Wireshark 分析 DNS 异常

最新推荐文章于 2024-04-29 15:20:47 发布
最新推荐文章于 2024-04-29 15:20:47 发布
阅读量1.8k 收藏 6
点赞数 1
分类专栏: 网络 文章标签: wireshark 网络 java
原文链接:https://imroc.cc/network/capture/wireshark/
版权

wireshark 实用技巧 | 网络学习笔记icon-default.png?t=LBL2https://imroc.cc/network/capture/wireshark/

分析 DNS 异常

找出没有收到响应的 dns 请求

dns && (dns.flags.response == 0) && ! dns.response_in

根据 dns 请求 id 过滤

dns.id == 0xff0b

找出慢响应

超过 100 ms 的响应:

dns.flags.rcode eq 0 and dns.time gt .1

过滤 NXDomain 的响应

所有 No such name 的响应:

dns.flags.rcode == 3

排除集群内部 service:

((dns.flags.rcode == 3) && !(dns.qry.name contains ".local") && !(dns.qry.name contains ".svc") && !(dns.qry.name contains ".cluster"))

指定某个外部域名:

((dns.flags.rcode == 3) && (dns.qry.name == "imroc.cc")

分析 TCP 异常

找出连接超时的请求

客户端连接超时,如果不是因为 dns 解析超时,那就是因为 tcp 握手超时了,通常是服务端没响应 SYNACK 或响应太慢。

超时的时候客户端一般会发 RST 给服务端,过滤出握手超时的包:

(tcp.flags.reset eq 1) and (tcp.flags.ack eq 0)

过滤出服务端握手时响应 SYNACK 慢的包:

tcp.flags eq 0x012 && tcp.time_delta gt 0.0001

还可以将 Time since previous frame in this TCP stream 添加为一列:

点击列名降序排列可查出慢包 (可加更多条件过滤调不需要希望展示的包):

找出可疑包后使用 Conversation Filter 过滤出完整连接的完整会话内容:

