DNS协议分析

最新推荐文章于 2023-01-19 10:39:36 发布
最新推荐文章于 2023-01-19 10:39:36 发布
阅读量1.7k 收藏
点赞数
分类专栏: 网络协议 文章标签: exchange header query 服务器 linux class

转自: http://sns.81010.cn/space.php?uid=2&do=blog&id=12

 

DNS是域名解析协议,服务端实现很多,不过很多时候我需要的客户端程序。用dns来解析IP在很多地方都会,他很重要,但经常被刻意的忽略。这里记录一些我自己实现dns客户端的一些资料和过程。

1、rfc版本

我先附上主要参考的rfc版本http://www.ietf.org/rfc/rfc1035.txt

2、研究过程

使用wireshark跟踪port 53端口,然后ping www.csdn.net记录下发送和接收的报文。

3、解码代码

$(wireshark_src)/epan/dissectors/packet-dns.c 中dns_get_name函数

所有的DNS,不论是发送和接收到,都遵循相同的消息格式,如

  1. /* MESSAGE FORMAT*/  
  2. /* 
  3.     +---------------------+ 
  4.     |        Header       | 
  5.     +---------------------+ 
  6.     |       Question      | the question for the name server 
  7.     +---------------------+ 
  8.     |        Answer       | RRs answering the question 
  9.     +---------------------+ 
  10.     |      Authority      | RRs pointing toward an authority 
  11.     +---------------------+ 
  12.     |      Additional     | RRs holding additional information 
  13.     +---------------------+ 
  14. */  

其中消息头部的格式比较固定,如下:

  1. /* HEADER FORMAT*/  
  2. /* 
  3.                                     1  1  1  1  1  1 
  4.       0  1  2  3  4  5  6  7  8  9  0  1  2  3  4  5 
  5.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 
  6.     |                      ID                       | 
  7.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 
  8.     |QR|   Opcode  |AA|TC|RD|RA|   Z    |   RCODE   | 
  9.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 
  10.     |                    QDCOUNT                    | 
  11.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 
  12.     |                    ANCOUNT                    | 
  13.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 
  14.     |                    NSCOUNT                    | 
  15.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 
  16.     |                    ARCOUNT                    | 
  17.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 
  18. */  

在填充和解析报文的时候,必须注意,这里报文所有的数据格式都是大端格式,而且协议描述的flag部分非常容易出错,必须予以强调。

假设QR=1,其他为0,那么这个字节的值为0x80;如果RD=1,而其他为0,那么这个字节的值为0x01。我们假设QR字段到RCODE字段的这两个字节中,QR=1,RD=1,RC=1,其他部分都是0,那么这2个字节的值为0x81 , 0x80。

16bit的标志字段 如下:

QR:0表示查询报文,1表示响应报文
Opcode:通常值为0(标准查询),其他值为1(反向查询)和2(服务器状态请求)。
AA:表示授权回答(authoritative answer).
TC:表示可截断的(truncated)
RD:表示期望递归
RA:表示可用递归
随后3bit必须为0
Rcode:返回码,通常为0(没有差错)和3(名字差错)
后面4个16bit字段说明最后4个变长字段中包含的条目数。

仔细理解上面这段描述,才能理解各个标志位的含义。

HEADER中的QDCOUNT只是question节的数量,ANCOUNT为answer节的数量,NSCOUNT为auth节的数量,ARCOUNT为addition节的数量。这几个2字节构成的整型也是大端格式。

question主要是由客户端请求来填的,他的格式为

  1. /* QUESTION FORMAT */  
  2. /* 
  3.                                     1  1  1  1  1  1 
  4.       0  1  2  3  4  5  6  7  8  9  0  1  2  3  4  5 
  5.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 
  6.     |                                               | 
  7.     /                     QNAME                     / 
  8.     /                                               / 
  9.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 
  10.     |                     QTYPE                     | 
  11.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 
  12.     |                     QCLASS                    | 
  13.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 
  14. */  

一般来说QTYPE如果是域名解析的话,为T_A =1 ,当然也有T_MX(mail exchange)。在所以名称字段,比较特殊,比如这里的QNAME,其他以字符串形式出现的都是一样的规则。

