1.6.3 使用tcpdump观察DNS通信过程

最新推荐文章于 2023-07-27 22:03:04 发布
最新推荐文章于 2023-07-27 22:03:04 发布
阅读量316 收藏 1
点赞数 1
文章标签: 网络 linux 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Howl_1/article/details/118711838
版权

使用tcpdump观察DNS通信过程

前言

本篇文章为笔者的读书笔记,未经允许请勿转载。如果对你有帮助记得点个赞(●’◡’●)
本次实验是linux高性能服务器编程的第二个实验,难度不大,巩固tcpdump的一些常用知识。

DNS工作原理

我们通常使用机器的域名来访问这台机器,而不是直接使用IP地址。域名转换成IP地址需要使用域名查询服务。域名查询服务有很多种实现方式,比如NIS(Network Information Service,网络信息服务)、DNS和本地静态文件等。
DNS是一套分布式的域名服务系统。每个DNS服务器上都存放着大量的机器名和IP地址的映射,并且是动态更新的。众多网络客户端程序都使用DNS协议来向DNS服务器查询目标主机的IP地址

linux下访问DNS服务

要访问DNS服务,就必须先知道DNS服务器的IP地址。
linux使用/etc/resolv.conf文件来存放DNS服务器的IP地址。

root@iZwz9e2t1qu6rzggq3tc0dZ:/# cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
# 127.0.0.53 is the systemd-resolved stub resolver.
# run "systemd-resolve --status" to see details about the actual nameservers.

nameserver 127.0.0.53
options timeout:2 attempts:3 rotate single-request-reopen

由于我用的阿里云服务器所以里面的数据不太一样
接下来通过host命令使用DNS协议和服务器通信.

root@iZwz9e2t1qu6rzggq3tc0dZ:/# host -t A wwww.baidu.com
wwww.baidu.com is an alias for ps_other.a.shifen.com.
ps_other.a.shifen.com has address 220.181.38.251
ps_other.a.shifen.com has address 220.181.38.148

其中-t选项告诉DNS协议使用哪种查询类型。我们这里使用的是A类型,即通过机器的域名获得其IP地址(但实际上返回的资源记录中还包含机器的别名)。

实验开始

在服务器上开启两个终端,一个测试终端一个监听终端

  • 监听终端
root@iZwz9e2t1qu6rzggq3tc0dZ:~# tcpdump -i eth0 -nt -s 0 port domain
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes

-i 指定监听的网络接口,网络接口通过ifconfig查看一般都是eth0,-n指定每个监听到数据包中的域名转换成IP地址后显示出来,不把网络地址转换成名字,-t不打印时间戳,“-s snaplen” snaplen表示从一个包中戳取的字节数。0表示包不截断,抓完整的数据包,其实500就够用了,可以看到“capture size 262144 bytes”就是完整的数据包大小。默认的话tcpdump只显示部分数据包,默认68字节。
“port domain”表示只抓取使用domain(域名)服务的数据包,即DNS查询和应答报文。

  • 测试终端
root@iZwz9e2t1qu6rzggq3tc0dZ:/# host -t A wwww.baidu.com
wwww.baidu.com is an alias for ps_other.a.shifen.com.
ps_other.a.shifen.com has address 220.181.38.148
ps_other.a.shifen.com has address 220.181.38.251

关于这个的解释上面已经说了

  • 监听终端
root@iZwz9e2t1qu6rzggq3tc0dZ:~# tcpdump -i eth0 -nt -s 0 port domain
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
IP 172.17.128.254.42357 > 100.100.2.136.53: 62792+ A? ps_other.a.shifen.com. (39)
IP 100.100.2.136.53 > 172.17.128.254.42357: 62792 2/0/0 A 220.181.38.148, A 220.181.38.251 (71)
^C
2 packets captured
2 packets received by filter
0 packets dropped by kernel
root@iZwz9e2t1qu6rzggq3tc0dZ:~#

这两个数据包开始的“IP”指出,它们后面内容描述的是IP数据报(数据报是通过网络传输的数据的基本单元,包含一个报头(header)和数据本身,其中报头描述了数据的目的地以及和其它数据之间的关系。)

tcpdump以“IP地址.端口号”的形式来描述通信的某一端:以“>”表示数据传输的方向,“>”前面是源端,后面是目的端。

第一个数据包是服务器向其首选DNS服务器发送的DNS查询报文(目标端口53是DNS服务使用的端口)。数值62792是DNS查询报文的标识值,因此该值也出现在DNS应答报文中。“+”表示启用递归查询标志。“A?”表示使用A类型的查询方式。“ps_other.a.shifen.com.”则是DNS查询问题中的查询名。括号中的数值39是DNS查询报文的长度(以字节为单位)。

