DNS传输协议解析!pcap报文中的域名获取

最新推荐文章于 2024-05-01 22:48:39 发布
最新推荐文章于 2024-05-01 22:48:39 发布
阅读量3k 收藏 7
点赞数
分类专栏: 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen1415886044/article/details/115585936
版权

回想一下,当我们想访问谷歌的时候,通常输入域名(网址):https://www.google.com,其实这就是一个域名。

DNS 解析过程涉及将主机名(例如 https://www.google.com)转换为计算机友好的 IP 地址(例如 172.217.27.142)。Internet 上的每个设备都被分配了一个 IP 地址,必须有该地址才能找到相应的 Internet 设备 。就像使用街道地址来查找特定住所一样。

我们今天主要做的就是解析DNS协议中的域名。

域名系统(DNS)

IP地址是计算机识别Internet上其他计算机的方式。IP地址并不是特别友好。谁想记住一个地址为 34.25.19.8?或者更长的IPV6地址:2401:8954:3291:26a4:7830:8c12:78ce:95c1?

该域名系统(DNS)给了我们人类一种简单的方法来找出我们想要去访问的互联网。我们只需输入“ www.google.com”之类的域名。

一个域名是人类友好的地址,一个网站,东西很容易让我们记住。

DNS传输协议

DNS使用端口53上的用户数据报协议(UDP)来服务DNS查询。首选UDP协议,因为它速度快且开销低。DNS查询是来自DNS客户端的单个UDP请求,然后是来自服务器的单个UDP答复。

/* 用于DNS的端口。  */
#define DEFAULT_DNS_PORT_RANGE   "53"
#define DEFAULT_DNS_TCP_PORT_RANGE   "53,5353" /*包括mDNS  */
#define SCTP_PORT_DNS             53
#define UDP_PORT_MDNS           5353
#define UDP_PORT_LLMNR          5355
#define TCP_PORT_DNS_TLS         853
#define UDP_PORT_DNS_DTLS        853

如果DNS响应大于512字节,或者DNS服务器正在管理区域传输之类的任务,则使用传输控制协议(TCP)代替UDP,以实现数据完整性检查。

DNS报文结构
DNS通信通过两种消息发生:查询和响应。DNS查询格式和响应格式都具有以下结构

在这里插入图片描述

Header部分 包含标识、查询数量、响应数量、和其他资源记录数。
Flags字段 包含1位或4位的部分,指示消息的类型,名称服务器是否权威;查询是否是递归的,请求是否被截断以及状态。
Questions部分包含 要解析的域名和记录类型(A,AAAA,MX,TXT等)。域名中的每个标签都以其长度为前缀。
Answer 具有查询名称的资源记录。

DNS Questions

DNS Questions的格式为:

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| |
| QNAME |
| |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| QTYPE |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| QCLASS |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

QNAME以标签序列表示的域名,其中每个标签由一个长度组成八位位组,后跟该八位位组的数量。域名以零长度结尾八位位组,表示根的空标签。

QTYPE一个两个八位字节的代码,用于指定查询的类型。您应该为此项目使用0x0001 ,代表A记录(主机地址)。如果您要完成此项目的研究生版本,您还需要将0x000f用于邮件服务器(MX)记录,并将0x0002用于名称服务器(NS)记录。

QCLASS一个两个八位字节的代码,用于指定查询的类。您应该为此始终使用0x0001项目,代表Internet地址。

Wireshark抓包报文查询格式:
在这里插入图片描述

DNS Answers

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| |
| |
| NAME |
| |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| TYPE |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| CLASS |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| TTL |
| |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| RDLENGTH |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--|
| RDATA |
| |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

NAME查询的域名,与Questions中的QNAME格式相同。TYPE包含第一个类型代码的两个八位位组。此字段指定数据的含义RDATA字段。您应该准备好解释类型0x0001 ( A记录)和类型0x0005( CNAME )。

如果您要完成此项目的研究生版本,则还应该准备接受类型0x0002 (名称服务器)和0x000f (邮件服务器)。

CLASS两个八位字节,用于指定RDATA字段中数据的类别。您应该期望0x0001该项目的Internet地址。

TTL可缓存结果的秒数。

RDLENGTH RDATA字段的长度。

RDATA响应的数据。格式取决于TYPE字段

Wireshark抓包报文响应格式:
在这里插入图片描述

DNS协议解析主要代码实现:

int main(int argc, char* argv[])
{
    char errbuf[1024];
    pcap_t *desc = 0;

    char *filename = argv[1];
    if (argc != 2)
    {
        printf("usage: ./dissect_dns [pcap file]\n");
        return -1;
    }

    return 0;
}

输出结果:

在这里插入图片描述

总结

DNS协议可帮助Internet用户和网络设备使用人提供可读的主机名,而不是数字IP地址来发现网站。
对于,深入的理解DNS协议,大家可以看看RFC官方文档。

参考:https://www.rfc-editor.org/info/rfc1035

欢迎关注微信公众号【程序猿编码】,需要DNS源码和报文的添加本人微信号(17865354792)

程序猿编码
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用tshark 和 shell脚本分析 DNS pcap
lepton126的专栏
06-06 4514
使用tshark 和 shell脚本分析 DNS pcap包1、使用tshark过滤dns cap包源ip、目的ip、request请求tshark -r test.cap -T fields -e frame.time -e ip.src -e ip.dst -e dns.qry.name -R 'udp.dstport==53 || dns'2、编写shell脚本,在指定目录下对一批pcap...
DNS隐秘隧道pcap
10-08
DNS隐秘隧道样本,pcap格式,支持各种环境下回放数据包
DNS协议
分享博主日常学习和使用的一些技术
07-22 276
todo 今天抓包碰到了DNS协议,感觉是我知识的盲点,影响了我的判断,现在争取把这个盲点给补充上。 《TCP/IP详解》第14章详细介绍了dns相关知识 几个问题 dns缓存时间是多少? dns服务器是干什么的? dns报文长什么样? dns的流程是怎么样子的? 先走hosts,如果hosts里面没有,会去查dns服务器 dns报文使用的端口?53号端口 dns使用udp还是tcp? dns的查询和响应通常要经过广域网 dns报文格式 ...
pcap数据包 DNS解析
03-05
pcap包进行解析 获取DNS内容 C语言编写 可以对数据流进行处理
LLMNR协议、MDNS协议、NBNS协议
最新发布
banliyaoguai的博客
05-01 1113
MDNS全称Multicast DNSMDNS协议是一种在局域网内实现设备和服务自动发现的协议。具体来说,它允许设备在无需依赖央服务器或配置文件的情况下,通过组播地址发送和接收DNS查询和响应,从而发现局域网的其他设备和服务。MDNS协议基于DNS(协议,但使用组播地址来进行通信,因此能够在局域网快速且高效地实现服务发现。当设备启动时,它会发送一个MDNS查询,询问局域网是否有其他设备或服务可用。如果其他设备知道所需的名称,它们会回复一个MDNS响应,提供相应的IP地址。
dns查询/响应 实例 pcap
11-20
执行命令:dig @202.106.0.20 www.baidu.com 返回的数据包。 可以用来分析dns协议。深入了解dns
c语言:将pcap数据包按域名进行拆分
qq_45128278的博客
12-08 472
实现功能: 提取一个pcap文件里的每个pcap数据包的五元组和根域名,插入到哈希表。 提取一个pcap文件里的每个pcap数据包的五元组,去哈希表查找,如果可以查到,取出对应的根域名,并且输出为pcap数据包,名字是根域名。 以下为一些小记:(判断一个数据包是否有域名! 用一个数组记录已存在的数据包,再决定进行新建pcap还是追加。 根域名数组里有,说明已经有了pcap包,追加在后面。 根域名数组里没有,新建一个。 tmp代表这个根域名在数组的什么位置。) 代码如下: #include<stdio
pcap输出5元组和DNS记录
cnbird's blog
10-08 1943
http://stackoverflow.com/questions/10207423/code-to-analyze-pcap-file http://www.secdev.org/projects/scapy/
pcap4j 实现本地抓包以及解析DNS
09-10
前段时间搞抓包程序,使用Pcap4J实现,简单写了一个demo小程序,有需要的下。
dns设置快速连接微软服务器,快速搭建Windows防污染DNS服务器——Pcap_DNSProxy(一)...
weixin_30420175的博客
08-12 1344
最近了解到一款不错的小工具Pcap_DNSProxy,这是一个可以在Windows上搭建的DNS服务程序,用来防止DNS污染。(同时支持MAC,LINUX)什么是DNS污染DNS污染是一种让用户得到虚假的ip而不能和正常的目标ip进行通讯,是一种DNS缓存投毒攻击(DNS cache poisoing)。其工作方式是:由于通常的DNS查询没有任何认证机制,而且DNS查询通常基于的UDP是无连接不可...
pcapDNS流量分离出隐藏信息
公众号shadow sock7
06-10 4086
参考: http://blog.csdn.net/u011500307/article/details/2583807589504e470d0a1a打开文件是一个pcap文件,在wireshark里面观察可以看到很多dns,这里第一个dns的地址是89504e470d0a1a.asis.io,这个89504e470d0a1a是png的开始的几个数据,叫做magic numbers.➜ ~ he
DNP3 的pacap (合集)包可用于报文回放
