DNS協(xié)議分析實(shí)驗(yàn)

1、.吉林農(nóng)業(yè)大學(xué)實(shí)驗(yàn)報(bào)告：李洪爽學(xué)號(hào)：12145211專業(yè)：物聯(lián)網(wǎng)工程第六次2016年5月16日實(shí)驗(yàn)七 DNS協(xié)議分析一、 實(shí)驗(yàn)?zāi)康?.學(xué)會(huì)客戶端使用nslookup命令進(jìn)行域名解析。2.通過協(xié)議分析軟件掌握DNS協(xié)議的報(bào)文格式。二、實(shí)驗(yàn)原理DNS是域名系統(tǒng)(Domain Name System)的縮寫，該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)。域名是由圓點(diǎn)分開一串單詞或縮寫組成的，每一個(gè)域名都對(duì)應(yīng)一個(gè)惟一的IP地址，在Internet上域名與IP地址之間是一一對(duì)應(yīng)的，DNS就是進(jìn)行域名解析的服務(wù)器DNS命名用于Internet等TCP/IP網(wǎng)絡(luò)中，通過用戶友好的名稱查找計(jì)算機(jī)和服務(wù)。

2、DNS是因特網(wǎng)的一項(xiàng)核心服務(wù)，它作為可以將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫而存在。 DNS 是一個(gè)分層級(jí)的分散式名稱對(duì)應(yīng)系統(tǒng)，有點(diǎn)像電腦的目錄樹結(jié)構(gòu)：在最頂端的是一個(gè)“root”，然后其下分為好幾個(gè)基本類別名稱，如：orgedu 等；再下面是組織名稱，如：IBMMicrosoftIntel 等；繼而是主機(jī)名稱，如：mailftp 等。一個(gè)具體的 DNS運(yùn)作過程如下：1. 當(dāng)被詢問到有關(guān)本域名之內(nèi)的主機(jī)名稱的時(shí)候，DNS 服務(wù)器會(huì)直接做出回答；2. 客戶端向服務(wù)器提出查詢項(xiàng)目；3. 如果所查詢的主機(jī)名稱屬于其它域名的話，會(huì)檢查緩存(Cache)，看看有沒有相關(guān)資料；4. 如果沒有發(fā)現(xiàn)，則

3、會(huì)轉(zhuǎn)向 root 服務(wù)器查詢；5. 然后 root 服務(wù)器會(huì)將該域名之下一層授權(quán)(authoritative)服務(wù)器的位置告知(可能會(huì)超過一臺(tái)) ；6. 本地服務(wù)器然后會(huì)向其中的一臺(tái)服務(wù)器查詢，并將這些服務(wù)器名單存到緩存中，以備將來之需(省卻再向 root 查詢的步驟) ；7. 遠(yuǎn)方服務(wù)器回應(yīng)查詢；8.若該回應(yīng)并非最后一層的答案，則繼續(xù)往下一層查詢，直到獲得客戶端所需的結(jié)果為止；9. 將查詢結(jié)果回應(yīng)給客戶端，并同時(shí)將結(jié)果儲(chǔ)存一個(gè)備份在自己的緩存里面； 10. 如果在存放時(shí)間尚未過時(shí)之前再接到相同的查詢，則以存放于緩存里的資料來做回應(yīng)。從這個(gè)過程我們可以看出，沒有任何一臺(tái) DNS 主機(jī)會(huì)包含所有

4、域名的 DNS 資料，資料都是分散在全部的 DNS 服務(wù)器中。DNS協(xié)議報(bào)文結(jié)構(gòu)通過研究發(fā)現(xiàn)，DNS協(xié)議分成包頭和數(shù)據(jù)兩部分。如圖1所示，該報(bào)文由12字節(jié)的首部和4個(gè)長度可變的字段組成。以下會(huì)詳細(xì)介紹個(gè)字段：1. 標(biāo)識(shí)標(biāo)識(shí)字段由客戶程序設(shè)置并有服務(wù)器返回結(jié)果，16位，在對(duì)應(yīng)的query和response報(bào)文中有著相同的ID，可以在抓到的包中配對(duì)請(qǐng)求和應(yīng)答報(bào)文，提取相關(guān)信息，同時(shí)也可以根據(jù)他們的時(shí)間戳大致估計(jì)DNS的相應(yīng)時(shí)間。2. 標(biāo)志標(biāo)志字段長16bit，結(jié)構(gòu)如圖2所示：QR 1 OpcodeAA 1 TC 1 RD 1 RA 1 Zero 3 Rcode 4 QR：1bits字段，0表示查詢