第二个数据包是服务器反馈的DNS应答报文。“2/0/0”表示2个应答资源记录、0个授权资源记录和0个额外信息记录。“A 220.181.38.148, A 220.181.38.251”表示2个应答资源记录的内容。A 表示紧随其后的记录是IP地址。该报文长度71。

数据报信息

在这里插入图片描述

哈尔丫
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
诺诺客服端使用手册1.6.3.rar
09-11
1.6.3版本的使用手册详细介绍了该客户端的各项功能和操作流程,帮助用户更好地理解和掌握其使用方法。这篇文档将基于这个手册,深度解析诺诺客服端1.6.3版的主要特性和操作步骤。 首先,诺诺客服端的核心功能之一是...
计算机网络 - 网络层的协议-icmp协议-arp协议-ping命令
qq_48391148的博客
04-03 4978
目录 1. ICMP协议:(internet control message protocol) 1.1 ICMP报文格式 1.2 常用ICMP报文类型 1.3 ping 命令 1.3.1 -s 选项 指定包的大小 1.3.2 -c 选项 指定发包的数量 1.3.3 -i 选项 指定每个包之间时间间隔 1.3.4 -w 选项 只给你多少时间 期限 1.3.5 -W 期限 1.3.6 -t 选项 一直发包(windows) 1.3.7 如果ping一台服务器pi...
Xshell不能连接到Centos,虚拟机中不能ping外网的解决方案
weixin_46005650的博客
03-23 3300
1.使用Xshell连接虚拟机出现如下问题,连接不上 Host 'hadoop104' resolved to 192.168.10.104. Connecting to 192.168.10.104:22... Could not connect to 'hadoop104' (port 22): Connection failed. Type `help' to learn how to use Xshell prompt. 2.进入虚拟机:ping www.baidu.com 3.连.
在centOS虚拟机上使用yum时报错的解决记录
二郎银的博客
07-15 738
在虚拟机山centOS上使用yum 时报错 Could not retrieve mirrorlist Error: Cannot find a valid baseurl for repo: base 的解决方案
使用tcpdump抓取DNS
CrazyRabbitttt
04-19 6039
本文主要是介绍了我们使用tcpdump工具进行DNS数据包的抓取与分析,希望能够帮助到大家
tcpdump常用方法
识途老码
09-02 1629
tcpdump常用方法tcpdump抓取80端口tcpdump排查DNS解析 tcpdump抓取80端口 # 抓取80端口 tcpdump -i any -n port 80 tcpdump排查DNS解析 # 排查dns是否解析成功 # tcpdump -i any port domain -nn |grep 域名关键字 tcpdump -i any port domain -nn |grep zoom ...
VdhCoAppSetup1.6.3
05-23
对于那些已经使用VdhCoAppSetup1.6.1的用户来说,升级到1.6.3是推荐的,因为新版本通常包含了错误修复、性能提升和新功能的添加。如果用户遇到了无法下载特定类型或来源的视频,或者下载速度慢等问题,升级到最新...
angularjs Web页面框架 v1.6.3
12-01
Angular JS (Angular.JS) 是一组用来开发Web页面的框架、模板以及数据绑定和丰富UI组件。它支持整个开发进程,提供web应用的架构,无需进行手工DOM操作。 AngularJS很小,只有60K,兼容主流浏览器,与 jQuery 配合...
sentinel-dashboard-1.6.3.jar
02-24
在给定的 "sentinel-dashboard-1.6.3.jar" 文件中,我们关注的是 Sentinel 的控制台组件,版本号为 1.6.3。这个 JAR 包主要用于可视化管理和配置 Sentinel 的规则,以便于监控和调整应用程序的流量策略。 Sentinel ...
诺诺客服端使用手册1.6.3.docx
04-08
诺诺客服端使用手册1.6.3.docx
pcap数据包 DNS解析
03-05
对pcap包进行解析 获取DNS内容 C语言编写 可以对数据流进行处理
tcpdump进行DNS抓包
bugcat的博客
08-06 3724
第一个数据包中(DNS查询报文),从ip:10.0.4.5(本机)端口39454发向ip:183.60.83.19(DNS服务器)的53端口(DNS服务的端口),47814是DNS查询报文的标识值,因此该值也出现在DNS应答报文中。”表示使用A类型的查询方式。“CNAME www.a.shifen.com., A 112.80.248.76, A 112.80.248.75”则表示3个应答资源记录的内容。其中CNAME表示紧随其后的记录是机器的别名,A表示紧随其后的记录是ip地址。...
