计网利用分组嗅探器分析DNS
预备知识
1、nslookup工具允许主机向指定的DNS服务器查询某个DNS记录。如果没有指明DNS服务器,nslookup默将把查询请求发向认的DNS服务器,否则将把查询请求发向指定的DNS服务器。
nslookup域名 [dns-server]
这是最常用最简单的用法,可以直接获得目标域名的IP地址和CNAME。如nslookup www.jxnu.edu.cn,将获得目标域名的IP地址。
我们还可以指定参数,查询其他类型的记录,比如AAAA、NS、MX等,如下:
nslookup -type=TYPE domain [dns-server]
如nslookup -type=NS jxnu.edu.cn,将获得jxnu的权威域名服务器。
2、ipconfig命令用来显示你当前的TCP/IP信息,包括:你的地址、DNS服务器的地址、适配器的类型等信息。如果,要显示与主机相关的信息用命令:
ipconfig/all
如果查看DNS缓存中的记录用命令:
ipconfig/displaydns
要清空DNS缓存,用命令:
ipconfig /flushdns
实验步骤
1.根据操作回答“实验报告内容”中的1-6题。
运行以上命令需要进入MSDOS环境。(开始菜单->运行->输入命令“cmd”)
(1)利用ipconfig命令清空主机上的DNS缓存。启动浏览器,并将浏览器的缓存清空。
(2)启动Ethereal(或WireShark),在显示过滤筛选规则编辑框处输入:
“ip.addr ==your_IP_address”(如:ip.addr == 192.168.1.2)
过滤器将会删除所有目的地址和源地址与指定IP地址都不同的分组。
(3)开始Ethereal(或WireShark)分组捕获。
(4)在浏览器的地址栏中输入:http://www.ietf.org 。
(5)停止分组捕获。
2.根据操作回答“实验报告内容” 中的7-10题。
(6)开始Ethereal(或WireShark)分组捕获。
(7)在www.mit.edu上进行nslookup(即执行命令:nslookup www.mit.edu)
(8)停止分组捕获。
3.根据操作回答“实验报告内容” 中的 11-13题
(9)重复上面的实验,只是将命令替换为:nslookup –type=NS mit.edu
4.根据操作回答“实验报告内容” 中的14-16题。
(10)重复上面的实验,只是将命令替换为:nslookup www.aiit.or.kr bitsy.mit.edu
实验报告内容
1.定位到DNS查询消息和查询响应报文,这两种报文的发送是基于UDP还是基于TCP的?
都是基于UDP的
2.DNS查询消息的目的端口号是多少?DNS查询响应消息的源端口号是多少?
53
3.DNS查询消息发送的目的地的IP地址是多少?利用ipconfig命令(ipconfig/all)查看你主机的本地DNS服务器的IP地址。这两个地址相同吗?
相同
4.检查DNS查询消息,它是哪一类型的DNS查询?该查询报文中包含“answers”吗?
A类型,不包括answers
5.检查DNS查询响应消息,其中共提供了多少个“answers”?每个answers包含哪些内容?
3个answers
包含
6.考虑一下你的主机随后发送的TCP SYN Segment, 包含SYN Segment的IP分组头部中目的IP地址是否与在DNS查询响应消息中提供的某个IP地址相对应?
存在和104.16.44.99对应的
7.DNS查询消息的目的端口号是多少?DNS查询响应消息的源端口号是多少?
53,56670
8.DNS查询消息发送的目的地的IP地址是多少?这个地址是你的默认本地DNS服务器的地址吗?
是
9.检查DNS查询消息,它是哪一类型的DNS查询?该查询消息中包含“answers”吗?
A类型,没有”answers”
10.检查DNS查询响应消息,其中提供了多少个“answers”?每个answers包含哪些内容?
3个answers包
11.DNS查询消息发送的目的地的IP地址是多少?这个地址是你的默认本地DNS服务器的地址吗?
是
12.检查DNS查询消息,它是哪一类型的DNS查询?该查询报文中包含“answers”吗?
NS型 ,不包含
13.检查DNS查询响应消息,其中响应消息提供了哪些MIT名称服务器?响应消息提供这些MIT名称服务器的IP地址了吗?
没有
14-16查询多次未响应,借鉴资料的回答
14.DNS查询消息发送的目的地的IP地址是多少?这个地址是你的默认本地DNS服务器的地址吗?如果不是,这个IP地址相当于什么?
DNS查询消息先发送到默认本地DNS服务器10.5.5.1,查询bitsy.mit.edu的IP地址,
查询消息再发送到IP地址18.0.72.3,是bitsy.mit.edu的IP地址
15.检查DNS查询消息,它是哪一类型的DNS查询?该查询报文中包含“answers”吗?
Type A 查询消息不包含任何"answers"
16.检查DNS查询响应消息,其中提供了多少个“answers”?每个answers包含哪些内容?
Answers
www.aiit.or.kr: type A, class IN, addr 58.229.6.225