Wireshark实验:DNS
1.对命令nslookup -type=A www.nudt.edu.cn的抓包分析
命令执行结果和抓包结果如下:
第三个是DNS查询报文,第四个是DNS回答报文(这里不太理解为什么前面还有两个DNS,并且类型是PTR,后面几条命令也是这样的)
(1)查询报文
如图所示, 该查询报文由以下几个部分构成:
Transaction ID(标识符):是一个16比特的数,用于标识该查询,它会被复制到对应的回答报文中,以便客户对查询报文和回答报文进行匹配
Flags(标志):是一个16比特的数,包含了若干标志,如“查询/回答”标志位用以指出该报文是查询报文还是回答报文
Questions(问题数)
Answer RRs(回答资源记录数)
Authority RRs(权威资源记录数)
Additional RRs(附加资源记录数)
Queries(问题区域),包含的比较重要的字段:
1)Name(名字字段):正在被查询的主机名
2)Type(类型字段):该主机名正在被询问的问题类型
可以看到,正在被查询的主机名是 www.nudt.edu.cn,问题类型是 A
(2)回答报文
如图,回答报文的前面部分和查询报文是一样的,但多了一个Answers(回答区域):
可能包含一个或多个资源记录(Resource Record,RR),也就是说一个主机名可能有多个IP地址,每个资源记录主要由以下几个字段构成:
Type字段:有A、NS、CNAME、MX等,不同字段决定了 Name 和 Value 字段的不同含义:
1)A:Name是主机名,Value是该主机名对应的IP地址,即一条类型为A的资源记录提供了标准的主机名到IP地址的映射
2)NS:Name是个域,Value是一个知道如何获得该域中主机IP地址的权威DNS服务器的主机名,该类型记录用于沿着查询链来路由DNS查询
3)CNAME:Value是别名为Name的主机对应的规范名,该类型记录能够向查询的主机提供一个主机名对应的规范主机名
4)MX:Value是别名为Name的邮件服务器的规范主机名
Name字段:含义由Type字段决定
Value字段:含义由Type字段决定
TTL字段(Time to live):该记录的生存时间,决定了该资源记录应当从缓存中删除的时间
示例中有两条资源记录,表示主机www.nudt.edu.cn有两个IP地址 42.48.27.21 和 202.197.9.133
2.对命令nslookup -type=NS nudt.edu.cn的抓包分析
命令执行结果和抓包结果如下:
(1)查询报文
可以看到,组成和第一条命令的查询报文是一样的,该查询报文的Type字段为NS
(2)回答报文
Answers区域有两条资源记录,由Type=NS可知, 这两条记录给我们的信息是:
两个知道如何个域nudt.edu.cn中主机IP地址的权威服务器的主机名
分别是pdns.nudt.edu.cn和sdns.nudt.edu.cn
3.对命令nslookup -type=A www.nudt.edu.cn sdns.nudt.edu.cn的抓包分析
该命令和1的区别史上,指定了 sdns.nudt.edu.cn 服务器对域名进行解析
命令执行结果和抓包结果如下:
(1)查询报文
和1没有什么区别
(2)回答报文
可以看到,在1的基础上,该回答报文多了 Authoritative nameservers(权威区域) 和 Additional records(附加区域)
权威区域给出了所有权威服务器的主机名和相应记录
附加区域提供了一些其它可能有帮助的信息,如实例中给出了两个权威服务器的IPv4和IPv6地址
4.对命令nslookup -type=MX nudt.edu.cn的抓包分析
命令执行结果和抓包结果如下:
(1)查询报文
格式和之前的一样,类型为MX
(2)回答报文 ![](https://img-blog.csdnimg.cn/690703257179470a937d406bd9e43abe.png)
Answers区域有两条资源记录,由Type=MX可知, 这两条记录给我们的信息是:
两个别名为nudt.edu.cn的邮件服务器的主机名
分别是mx-nudt-edu-cn.icoremail.net和mail.nudt.edu.cn