tcpdump监听数据
为了看清楚DNS通信的过程,下面我们将从主机1:192.168.0.141上运行host命令以查询主机www.jd.com对应的IP地址,并使用tcpdump抓取这一过程中LAN上传输的以太网帧。
具体的操作过程如下:
# tcpdump -i eth0 -nt -s 500 port domain
然后在另外一个终端中输入下面的命令:
#host-t A www.jd.com
下图是host-t A www.jd.com输出的数据:
下图是tcpdump监听到的数据:
其中IP地址192.168.0.1是默认网关的地址。
root@linux_ever:~# route
内核 IP 路由表
目标 网关 子网掩码 标志 跃点 引用 使用 接口
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 1 0 0 eth0
4. 对数据进行分析
这一次执行tcpdump抓包时,我们使用“port domain”来过滤数据包,表示只抓取使用domain(域名)服务的数据包,即DNS查询和应答报文。tcpdump的输出如下:
IP 192.168.0.141.53511 > 192.168.0.1.53: 65362+ A? www.jd.com. (28)
IP 192.168.0.1.53 > 192.168.0.141.53511: 65362 2/0/0 CNAME www.jdcdn.com., A 14.152.71.1 (68)
这两个数据包开始的“IP”指出,它们后面的内容描述的是IP数据报。tcpdump以“IP地址.端口号”的形式来描述通信的某一端;以“>”表示数据传输的方向,“>”前面是源端,后面是目的端。可见,第一个数据包是测试主机1(IP地址是192.168.0.141)向其首选DNS服务器(IP地址是192.168.0.1.53)发送的DNS查询报文(目标端口53是DNS服务使用的端口),第二个数据包是服务器反馈的DNS应答报文。
本文转自张昺华-sky博客园博客,原文链接:http://www.cnblogs.com/bonelee/p/7966914.html,如需转载请自行联系原作者