比如www.csdn.net,他会编成这样的形式:

0x03 0x77 0x77 0x77  0x04 0x63 0x73 0x64 0x6e 0x03 0x6e 0x65 0x74 0x00

和其他字符串一样,这个格式仍然以0x00结尾,不过中间确实不同,他是len + data来混合编码,每个字符串都是以长度开始,然后接着内容。比如"www",他的字符值为0x77 , 在前头是0x03开始,表示后面紧跟着3个字符。

还有一种格式,是使用指针,准确地说应该是偏移量,如下:

0xc0 0x0c 0x00 0x01 0x00 0x01 0x00 0x00 0x02 0x1a 0x00 0x04

这个是DNS服务端返回报文中地一段。0xc0开头,表示这个是指针,后面字节跟着地是偏移量。这个偏移量应该是这样计算的:0xc0 & (~0xc0),这样得到偏移量的高字节,然后和0x0c拼接成一个大端格式短整型。这偏移量是相对于报文起点的偏移量。

我打个比方,比如偏移量超过256,是300 ,他的小端格式为0x012c,那么他在内存中的印象应该是这样的:

0xc1 0x2c。

ANSWER/AUTH/ADDS的几个报文格式都是一样:

  1. /* ANSWER/AUTH/ADDI FORMAT */  
  2. /* 
  3.                                     1  1  1  1  1  1 
  4.       0  1  2  3  4  5  6  7  8  9  0  1  2  3  4  5 
  5.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 
  6.     |                                               | 
  7.     /                                               / 
  8.     /                      NAME                     / 
  9.     |                                               | 
  10.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 
  11.     |                      TYPE                     | 
  12.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 
  13.     |                     CLASS                     | 
  14.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 
  15.     |                      TTL                      | 
  16.     |                                               | 
  17.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 
  18.     |                   RDLENGTH                    | 
  19.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--| 
  20.     /                     RDATA                     / 
  21.     /                                               / 
  22.     +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 
  23. */  

只需要关注的是,每个TYPE都会有自己格式填充在RDATA中,RDATA实际上存放的是一个缓冲区。根据具体TYPE,来解析他的含义,一般说来,我们比较关注的A/CNAME/MX等格式,其他都可以忽略。

