“程序”>“附件”>“命令提示符”C:\>Nslookup “回車”以后即可看到如下結(jié)果:正在工作的DNS效勞器的主機名為,它的IP地址是,而域名所對應的IP地址為,別名為,、反向地址解析它的反向解析是不是正常呢?也確實是說,可否把IP地址反向解析為域名 NslookupK:XDocumentsand in lookup213Eeruer: caclie-aHddress: 202.96.12B.86name: £325913783.uehsiteliome.co.uknddress: 9得結(jié)果說明,DNS效勞器的反向解析功能也正常。但是,有的時候,咱們鍵入Nslookup,卻顯現(xiàn)如下結(jié)果:Server:Address:***can'tfindNon-existentdomain這種情形說明網(wǎng)絡中DNS效勞器在工作,卻不能實現(xiàn)域名的正確解析?,F(xiàn)在,要分析DNS效勞器的配置情形,看是不是這一條域名對應的IP地址記錄已經(jīng)添加到了DNS的數(shù)據(jù)庫中。還有的時候,咱們鍵入Nslookup,會顯現(xiàn)如下結(jié)果***Can'tfindservernamefordomain:Noresponsefromserver***Can't :Non-existentdomain這時,說明測試主機在目前的網(wǎng)絡中,全然沒有找到能夠利用的DNS效勞器?,F(xiàn)在,咱們要對整個網(wǎng)絡的連通性作全面的檢測,并檢查DNS效勞器是不是處于正常工作狀態(tài),采納慢慢排錯的方式,找出DNS效勞不能啟動的本源。假假想查詢更多信息,咱們可將查詢模式設為any以后,再輸入一樣的主機名稱碰運氣:C:/>nslookupsetq=any就能夠夠看到更多的數(shù)據(jù)了。假設利用“除錯模式”的話,看到的資料還將更多!>setdebug另外,您還能夠用setq=mx或setq=ptr等模式來查詢特定的記錄,也能夠用ls后接domainname來查看某個domain的所有主機記錄。善用nslookup咱們能夠找到許多DNS的信息,而當有問題發(fā)生的時候,那個工具就變得超級有效了。五、分析DNS消息格式清空DNS高速緩存:“開始”>“程序”>“附件”>“命令提示符”輸入命令行“ipconfig/flushdns”按“回車鍵”執(zhí)行命令。在Dos命令提示符中,執(zhí)行實驗步驟3的正向解析命令nslookup,同時利用ethereal進行捕捉,并分析捕捉到的DNS請求和響應消息格式。觀看DNS是不是利用的是傳輸層UDP協(xié)議,效勞端口53。觀看DNS消息的發(fā)送主機IP地址和接收主機IP地址。請求消息內(nèi)容

