DNS协议分析实验

在开始之前请打开我们的实验工具Wireshark，点击“捕获”—“选项”选择要捕捉的输入接口，选择“在所有接口上使用混杂模式”，然后点击“开始”，这样可以有选择的捕获只和你有关系的数据包。

一、nslookup

让我们通过检查nslookup命令来开始我们的DNS实验，该命令将调用底层DNS服务以实现其功能。nslookup命令在大多数操作系统中都可用。要运行nslookup，只需在DOS窗口、Mac OS终端窗口或Linux shell中输入nslookup命令。

在其最基本的操作中，nslookup允许运行nslookup的主机查询任何指定DNS服务器的DNS记录。被查询的DNS服务器可以是根DNS服务器、顶级域名（TLD）DNS服务器、授权DNS服务器或中间DNS服务器。例如，nslookup可以用于检索将主机名（例如www.uestc.edu.cn）映射到其IP地址的“Type=A” DNS记录。为了完成这个任务，nslookup向指定的DNS服务器发送DNS查询（或者如果没有指定特定的DNS服务器，则向运行nslookup的主机的默认本地DNS服务器发送查询），从该DNS服务器接收DNS响应，并显示结果。

让我们先使用最简单的形式运行nslookup：

在此示例中，nslookup命令只给出一个参数，即主机名（www.uestc.edu.cn）。该命令表示“请为主机 www.uestc.edu.cn 发送 IP 地址。如屏幕截图所示，该命令的响应提供了两个信息：（1）提供答案的 DNS 服务器的名称和 IP 地址。（2）答案本身，即 www.uestc.edu.cn 的规范主机名和 IP 地址。你可能已经注意到了，www.uestc.edu.cn 提供了两个地址。第一个（202.112.14178）是一个使用熟悉的点分十进制符号表示的 IPv4 地址；第二个（2001:da8:6000:0:202:112:14:178）是一个更长更复杂的 IPv6 地址。
除了使用nslookup查询DNS“Type = A”记录之外，我们还可以使用nslookup查询“TYPE = NS”记录，该记录返回知道如何获取权威服务器域中主机IP地址的权威DNS服务器的主机名（及其IP地址）。

在上图的示例中，我们使用选项“-type = NS”和域名“www.uestc.edu.cn”调用了nslookup。查询的主机名是“www.uestc.edu.cn”。结果显示了uestc.edu.cn域的授权名称服务器信息。这个结果告诉我们，该域的主DNS服务器是“dns.uestc.edu.cn”，该DNS服务器的管理者是“lixiaodong.uestc.edu.cn”，并提供了一些其他信息，如序列号、刷新时间、重试时间、过期时间和默认TTL（Time to Live）。但是，nslookup还指出答案是“非权威的”，这意味着这个答案来自某个服务器的缓存，而不是来自权威DNS服务器。

最后，有时候我们可能会想要发现与给定IP地址相关联的主机名，即上述查找的反向操作（在该查找中，已知/指定了主机名，并返回了主机的IP地址）。nslookup也可以用于执行这种所谓的“反向DNS查找”。例如，在下图中，我们指定一个IP地址作为nslookup参数（在这个例子中是128.119.245.12），nslookup返回具有该地址的主机名（在这个例子中是gaia.cs.umass.edu）。

 现在我们已经提供了 nslookup 的概述，现在轮到你亲自试一试了。请执行以下操作（并记下结果）。如果你无法运行 nslookup 命令，则下图 显示了执行问题 1 和 4 的 nslookup 的屏幕截图。

这将帮助你回答以下问题。

Q1.运行nslookup命令，获取电子科技大学官网的Web服务器的IP地址：www.uestc.edu.cn。

202.112.14.178

Q2.响应你在问题1中的nslookup命令的DNS服务器的IP地址是什么？

192.168.1.1

Q3.问题1的nslookup命令的答案来自权威服务器还是非权威服务器？

非权威服务器

Q4.使用nslookup命令确定uestc.edu.cn域的权威名称服务器的名称。那是什么名字？（如果有多个权威服务器，则nslookup返回的第一个权威服务器的名称是什么）？

dns.uestc.edu.cn

二、计算机上的DNS缓存

大多数主机（例如你的个人电脑）都保留着最近检索到的DNS记录缓存（有时称为DNS解析器缓存），就像许多Web浏览器保留着最近通过HTTP检索到的对象缓存一样。当主机需要调用DNS服务时，它将首先检查所需的DNS记录是否驻留在该主机的DNS缓存中；如果找到记录，主机甚至不会费心联系本地DNS服务器，而是使用此缓存的DNS记录。缓存中的DNS记录最终将超时并从解析器缓存中删除，就像本地DNS服务器中缓存的记录（参见图2.19、2.20）一样会超时。