tcpdump命令详解
热门推荐
wj31932的博客
06-05 11万+
本文介绍tcpdump的命令常用格式,参数详解和常见用法技巧范例,并有解决具体问题的实例。是全网最好的入门教程,从命令格式,参数说明,用法范例到解决问题实例,一步步深入说明。
使用tcpdump观察DNS通信过程
m0_51551385的博客
04-07 2328
1、实验概述 在Ubuntu上用host命令通过DNS协议查询www.baidu.com的IP地址。同时,使用tcpdump抓取数据包,并观察结果。 2、实验过程 首先,在一个终端上输入如下命令: sudo tcpdump -nt -s 500 port domain -s 500表示每个数据包的大小为500字节 使用port domain表示只抓取使用domain(域名)服务的数据包,即DNS查询和应答报文。 然后再开一个新的终端,输入如下命令: host -t A www.baidu.com
使用nslookup进行DNS查询及tcpdump/wireshark抓取DNS数据包
ss810540895的博客
03-05 3045
我们通常使用nslookup工具来测试DNS解析,获取DNS报文的详细数据,这也是我们想要使用协议分析工具nslookup来分析DNS流量进行分析。您可以使用它来执行 DNS 查询并接收:域名或 IP 地址,或任何其他特定的 DNS 记录。默认查询主机地址,想要测试其他类型的资源记录,先使用 set type命令设置要查询的DNS记录类型,然后输入域名,可得到相应类型的域名测试结果。这是一个简单的DNS解析过程,序号为56的数据包显示的是DNS查询报文,序号为57是数据包是DNS应答报文。
tcpdump 识别成dns_DNS以及抓包观察
weixin_35688303的博客
01-17 634
1:DNS的层次基础如果是一个绝对域名一般要有最后的根‘.’ 顶级域名有三个部分,第一个是arpa,其余的是一些美国部们使用的,一共七个三字符的标志,现在也有别的地方使用,其他的是按照地方的国家在分的顶级域之后,一般将第二级域改陈和顶级域的七个三字符相同的使用顶级域的从左面的第一个用于IP地址得到域名2:DNS报文格式标识(用来请求DNS报文和应答DNS报文返回的标志是否匹配,一般是个数字,2...
计算机网络 day13 TCP拥塞控制 - tcpdump - DHCP协议 - DHCP服务器搭建 - DNS域名解析系统 - DNS域名解析过程
lpfstudy的博客
07-27 1251
包括src、dst、dst or src、dst and src,这些关键字指明了传输的方向,比如src 192.168.1.1说明数据包源地址是192.168.1.1,dst net 192.168.0.0指明目的网络地址是192.168.0.0,默认是监控主机对主机的src和dst,即默认监听本机和目标主机的所有数据。如果本地解析器的缓存中没有对应的解析结果,它会从根域名服务器开始,逐级向下查询,直到找到负责该域名的权威域名服务器,并将解析结果返回给用户。:一旦慢启动阶段结束,发送方进入拥塞避免阶段。
使用tcpdump 观察DNS IP TCP通信过程
02-10 2127
使用tcp查看DNS通信过程 (base) root@ubuntu:~# sudo tcpdump -i -X ens33 -nt -s 5000 port domain tcpdump: -X: No such device exists (SIOCGIFHWADDR: No such device) (base) root@ubuntu:~# sudo tcpdump -i ens33 -nt -s 5000 port domain IP 192.168.0.107.46401 > 192.1
超详细的网络抓包神器 tcpdump 使用指南
因上努力,果上随缘。但行好事,莫问前程。
08-08 5167
本文主要介绍了 tcpdump 的基本语法和使用方法,并通过一些示例来展示它强大的过滤功能。将 tcpdump 与 wireshark 进行组合可以发挥更强大的功效,本文也展示了如何优雅顺滑地结合 tcpdump 和 wireshark。如果你想了解更多的细节,可以查看 tcpdump 的 man 手册。...
delphimodbus-1.6.3
最新发布
09-10
DelphiModbus-1.6.3 是一个Modbus通信协议的开发工具包,使用Delphi编程语言进行开发。Modbus是一种通信协议,用于在不同设备之间进行数据交换。DelphiModbus-1.6.3提供了一系列函数和类,使Delphi开发人员能够方便...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值