linux下提供res_query可以发送请求报文,但返回内容却需要自己解析,没发意思,跟自己写个库都差不多了。解析部分可以参看wireshark,做的很全。

win32也有个函数,不过也差不多。按道理ping应该会有相应的代码,可惜我没有找到相关。最紧密的是gethostbyname,似乎不能解析吧

cursorkey
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DNS协议分析和HTTP协议分析的实验报告.pdf
04-26
更多内容,欢迎访问:言曌博客
DNS协议分析报告
11-30
3.这四帧通过分析可验证nslookup工具完成的DNS工作过程。nslookup的两个阶段:首先通过反向查询获得本地DNS服务器的域名,其次通过正向查询获得查询域名的IP地址。 4.具体分析捕获的数据包中DNS的报文格式细节。
powerdns 系列之二 PowerDNS Authoritative Server
一名数据库爱好者的专栏
01-19 2100
PowerDNS Authoritative Server 权威服务器,直接查询数据库去尝试解析,数据库中若不存在此记录,则直接返回空结果。
DNS协议的客户端实现
romandion的专栏
04-21 6578
DNS是域名解析协议,服务端实现很多,不过很多时候我需要的客户端程序。用dns来解析IP在很多地方都会,他很重要,但经常被刻意的忽略。这里记录一些我自己实现dns客户端的一些资料和过程。 1、rfc版本我先附上主要参考的rfc版本http://www.ietf.org/rfc/rfc1035.txt。 2、研究过程使用wireshark跟踪port 53端口,然后ping
计网学习笔记八.DNS
u014203449的博客
04-05 682
目录 域名系统 DNS的作用 分布式层次式数据库 DNS根域名服务器(第一层) 顶级域名服务器(第二层) 权威(Authoritative)域名服务器(第三层) 本地域名解析服务器 DNS查询示例 缓存 DNS记录和消息格式 DNS协议与消息 如何注册域名? 域名系统 域名比IP更容易记忆、识别,更有意义,人用域名,机器用ip。那域名和ip如何映射。 对几台机器解析域名容易,对整个互联网几十亿台机器解析很难---DNSDNS的作用 4个作用。 集中式缺点:非.
DNS 异步请求池框架实现
you_fathe的博客
08-30 205
DNS 异步请求池框架的实现
dns和常见dns记录类型介绍
u013920085的专栏
01-09 4万+
DNS:(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。使用端口号53。 DNS服务器:用于对域名进行解析的域名解析服务器DNS代理:用于代理域名服务器,对客户端的查询请求进行响应(一
阿里云云盾证书(HTTPS 证书) 的免费续费操作流程
简简单单Onlinezuozuo
09-25 1万+
文章目录阿里云云盾证书(HTTPS 证书) 的免费续费操作流程1、登录到SSL 证书控制台2、点击到期新购3、点击新购4、选择免费证书购买5、补全证书信息 阿里云云盾证书(HTTPS 证书) 的免费续费操作流程 1、登录到SSL 证书控制台 云盾证书服务管理控制台 2、点击到期新购 点击后出现如下页面 3、点击新购 点击后出现如下页面 4、选择免费证书购买 选择比较多,不同的组合点选下来会...
实验报告5 DNS协议分析
12-13
实验报告5 DNS协议分析 包括抓的数据报 并对其进行分析
DNS协议分析实验报告
04-28
DNS协议分析实验报告;对域名的IP地址解析请求和应答报文应逐字段分析,其它报文指出其主要功能
C#的DNS协议完整实现代码【有默认DNS服务器实现哦~】
01-03
有简单的服务器和客户端的默认实现 还有一个简单的DNS代理服务器(有回调函数可以自己加缓存) 支持所有DNS协议报文格式
DNS客户端源代码
05-08
DNS客户端源代码,内容很齐全很适合新手学习DNS。入门资料。
简单本地DNS服务器实现代码(C++)
01-03
本代码为windows端本地DNS服务器简单实现代码,可做为相关课程作业参考。本代码为VS2013编写,上传的即为相应的工程,C++代码实现。
DNS协议解析源码程序
03-15
DNS协议解析源码程序,在识别dns协议基础上,解析dns中各信息。
DNS实现的源代码
09-09
DNS实现的源代码源代码DNS.rar
DNS协议分析实验.doc
10-11
DNS协议分析实验.doc
DNS解析过程详解
热门推荐
Crazw365的专栏
05-29 6万+
先说一下DNS的几个基本概念:     一. 根域 就是所谓的“.”,其实我们的网址www.baidu.com在配置当中应该是www.baidu.com.(最后有一点),一般我们在浏览器里输入时会省略后面的点,而这也已经成为了习惯。 根域服务器我们知道有13台,但是这是错误的观点。 根域服务器只是具有13个IP地址,但机器数量却不是13台,因为这些IP地址借助了任播的技术,所以我们可
DNS报文格式
lgdli的专栏
11-23 4348
 报文格式: 报文由12字节的首部和4个长度可变的字段组成。标识字段由客户程序设置并有服务器返回结果。16bit的标志字段 如下:  QR:0表示查询报文,1表示响应报文Opcode:通常值为0(标准查询),其他值为1(反向查询)和2(服务器状态请求)。AA:表示授权回答(authoritative answer).TC:表示可截断的(truncated)RD:表示期望
DNS应答包中的C00C
萧萧的专栏
02-23 2522
近日在分析DNS应答包的过程中发现一个有趣的问题,就是本应该显示域名的字段中频繁出现"0xC00C",用这两个字节就代替了请求包中的一长串域名。查协议得知原来这是DNS协议消息压缩技术,使用偏移指针代替重复的字符串。该指针占用两个8bit,具体规定如下: +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ | 1 1| ...
域名解析与dns协议分析
最新发布
09-14
域名解析和DNS协议分析是互联网中非常重要的两个概念。 域名解析是指将域名转换为对应的IP地址的过程。当我们在浏览器中输入一个域名时,计算机首先需要将这个域名解析为对应的IP地址,然后才能与服务器进行通信。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值