你还可以显式地清除DNS缓存中的记录。这样做没有任何损害——这只意味着你的计算机下次需要使用DNS名称解析服务时，它将需要调用分布式DNS服务，因为它在缓存中找不到记录。在Mac电脑上，你可以在终端窗口中输入以下命令来清除DNS解析器缓存：

sudo killall -HUP mDNSResponder

在Windows计算机上，你可以在命令提示符中输入以下命令：

ipconfig /flushdns

在Linux计算机上，你可以输入以下命令：

sudo systemd-resolve --flush-caches

三、使用Wireshark追踪DNS

现在我们已经熟悉了nslookup，准备开始下一步实验。让我们先捕获由普通网页浏览活动产生的DNS消息。

1.清除主机中的DNS缓存；

2.打开您的Web浏览器并清除浏览器缓存；

3.打开Wireshark并输入ip.addr == <your_IP_address>到显示过滤器中，其中<your_IP_address>是您计算机的IPv4地址。使用此过滤器，Wireshark仅显示从您的主机发出或发送到您的主机的数据包；

4.开始在Wireshark中进行数据包捕获；

5.用您的浏览器访问网页：

http://gaia.cs.umass.edu/kurose_ross/

6.停止数据包捕获；

通过观察所捕获数据包的内容回答以下问题：

Q5.找到第一个解析名称gaia.cs.umass.edu的DNS查询消息。DNS查询消息的跟踪数据包编号是多少？该查询消息是通过UDP还是TCP发送的？

0x0859

UDP

Q6.现在找到对初始DNS查询的相应DNS响应。响应消息的跟踪数据包编号是多少？该响应消息是通过UDP还是TCP接收的？

0x0859

UDP

Q7.DNS查询消息的目标端口是什么？DNS响应消息的源端口是什么？

目标端口：53

源端口：53

Q8.DNS查询消息发送到哪个IP地址？

192.168.1.1

Q9.检查DNS查询消息。此DNS消息包含多少个“问题”？它包含多少个“答案”？

包含一个问题

不包含答案

 Q10.检查对初始查询消息的DNS响应消息。此DNS消息包含多少个“问题”？它包含多少个“答案”？

包含一个问题

包含一个答案

现在让我们来使用一下nslookup，步骤如下：

1.开始抓包。

2.对www.uestc.edu.cn执行nslookup。

3.停止抓包。

在Wireshark窗口中，你应该会得到类似于下图的内容。让我们看一下第一个A类型的查询（在下图中是数据包编号103，并由该数据包的“Info”列中的“A”表示）。

通过观察所捕获数据包的内容回答以下问题：

Q12.DNS查询消息的目标端口是什么？DNS响应消息的源端口是什么？

目标端口：53

源端口：53

Q13.DNS查询消息发送到哪个IP地址？这是您默认本地DNS服务器的IP地址吗？

192.168.1.1

是

Q14.检查DNS查询消息。它是什么类型的DNS查询？查询消息是否包含任何“答案”？

Type：PTR

不包含

Q15.检查针对查询消息的DNS响应消息。该DNS响应消息包含多少个“问题”？有多少个“答案”？

包含一个问题

包含一个答案

最后，让我们使用nslookup发出一个命令，返回一个类型为NS的DNS记录。输入以下命令：nslookup -type=NS uestc.edu.cn 然后回答以下问题：

Q16.DNS查询消息发送到哪个IP地址？这是您默认本地DNS服务器的IP地址吗？

192.168.1.1

是

Q17.检查DNS查询消息。查询中有多少个问题？查询消息是否包含任何“答案”？

包含一个问题

不包含答案

Q18.检查DNS响应消息。响应中有多少个答案？答案中包含哪些信息？返回了多少个附加资源记录？这些附加资源记录中包含哪些附加信息？

包含一个答案