DNS报文分析

最新推荐文章于 2024-09-12 14:52:12 发布
最新推荐文章于 2024-09-12 14:52:12 发布
阅读量1.9k 收藏 5
点赞数
分类专栏: DNS BIND 计算机网络 文章标签: dns服务器 rfc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44816732/article/details/117113946
版权
计算机网络 同时被 3 个专栏收录
16 篇文章 0 订阅
订阅专栏
DNS
6 篇文章 0 订阅
订阅专栏
BIND
2 篇文章 0 订阅
订阅专栏

Header各字段分别解释如下:

  • ID 请求客户端设置的16位标示,服务器给出应答的时候会带相同的标示字段回 来,这样请求客户端就可以区分不同的请求应答了。
  • QR 1个比特位用来区分是请求(0)还是应答(1)。
  • OPCODE 4个比特位用来设置查询的种类,应答的时候会带相同值,可用的值如下:
    • 0 标准查询 (QUERY)
    • 1 反向查询 (IQUERY)
    • 2 服务器状态查询 (STATUS)
    • 3-15 保留值,暂时未使用
  • AA 授权应答(Authoritative Answer) - 这个比特位在应答的时候才有意义,指出给 出应答的服务器是查询域名的授权解析服务器。 注意因为别名的存在,应答可能存在多个主域名,这个AA位对应请求名,或 者应答中的第一个主域名。
  • TC 截断(TrunCation) - 用来指出报文比允许的长度还要长,导致被截断。
  • RD 期望递归(Recursion Desired) - 这个比特位被请求设置,应答的时候使用的相 同的值返回。如果设置了RD,就建议域名服务器进行递归解析,递归查询的 支持是可选的。
  • RA 支持递归(Recursion Available) - 这个比特位在应答中设置或取消,用来代表服 务器是否支持递归查询。
  • Z 保留值,暂时未使用。在所有的请求和应答报文中必须置为0。
  • RCODE 应答码(Response code) - 这4个比特位在应答报文中设置,代表的含义如下:
    • 0 没有错误。
    • 1 报文格式错误(Format error) - 服务器不能理解请求的报文。
    • 2 服务器失败(Server failure) - 因为服务器的原因导致没办法 处理这个请求。
    • 3 名字错误(Name Error) - 只有对授权域名解析服务器有意义, 指出解析的域名不存在。
    • 4 没有实现(Not Implemented) - 域名服务器不支持查询类型。
    • 5 拒绝(Refused) - 服务器由于设置的策略拒绝给出应答。比如, 服务器不希望对某些请求者给出应答,或者服务器不希望进 行某些操作(比如区域传送zone transfer)。
    • 6-15 保留值,暂时未使用。
  • QDCOUNT 无符号16位整数表示报文请求段中的问题记录数。
  • ANCOUNT 无符号16位整数表示报文回答段中的回答记录数。
  • NSCOUNT 无符号16位整数表示报文授权段中的授权记录数。
  • ARCOUNT 无符号16位整数表示报文附加段中的附加记录数。

Question各字段分别解释如下:

  • QNAME 域名被编码为一些labels序列,每个labels包含一个字节表示后续字符串长度,以及这个字符串,以0长度和空字符串来表示域名结束。注意这个字段可能为奇数字节,不需要进行边界填充对齐。
  • QTYPE 2个字节表示查询类型,.取值可以为任何可用的类型值,以及通配码来表示所有的资源记录。
  • QCLASS 2个字节表示查询的协议类,比如,IN代表Internet。

资源记录格式(Resource record):
  应答,授权,附加段都共用相同的格式:多个资源记录,资源记录的个数由报文头段中对应的几个数值确定,每个资源记录格式如下:

  • NAME 资源记录包含的域名
  • TYPE 2个字节表示资源记录的类型,指出RDATA数据的含义
  • CLASS 2个字节表示RDATA的类
  • TTL 4字节无符号整数表示资源记录可以缓存的时间。0代表只能被传输,但是不能被缓存。
  • RDLENGTH 2个字节无符号整数表示RDATA的长度
  • RDATA 不定长字符串来表示记录,格式根TYPE和CLASS有关。比如,TYPE是A,CLASS 是 IN,那么RDATA就是一个4个字节的ARPA网络地址。

报文压缩
  为了减小报文,域名系统使用一种压缩方法来消除报文中域名的重复。使用这种方法,后面重复出现的域名或者labels被替换为指向之前出现位置的指针。 指针占用2个字节,前两个比特位都为1。因为lablels限制为不多于63个字节,所以label的前两位一定为0,这样就可以让指针与label进行区分。(10 和 01 组合保留,以便日后使用) 。偏移值(OFFSET)表示从报文开始的字节指针,偏移量为0表示ID字段的第一个字节。 压缩方法让报文中的域名成为: 以0结尾的labels序列 - 一个指针 - 指针结尾的labels序列。指针只能在域名不是特殊格式的时候使用,否则域名服务器或解析器需要知道资源记录的格式。目前还没有这种情况,但是以后可能会出现。 如果报文中的域名需要计算长度,并且使用了压缩算法,那么应该使用压缩后的长度,而不是压缩前的长度。 程序可以自由选择是否使用指针,虽然这回降低报文的容量,而且很容易产生截断。不过所有的程序都应该能够理解收到的报文中包含的指针。

eg: A查询   
dig   www.baidu.com   A

请求报文:
a4 bb 01 20 00 01 00 00 00 00 00 01 03 77 77 77            ... .... .....www
05 62 61 69 64 75 03 63 6f 6d 00 00 01 00 01 00            .baidu.c om......
00 29 10 00 00 00 00 00 00 00                              .)...... ..

