七、DNS报文及抓包分析 - 物流园资讯移动站

七、DNS报文及抓包分析

2024-11-04 17:30

六、DNS的资源记录与报文格式

七、DNS报文及抓包分析

6.1、资源记录

资源记录(Resource Record)在DNS的查询和应答报文中。DNS服务器也存储资源记录。

资源记录是包含4个字段：(Name, Valuer, Type, TTL) 。TTL是该记录的生存时间，它决定了RR在缓存中的时间。

Name和Value的值取决于Type，常见的三种type如下：

如果Type = A，则Name是主机名，Value是该主机名对应的IP地址。 A资源记录提供了主机名到IP地址的映射。例如(bar.foo.com, 145.37.93.126, A)。

如果Type = NS，则Name是一个域(如foo.com)，而Value是该域的权威DNS服务器的域名。例如(foo.com, dns.foo.com, NS)。NS资源记录用于将DNS查询报文发送到对应的DNS服务器（路由DNS查询）。

如果Type = CNAME，则Value是名为Name的主机对应的规范主机名（别名）。例如(foo.com, relay1.bar. foo. com, CNAME)。该记录保存一个主机名对应的别名。

6.2、报文格式

DNS有两种报文，查询和回答报文。 而且查询和回答报文的总体格式相同，如下图

前三行一共12个字节。标识符是一个16比特的数，用于标识该查询。这个标识符会被复制到对查询的回答报文中，用来匹配发送的请求和接收到的回答。

标志字段中有若干标志。 1比特的查询/回答标志位指出报文是查询报文（0）还是回答报文（1）。当请求DNS服务器是权威DNS服务器时，1比特的“权威服务器” 标志位被置在回答报文中。

如果主机或者DNS服务器在该某DNS服务器没有某记录时，希望执行递归查询，将设置1比特的“希望递归查询” 标志位在查询报文中。如果该DNS服务器支持递归查询，在它的回答报文中会对1比特的“递归可用” 标志位置位。

还有4个有关数量的字段，这些字段对应后面4类数据区域出现的数量。

问题区域包括：①名字字段（正在被查询的主机名字）②类型字段（正被询问的问题类型，例如主机地址是与一个名字相关联（类型A）还是与某个名字的邮件服务器相关联（类型MX））。

在回答报文的回答区域中可以包含多条RR（因此一个主机名能够有多个IP地址）。权威区域包含了其他权威服务器的记录。附加区域包含了其他有帮助的记录。

七、DNS报文示例

关于DNS的命令见博客https://blog.csdn.net/Master_Cui/article/details/112862903和https://blog.csdn.net/Master_Cui/article/details/112862810

当在浏览器中输入www.baidu.com时，DNS的报文整体是这样的：

7.1、DNS查询报文分析

整体来看，DNS查询报文是基于UDP而不是TCP，目标进程的端口是53。接下来再看DNS查询区域

Transaction ID：标识字段，对应前面报文格式中的标识符。客户程序通过它来确定响应与查询是否匹配。

Flags：一共16bit的控制位。

Questions：表示queries区域的数量。

Answers RRs：表示回答区域的数量。

Authority RRs：表示授权区域的数量。

Additional RRs：表示附加区域的数量。

Queries：Queries区域的内容。

Response：0表示query查询消息，1表示response消息。对应报文结构中的1bit的查询/回答标志位。

Opcode：通常值为0，表示标准查询。其他值1表示反向查询，2表示服务器状态请求。

Truncated：表示报文是否被截断。因为UDP数据包有长度限制，当长度过长时会被截断。0表示没截断，1标识DNS报文长度超过512字节，被截断。

Recursion desired：表示希望的查询方式，0表示迭代查询，1表示递归查询。

Z：保留位

Non-authenticated data：未认证数据。

最后看下queries字段

Type：表示查询类型，为A，所以Name表示的就是需要查询的域名（如果是反向查询，则为IP，反向查询即由IP地址反查域名）。

Class：通常为1，表示Internet数据，简写为IN。

7.2、DNS响应报文分析

整体来看，DNS响应报文也是基于UDP，发送进程的端口是53。接下来再看DNS响应区域

Transaction ID：标识字段，为0xc2f2，与查询报文匹配。

Answers RRs：表示回答区域的数量，说明响应报文中包含3个回答。

Flags、Questions、Authority RRs、Additional RRs和Queries都是大同小异

响应报文的flag区域比查询报文多了一些东西

Authoritative：表示应答DNS服务器是否是权威服务器，0表示不是，1表示是

Recursion available：代表服务器是否可以递归查询。1表示可以，0表示不可以。

Answer authenticated：应答/权限部分未由服务器进行认证。

Reply code：状态码。0表示没有差错(No error)。

最后看answer区域

对应前面的Answer RRs数目，有三条，第一条是百度的别名www.a.shifen.com， TTL是85秒，表示只能缓存85，Data Length表示对应answer的字节数，后两个分别给出了别名的IP地址，输入后IP后，出现了百度的页面

参考

《计算机网络自顶向下方法》

https://www.cnblogs.com/liyong-blackStone/p/10330188.html

https://zhuanlan.zhihu.com/p/65076033

https://blog.csdn.net/u014029795/article/details/87186859#t14

以上就是本篇文章【七、DNS报文及抓包分析】的全部内容了，欢迎阅览！文章地址：http://sjzytwl.xhstdz.com/news/369.html
栏目首页相关文章动态同类文章热门文章网站地图返回首页物流园资讯移动站 http://sjzytwl.xhstdz.com/mobile/ , 查看更多