5、報(bào)文，1表示響應(yīng)報(bào)文Opcode：4bits字段，通常值為0（標(biāo)準(zhǔn)查詢），其他值為1（反向查詢）和2（服務(wù)器狀態(tài)請(qǐng)求）AA：1bits標(biāo)志表示授權(quán)回答（authoritive answer）,該名字服務(wù)器是授權(quán)于該領(lǐng)域的TC：1bits字段，表示可截（truncated），使用UDP時(shí)，它表示當(dāng)應(yīng)答的總長度超過512字節(jié)時(shí)，只返回前512個(gè)字節(jié)RD：1bits字段，表示期望遞歸，該比特能在一個(gè)查詢中設(shè)置，并在一個(gè)響應(yīng)中返回，這個(gè)標(biāo)志告訴名字服務(wù)器必須處理這個(gè)查詢，也稱為一個(gè)遞歸查詢，如果該位為0，且被請(qǐng)求的名字服務(wù)器沒有一個(gè)授權(quán)回答，它就返回一個(gè)能解答該查詢的其他名字服務(wù)器列表，這稱為迭代查詢

6、（期望遞歸）RA：1bits字段，表示可用遞歸，如果名字服務(wù)器支持遞歸查詢，則在響應(yīng)中將該bit置為1（可用遞歸）zero：必須為0rcode：是一個(gè)4bit的返回碼字段，通常值為0（沒有差錯(cuò)）和3（名字差錯(cuò)），名字差錯(cuò)只有從一個(gè)授權(quán)名字服務(wù)器上返回，它表示在查詢中指定的域名不存在隨后的4個(gè)bit字段說明最后4個(gè)變長字段中包含的條目數(shù)，對(duì)于查詢報(bào)文，問題數(shù)通常是1，其他三項(xiàng)為0，類似的，對(duì)于應(yīng)答報(bào)文，回答數(shù)至少是1，剩余兩項(xiàng)可以使0或非05. DNS查詢報(bào)文中每個(gè)查詢問題的格式0 16 31查詢名查詢類型查詢類查詢名：要查找的名字查詢類：通常值為1，表示是互聯(lián)網(wǎng)的地址，也就是IP協(xié)議族的地址查

7、詢類型：有很多種查詢類型，一般最常用的查詢類型是A類型（表示查找域名對(duì)應(yīng)的IP地址）和PTR類型（表示查找IP地址對(duì)應(yīng)的域名）查詢名為要查找的名字，它由一個(gè)或者多個(gè)標(biāo)示符序列組成，每個(gè)標(biāo)示符已首字符字節(jié)數(shù)的計(jì)數(shù)值來說明該表示符長度，每個(gè)名字以0結(jié)束，計(jì)數(shù)字節(jié)數(shù)必須是063之間，該字段無需填充字節(jié)，如：6. DNS響應(yīng)報(bào)文中的資源記錄格式：域名：記錄中資源數(shù)據(jù)對(duì)應(yīng)的名字，它的格式和查詢名字段格式相同類型：類型說明RR的類型碼，類通常為1，指Internet數(shù)據(jù)生存時(shí)間：客戶程序保存該資源記錄的秒數(shù)資源數(shù)據(jù)長度：說明后面資源數(shù)據(jù)的數(shù)量，該數(shù)據(jù)的格式依賴于類型字

8、段的值，對(duì)于類1（A記錄）記錄數(shù)據(jù)室4字節(jié)的IP地址資源數(shù)據(jù)：服務(wù)器端返回給客戶端的記錄數(shù)據(jù)Nslookup是一個(gè)監(jiān)測(cè)網(wǎng)絡(luò)中DNS服務(wù)器是否能夠正確實(shí)現(xiàn)域名解析的命令行工具。它在Windows NT/2000/XP中均可使用。本實(shí)驗(yàn)通過nslookup檢測(cè)服務(wù)器的配置，并利用協(xié)議分析Wireshark捕獲分析nslookup命令產(chǎn)生的DNS數(shù)據(jù)包。Nslookup查詢命令格式為nslookup域名，主要做兩個(gè)操作，一個(gè)是根據(jù)本地DNS服務(wù)器的IP地址獲得本地DNS服務(wù)器的名字，二是根據(jù)輸入查詢的域名查找該域名的IP地址。三、實(shí)驗(yàn)步驟1. 打開Wireshark，選擇工具欄上的“Capture”

9、->“interfaces選擇網(wǎng)關(guān)”，截圖替換：2、然后在Wireshark，選擇工具欄上的“Capture”->“optoins”選擇過濾器，并在capture filter中輸入 udp port 53(表示要抓dns的包)，截圖替換3.打開命令提示符，鍵入CMD后，輸入nslookup .google. 截圖替換分析：1） 由此可知，本地域名服務(wù)器是：Cc-cache1-ibm2） Ip地址是：63） .google.別名：.google.DHCP4） 的ip地址有1個(gè)分析抓到的DNS的包，截圖：第一幀是08發(fā)送給本地DNS服務(wù)器6的反向查詢?nèi)〉脠?bào)文，用于獲得本地DNS服務(wù)器的名字。截圖并分析：分析：問題的個(gè)數(shù)：1回答RR個(gè)數(shù)：0權(quán)威域名RR數(shù)：0附加RR數(shù)：0Type 為：A第二幀，截圖存活時(shí)間是：58告訴查詢結(jié)果是：pub.idqqimg.tc.qq.第三幀截