M0.TimeSourceDesDnaliori^FQlDCfllInto5D.367Q2637ZQ2u56ulZ8-atiDN51135D.3B17D62D2.96.12S.a-537orussiandardqueryresp口仃三匕pth.cache-=i?quangzhou.1145D.3B4OB7172.lfi.57.137202.^.128.騎DN5Standardquerya*w,qnolE,com1155D.393754ZDZuSe.izSuas172ul6u57uia7DNSSxandardquervresponseA .7D.39SFraitie112CB6bytasonwire,E6bytescapruredj£Ethernetll4即匚:EliTegro.clrszzeitoo:l^:2a:cl:37:&O.dst:0口;1就匚日汕4;3chaLCoo:19:ce:w:3d:EL?i±InternetProrocal^Src:B7(172^16^57^1373,Dst:202u56ulZ8-36(202-96.125.36)國UserDatagraitiPratacDleSrcPorts125DClZ5DjeDstPortsdottiain(53)-DemalnMattieSyszernCquery)TransactIanIDsQxOOOltFlagssCxOlDOCstandardquery!a □i=Response]Messageisaquery.ODOD = Dpcodfi!zraridardqdfir*yfD) 0 = iruncared!message1snoi:rrun匚niRd 1 = Recursiondesired:口口quer^feuurslvely D = z:r'eserved(0) 0 ....=ruon-aurhenr1careddatadk^Non-aiKhenTlcareddataIsdnaccepTablcquesrIons1Answerrre:0Aurhorlry尺禮e: 0Addlrlonalrrs:086.12B. 202-I86.12B. 202-I:ryp^ftr?classimName:86.12B.9&.202.1n~Type!fir(Domainnamepo1nxer)匚IN(DicODOl)TransactionID:消息編號,作為確認依據(jù);Flags:標志位Response:消息是請求消息=0Opcode:消息類型:=0標準查詢,=1IQUERY反向查詢,=2效勞器狀態(tài)查詢,Truncated:截斷,若是UDP包超過512字節(jié)將被截流。Recursion:=1請求遞歸查詢Z:Reserved(=0)保留沒用Non-authentlacteddataok:非鑒定數(shù)據(jù)不可同意Questions:有一個查詢信息Queries:查詢消息內(nèi)容反向查詢的域名.■HTrarne113fl23byresonw1reH123byrescapruredj.■hEThernerilh5rcsQD:i9:c6:a4:3d:aitQD]ie:c6:Q4:3d:ai5,dst:EliTegro.cliaFi&JCou:14:2a:cl:37:&OHInternexPrOTDCC-l,Srci2DZ.96.123u56(202.9-5-12E.a&XDStE17Zul6b57blB7(37).■HUserDaragramPrcrcocalSrcPortedwiain〔5刃*DsrPari::1250fl25Q)TransacrionID;oxwoai日匚lags;0x6130(St^ndar'dcfjeryresponse:.Noerror)1,???“?“?■Response;Me^sa^ aresponseMOD也 r?..■Opcode:Stanek「臼query0、….B0.B….■AuthDritatTve;^rveri5notanauthority尸口「domain….…乩….■Truncated:Messaqeisnottruncated….…1….??..■P.ecursiondesir^;Doqueryrecursivelym,???“?? 1,■-■n.ecursioni^ailable:Servercandorecursivequeries 0..__..?z:reservedCD> 0.__..=Anskieraurhenrlcaxfid:nnEkier/auihorIryporr1on**ashotaurhenrScaredbyTheserverODOO=Replycode!:ruoerror(O)quesTioris:1AnsMrrrs:1quesTioris:1AnsMrrrs:1AurhorlTyrre:0Addlxlanalrrs:DBQueries曰E&ulZSu2Q2uin-addrBarpagtypePTR,classINName:B6.12比96.202-1Type:PTR(Demalnnamepa1nrcer^iClassINCOxDOClj曰AnswersRiS-lFS,g<5-2Ci3mFc—adEr""孔『艮彳弋typ£PTIliq13:ss;工匚召匚人皀一彳亠guang^hciLi,grt?znName;B6.128- 202.Type;PTRCDomainnamepoirrter^Class;INWkD<i01;iTimetolive:15hoursii4minutes121secondsData1ength;25Domainname;cache-a.guangzhou?TransactionID:消息編號,作為確認依據(jù)二查詢消息編號;Flags:標志位Response:消息是響應消息=1Opcode:消息類型:=0標準查詢,=1IQUERY反向查詢,=2效勞器狀態(tài)查

詢,Authoritative:效勞器是被該域授權的Truncated:截斷,若是UDP包超過512字節(jié)將被截流。Recursiondesired:=1請求遞歸查詢Recursionavailable:=1效勞器執(zhí)行遞歸查詢Z:Reserved(=0)保留沒用Answerauthentlacted:表示不是授權回答Replycode:名字無錯誤Questions:有一個查詢信息Answer:有一個響應消息Queries:查詢消息內(nèi)容反向查詢的域名Answers:響應消息內(nèi)容查±Frame114.(T3byreton4/1re,73byrescapTLir'fid)±Exherneiir,src:e11reqro_cl!±Frame114.(T3byreton4/1re,73byrescapTLir'fid)±Exherneiir,src:e11reqro_cl!37:e4 :2a:cl:37!:£4),osr;DO:19 i3d;81 i3d;Sl)±inxerneTproracol,src;172.IS.57.1S7(37),osr202.G-6.12S.3S(23.66)IUserDatagramProtncnl3SrcPort:12

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論