11-02
用于 报文的回放 和 报文的分析, DNP3的报文分析,有用的来拿吧.
DNS协议抓包分析
11-03
通过DNS协议抓包详尽分析DNS协议内容
用winpcap实现局域网DNS欺骗之一(基础知识)
leotangcw的专栏
05-23 6238
          随便转载,转载请注明出处http://blog.csdn.net/leotangcw/    欢迎大家和我交流Email:tangchengwen@163.com     学校网络心的老师叫帮忙做一个DNS欺骗的软件。主要用于在学校网络出现问题时把大家的上网请求都转向到一个通知网页上。关于DNS欺骗网上已经有很多文章了,不过实例还是比较少的,特别是使用我们经常使用
DNS A记录和CNAME记录
asd0351992的博客
04-29 1930
参考文章:http://blog.xieyc.com/differences-between-a-record-and-cname-record/ A (Address) 记录是用来指定主机名(或域名)对应的IP地址记录。用户可以将该域名下的网站服务器指向到自己的web server上。同时也可以设置您域名的二级域名。 CNAME:别名记录。这种记录允许您将多个名字映射到另外一个域名...
https(ssl)协议抓包
qq_39717454的博客
07-01 1274
https 工作流程:STEP1:请求 https 连接,并返回证书(公钥)STEP2:产生随机对称秘钥STEP3:使用公钥对对称秘钥加密STEP4:发送加密后的对称秘钥STEP5:通过对称密钥加密的密文通信随便访问一个网址, ssl 进行过滤可得 发现信息有很多的 client hello 和 server hello查看 client hello 可以在 secure sockets lay...
windows下使用winpcap解析网络数据包
背着行囊去远方的博客
05-27 6278
windows下库文件,可以读取windows网卡数据包,并进行解析。 操作如下: vs2019添加winpcap库 1、https://www.winpcap.org/devel.htm下载winpcap SDK包 2、winpcap SDK包解压出来之后,有lib跟include目录 3、将include、lib添加到vs2019项目环境下 4、vs项目增加头文件与lib库路径 5、上代码 #define WIN32 #define HAVE_REMO.
DNS域名解析服务
R1chArd_TvT 的 Blog
03-08 923
DNS(Domain Name System)是域名系统的英文缩写,它作为将域名和IP地址互相映射的一个分布式数据库,能使人们更方便访问互联网。
DNS域名解析响应数据包解析记录的作用
weixin_50005008的博客
03-30 576
DNS服务器会把域名解析到一个IP地址,然后在此IP地址的主机上将一个子目录与域名绑定。域名解析时会添加解析记录,解析记录有以下8种。 DNS数据包: A记录:将域名指向一个IP地址,需要增加A记录。 2. CNAME记录:将域名A指向域名B,实现域名A具有域名B相同的访问效果,需要增加CNAME记录。域名A一般是主机服务商提供的一个域名。 3. MX记录 : 建立电子邮箱服务,将指向邮箱服务器...
dpkt解析pcapudp协议数据,获取dns域名信息
07-08
你可以使用`dpkt`库来解析pcap文件UDP协议数据,然后从DNS域名信息。以下是一个示例: ```python import dpkt def extract_dns_domain(pcap_file): with open(pcap_file, 'rb') as f: pcap = dpkt.pcap.Reader(f) for ts, buf in pcap: eth = dpkt.ethernet.Ethernet(buf) # 检查以太网帧是否为IP数据报 if not isinstance(eth.data, dpkt.ip.IP): continue ip = eth.data # 检查IP数据报是否为UDP数据报 if not isinstance(ip.data, dpkt.udp.UDP): continue udp = ip.data # 检查UDP数据报是否为DNS数据报 if udp.dport != 53 and udp.sport != 53: continue dns = dpkt.dns.DNS(udp.data) # 检查DNS数据报是否为请求报文 if dns.qr != dpkt.dns.DNS_Q: continue # 提取DNS域名信息 for qname in dns.qd: print("DNS域名:", qname.name) # 使用示例 pcap_file = 'example.pcap' extract_dns_domain(pcap_file) ``` 在上面的示例,我们首先打开pcap文件并使用`dpkt.pcap.Reader`读取内容。然后,我们迭代每个数据包,并按照以太网、IP、UDP和DNS的顺序检查协议层。最后,我们提取

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值