深入解析DNS协议：从EmilHernvall/dnsguide看DNS报文结构-CSDN博客

本文链接：https://blog.csdn.net/gitblog_00479/article/details/148527105

深入解析DNS协议：从EmilHernvall/dnsguide看DNS报文结构

dnsguide A guide to writing a DNS Server from scratch in Rust 项目地址: https://gitcode.com/gh_mirrors/dn/dnsguide

本文将通过EmilHernvall的DNS指南项目，深入解析DNS协议的核心结构和实现原理，帮助读者全面理解DNS报文格式和工作机制。

DNS协议基础

DNS（域名系统）作为互联网的基础设施，负责将人类可读的域名转换为机器可识别的IP地址。传统DNS查询使用UDP协议传输，报文大小限制为512字节。虽然现代DNS已经支持TCP传输和EDNS扩展，但理解基础协议仍是掌握DNS的关键。

DNS协议的一个显著特点是查询和响应使用相同的报文格式，这与大多数互联网协议不同。这种设计简化了实现，一旦完成报文的解析和构建代码，协议处理就基本完成了。

DNS报文结构详解

一个完整的DNS报文由五个主要部分组成：

报文头（Header）：固定12字节，包含控制信息
问题部分（Question Section）：包含查询的域名和记录类型
回答部分（Answer Section）：包含查询的答案记录
授权部分（Authority Section）：包含权威名称服务器记录
附加部分（Additional Section）：包含额外可能有用的信息

报文头结构

报文头是DNS报文的核心控制部分，包含16个字段：

| 字段名 | 长度 | 描述 | |--------------|--------|----------------------------------------------------------------------| | ID | 16位 | 查询标识符，响应必须使用相同ID | | QR | 1位 | 0表示查询，1表示响应 | | OPCODE | 4位 | 操作码，通常为0（标准查询） | | AA | 1位 | 权威回答，表示响应服务器是否是被查询域名的权威服务器 | | TC | 1位 | 截断标志，表示报文因超长被截断 | | RD | 1位 | 递归期望，客户端设置以请求服务器递归查询 | | RA | 1位 | 递归可用，服务器表示是否支持递归查询 | | Z | 3位 | 保留位，现用于DNSSEC | | RCODE | 4位 | 响应代码，表示查询状态（0=无错误，2=服务器失败，3=域名不存在等） | | QDCOUNT | 16位 | 问题部分中的问题数量 | | ANCOUNT | 16位 | 回答部分中的资源记录数量 | | NSCOUNT | 16位 | 授权部分中的名称服务器记录数量 | | ARCOUNT | 16位 | 附加部分中的资源记录数量 |

问题部分结构

问题部分包含客户端查询的域名和记录类型：

| 字段 | 类型 | 描述 | |--------|----------------|----------------------------------------------------------------------| | Name | 标签序列 | 查询的域名，使用特殊的标签格式编码 | | Type | 2字节整数 | 记录类型（1=A记录，2=NS记录，5=CNAME记录等） | | Class | 2字节整数 | 网络类型，通常为1（表示Internet） |

资源记录结构

资源记录（RR）是DNS的核心数据单元，所有记录类型共享相同的前导结构：

| 字段 | 类型 | 描述 | |--------|----------------|----------------------------------------------------------------------| | Name | 标签序列 | 域名 | | Type | 2字节整数 | 记录类型 | | Class | 2字节整数 | 网络类型，通常为1 | | TTL | 4字节整数 | 生存时间，表示记录可缓存的时间（秒） | | Len | 2字节整数 | 记录数据长度 |

以A记录为例，其具体结构为：

| 字段 | 类型 | 描述 | |-----------|-----------------|----------------------------------------------------------------------| | Preamble | 记录前导 | 标准记录前导，长度字段设为4 | | IP | 4字节整数 | IPv4地址，以4字节整数形式存储 |

DNS名称编码与压缩

DNS名称使用标签序列格式编码，每个标签前有一个长度字节。例如"google.com"编码为：

06 67 6f 6f 67 6c 65 03 63 6f 6d 00

其中：

0x06表示接下来的6个字节是第一个标签("google")
0x03表示接下来的3个字节是第二个标签("com")
0x00表示名称结束

为了节省空间，DNS实现了名称压缩机制。当名称重复出现时，可以使用指针引用之前出现的位置。指针由两个字节组成，前两位设置为11，剩余14位表示偏移量。

例如，在响应报文中看到的0xC00C表示：

前两位11表示这是一个指针
后14位0x000C表示从报文开始处偏移12字节的位置继续读取名称

实战分析：DNS报文解析

让我们通过实际报文分析加深理解。以下是一个查询google.com A记录的请求报文十六进制表示：

86 2a 01 20 00 01 00 00 00 00 00 00 06 67 6f 6f 67 6c 65 03 63 6f 6d 00 00 01 00 01

分解如下：

报文头：86 2a 01 20 00 01 00 00 00 00 00 00
- ID: 0x862a
- 标志：0x0120（二进制00000001 00100000）
  - QR=0（查询）
  - OPCODE=0（标准查询）
  - RD=1（请求递归）
- QDCOUNT=1（一个问题）
问题部分：
- 名称：06 67 6f 6f 67 6c 65 03 63 6f 6d 00（"google.com"）
- 类型：00 01（A记录）
- 类：00 01（Internet）

对应的响应报文：

86 2a 81 80 00 01 00 01 00 00 00 00 06 67 6f 6f 67 6c 65 03 63 6f 6d 00 00 01 00 01 c0 0c 00 01 00 01 00 00 01 25 00 04 d8 3a d3 8e

关键部分：

报文头标志：0x8180（二进制10000001 10000000）
- QR=1（响应）
- RA=1（支持递归）
ANCOUNT=1（一个回答记录）
回答记录：
- 名称：c0 0c（指向偏移12字节处的名称"google.com"）
- 类型：00 01（A记录）
- 类：00 01（Internet）
- TTL：00 00 01 25（293秒）
- 数据长度：00 04（4字节）
- IP地址：d8 3a d3 8e（216.58.211.142）