maimang09
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
9.2.3 DNS 问题类型 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
9.2.3 DNS 问题类型 - Wireshark 数据包分析实战(第 3 版) - 知乎书店9.2.3 DNS问题类型DNS查询和响应中所使的类型域,指
wireshark数据分析
04-04
通过分析大量网络数据,你可以识别模式、趋势和异常,这在网络安全监控、性能优化或用户行为分析中都非常有用。例如,你可以统计最频繁的通信源和目的地,分析最常使用的端口,或者找出占用带宽最多的流量。 为了...
利用WireShark进行DNS协议分析
热门推荐
明风的博客
12-22 5万+
一.准备工作 系统是Windows 8.1Pro 分析工具是WireShark1.10.8 Stable Version 使用系统Ping命令发送ICMP报文. 二.开始工作 打开CMD.exe键入: ping www.oschina.net 将自动进行域名解析,默认发送4个ICMP报文. 启动Wireshark,选择一个有效网卡,启动抓包. 在控制台回车执行完毕后停止监控.
新版Wireshark支持国密,国内网安一哥360在背后做了这么多事_whireshark解国密
2401_84281629的博客
04-29 831
Wireshark是业界广泛使用的网络数据协议分析器,可以用于网络数据的分析,帮助网络设备厂商、业务系统厂商等相关厂商快速定位分析问题,广泛应用于故障排除、分析、开发和教育。
WireShark 初试牛刀 -- dns解析问题
u012413955的博客
08-08 928
这个时间,我们后台的同事看到我又开始查这个问题了,大兄弟直接挺身而出,去找客户端的同学看现场了,在运维同事还没有反馈看包结果时,他就跑回来说问题解决了,是客户端自己配置了dns服务器(8.8.8.8)导致的, 恢复默认dns或者配hosts都可以解决问题,就让客户端恢复默认dns配置了。就先积跬步,然后行千里吧。好遗憾,第一次wireshark解决问题就这么胎死腹中了,那就来弥补一下吧,既然不能正向发现问题,那看看能不能倒推出问题,已经知道是dns配置的问题了,wireshark直接用dns来过滤。...
wireshark抓包分析DNS域名解析过程
m0_73576645的博客
12-09 6736
DNS是的简称,即域名系统,是一个记录域名和IP地址相互映射的系统,主要作用是为了解决域名与IP之间的相互转换。DNS是一个网络服务,其端口为53号端口。通常DNS查询时是以UDP协议来进行查询,一旦无法查询到完整信息时,再以TCP协议进行重新查询。因此,DNS服务启动时会同时开启UDP和TCP协议的53号端口。DNS的基本作用:把域名转换成IP地址。DNS工作在应用层。
Wireshark过滤DNS协议包语法实战
qq_36588424的博客
02-21 1786
现网DNS服务器发现CPU突增,发现有可能是客户恶意发起的随机子域名扫描,对服务器进行抓包分析记录下当时的操作。
Wireshark分析DNS
ForeverCjl的专栏
10-28 9058
什么是DNS DNS指的是域名系统,它在内部有一个存储域名和对应IP地址的数据库,用于将网站的域名转换为服务器的具体IP地址。 例如,我们在浏览器打开baidu.com时,浏览器需要先请求DNS服务器获取域名baidu.com对应服务器的IP地址,然后浏览器与该IP建议消息通道来传输数据。 我们可以在系统命令行中通过nslookup命令来查询某个域名的DNS记录,如下图所示: 这里我们指定使用阿里云的DNS服务器 223.5.5.5 来查询域名baidu.com映射的IP地址。从图中可以看到,查询结果返
WireShark 网络流量分析抓包工具
09-06
Wireshark是一款强大的网络流量分析工具,被广泛应用于网络安全、故障排查和性能优化等领域。它以前的名字是Ethereal,由于其开源、免费且跨平台的特性,深受全球IT专业人士的喜爱。下面将详细介绍Wireshark的功能、...
Suricata + Wireshark离线流量日志分析
10-06
5. **深入调查:** 如果发现潜在问题,可以使用Wireshark的解码和分析功能,查看具体的数据包内容,了解攻击或异常行为的细节。 6. **报告和响应:** 根据分析结果,生成报告,并采取相应的安全措施或网络调整。 在...
WireShark分析工具
11-16
- 故障诊断:当网络出现连接问题、速度慢或通信异常时,可以通过Wireshark分析数据包找出问题根源。 - 网络性能监控:监控网络带宽使用情况,查找可能的瓶颈。 - 应用程序开发与调试:开发者可以使用Wireshark查看...
dns解析失败故障问题解决两例
wj31932的博客
03-18 4359
Dns解析失败问题二例 1、有同事问解析内网url里的域名失败,bug.raisecom.com,问原因和解决方法? 他说,设置固定ip,dns失败,ip设置为自动获取,但dns如下图就是ok的? 告诉他,首选dns是内部dns,上面做了静态dns表项设置,会把设置内网域名映射为内网地址,但有时pc会选到备用dns服务器公网dns地址上去,造成无法查询dns内容,导致dns查询失败。让他抓包看看,是否走了公网dns上去了? 具体,...
三、wireshark分析DNS报文
qq_50772004的博客
06-23 3344
利用wireshark分析DNS查询报文
网络】刷新网页 无法访问服务器wireshark也抓不到包的问题
roshy的专栏
05-21 725
首先DNS如果不正确http报文是不会发出来的,然后如果DNS报文也没有,是因为DNS服务器没有配置。通过cat /etc/resolv.conf 确认有没有配置。
03 Wireshark DNS
A2460865183的博客
06-04 2325
工具是最基本的操作,它允许运行该工具的主机查询任何指定的服务器的记录查询的服务器可以是根服务器、顶级域服务器、权威服务器和中间服务器(具体定义请参见教科书)。向指定的服务器发送查询请求,并接收来自该服务器的应答,并显示查询结果。清除缓存,清除浏览器缓存;打开,输入,您可以通过获取。此筛选器删除既不是发往主机也不是以主机为目标的所有包。开始抓包,浏览器访问,停止抓包。 清除缓存,启动抓包,使用查询 ,停止抓包。 清除缓存,启动抓包,使用查询 ,停止抓包。 清除缓存,启动抓包,使用查询 ,停止抓包。 后续Q
计算机网络知识全面讲解:抓包分析DNS协议
weixin_70374410的博客
07-18 1645
过滤器中输入“dns.qry.name==www.91xue?t.com”,单击按钮应用。在命令提示符处输入“p?ngwww.91xue?reshark抓包工具,选中访问Internet的网卡。显示过滤器,如图1-54所示。可以看到第26个数据包是DNS域名解析。图1-55所示的第37个数据包是DNS服务器响应报文,可以看到其。的首选DNS服务器,这就是在设置DNS客户端,如图1-53所示。中有解析到的IP地址219.148.36.48。请求报文,报文中的字段是用DNS协议定?...
Wireshark使用教程
weixin_67828227的博客
01-25 965
打开wireshark,点击左上角的图标开始捕获,在浏览器中访问wireshark官网,访问成功后返回wireshark,点击左上角图案停止捕获。对于应用不能直接使用ip地址等信息去查找,首先需要到任务管理器中找到该应用,右键点击选择“转到详细信息”,找到其的PID。有一个点的RTT时间相对较高,并且其的包的编号也是155747,可以看出即为该点出现问题,可能在tcp网络中出现堵塞。选择想要的类型比如“TCP”,点击“分组”,可以将所有连接按照其数据包的从多到少进行排序。选择右上角“统计”->“会话”
二.wireshark过滤[如何过滤信息]
黑日里不灭的light
01-04 2万+
一.参数过滤 1.捕获过滤器 解释:该过滤是为了在抓包时筛选出符合指定规则的包,其余包直接丢弃不会抓,该规则同scapy中的sniff(filter='过滤')一样 1.1 语法 语法:<Protocol> <Direction> <Host(s)> < Value> < Logical Operations> <Other expression> 1.2 详细 详细: Protocol(协议): ether, ip,arp, tc
DNS应答报文的解析及简单处理代码
gfover的专栏
12-14 7921
这几天因为要做一个事情,又因为没有现成的工具使用,一直在找DNS报文的相关资料,最终在国外找到一篇关于DNS的MX查找的代码,但是发现直接将它套用到A记录查询并不合适,只好继续找,直到昨晚,找到了。关于DNS发送报文的更多信息请查阅《tcp/ip卷一》 dns域名系统这一章,这里只说对DNS应答报文的一点解析处理。DNS报文结构如下:+---------------------------+---
如何使用Wireshark分析DNS报文?
最新发布
06-12
以下是一些步骤指导你如何使用Wireshark分析DNS报文: 1. **安装Wireshark**:首先确保你在计算机上安装了Wireshark。如果你还没有安装,可以从Wireshark的官方网站下载并按照指示安装。 2. **启动Wireshark**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值