Flags: 0x0120 Standard query
	0... .... .... ....          = Response: Message is a query
	.000 0... .... ....          = Opcode: Standard query (0)
	.... ..0. .... ....          = Truncated: Message is not truncated
	.... ...1 .... ....          = Recursion desired: Do query recursively
	.... .... .0.. ....          = Z: reserved (0)
	.... .... ..1. ....          = AD bit: Set
	.... .... ...0 ....          = Non-authenticated data: Unacceptable
        
Questions: 1
Answer RRs: 0
Authority RRs: 0
Additional RRs: 1

Queries:
	Name: www.baidu.com             0x03 77 77 77 05 62 61 69 64 75 03 63 6f 6d 00
	Type: A (Host Address) (1)      0x00 01
	Class: IN (0x0001)              0x00 01

应答报文:
a4 bb 81 80 00 01 00 03 00 00 00 00 03 77 77 77              ........ .....www
05 62 61 69 64 75 03 63 6f 6d 00 00 01 00 01 c0              .baidu.c om......
0c 00 05 00 01 00 00 04 0a 00 0f 03 77 77 77 01               ........ ....www.
61 06 73 68 69 66 65 6e c0 16 c0 2b 00 01 00 01               a.shifen ...+....
00 00 00 d5 00 04 dc b5 26 96 c0 2b 00 01 00 01               ........ &..+....
00 00 00 d5 00 04 dc b5 26 95                                 ........ &.

Flags: 0x8180 Standard query response, No error
	1... .... .... ....             = Response: Message is a response
	.000 0... .... ....             = Opcode: Standard query (0)
	.... .0.. .... ....             = Authoritative: Server is not an authority for domain
	.... ..0. .... ....             = Truncated: Message is not truncated
	.... ...1 .... ....             = Recursion desired: Do query recursively
	.... .... 1... ....             = Recursion available: Server can do recursive queries
	.... .... .0.. ....             = Z: reserved (0)
	.... .... ..0. ....             = Answer authenticated: Answer/authority portion was not authenticated by the server
	.... .... ...0 ....             = Non-authenticated data: Unacceptable
	.... .... .... 0000             = Reply code: No error (0)

Questions: 1
Answer RRs: 3
Authority RRs: 0
Additional RRs: 0

Queries:
	Name: www.baidu.com 0x03 77 77 77 05 62 61 69 64 75 03 63 6f 6d 00
	Type: A (Host Address) (1) 0x00 01
	Class: IN (0x0001) 0x00 01

Answers:
	www.baidu.com: type CNAME, class IN, cname www.a.shifen.com
		Name: www.baidu.com                                        0xc00c 报文压缩 1100 0000 0000 1100 偏移12字节
		Type: CNAME (Canonical NAME for an alias) (5)              0x0005
		Class: IN                                                  0x0001
		Time to live: 1034 (17 minutes, 14 seconds)                0x0000040a
		Data length: 15                                            0x000f
		CNAME: www.a.shifen.com                                    0x03 77 77 77 01 61 06 73 68 69 66 65 6e c0 16
	
	www.a.shifen.com: type A, class IN, addr 220.181.38.150
		Name: www.a.shifen.com                                     0xc02b 偏移43字节
		Type: A (Host Address) (1)
		Class: IN (0x0001)
		Time to live: 213 (3 minutes, 33 seconds)
		Data length: 4
		Address: 220.181.38.150
	
	www.a.shifen.com: type A, class IN, addr 220.181.38.149
		Name: www.a.shifen.com
		Type: A (Host Address) (1)
		Class: IN (0x0001)
		Time to live: 213 (3 minutes, 33 seconds)
		Data length: 4
		Address: 220.181.38.149
君慕蓉
关注
专栏目录
DNS查询报文分析
天道酬勤
09-11 1231
DNS (Domain Name System),域名系统是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式系统,能够使人们更方便地访问互联网,DNS服务器使用UDP端口 53。在linux操作系统下,我们可以通过 host 命令,查询域名的IP地址,命令格式为:host -t A 域名,它的工作原理是怎样的呢,接下来,通过解析DNS查询报文,探索DNS工作原理。
DNS报文抓包分析
qq_27420299的博客
07-02 8608
在这里插入图片描述
DNS报文结构实例解析
02-18
用实例说明DNS报文结构,比较翔实。是我自己写的,有不对的请指正
DNS协议详解及报文格式分析
热门推荐
明风的博客
07-10 11万+
DNS协议详解及报文格式分析 Posted on 2017-06-18 by Jocent — No Comments ↓ 目录 一. DNS协议理论知识 1.1. 域名结构1.2. 域名服务器1.3. 域名解析过程 二. DNS协议报文格式 2.1 头部2.2 正文 三. Wireshark分析DNS协议 3.1 请求报文3.2 响应报文
DNS报文传递和报文、资源记录以及主文件格式
2301_76345259的博客
07-24 1383
​ 我们即将解释在DNS报文生成和发送方式,并介绍报文和资源记录所采用的格式。下面先对DNS报文及其如何产生和传送做一个总结性的讨论,概括DNS报文的格式和它包含的5个部分,介绍用于名字的标记法和有助于减少DNS报文长度的特殊压缩方法;然后,说明DNS报文首部和问题区的字段,解释用于所有RR通用字段格式和最为重要的记录类型中使用的具体手段,另外介绍DNS文本文件采用的格式。​ 最后,简要讨论为支持IPV6对DNS所作的改动。大多数修改(并非全部)与报文格式和RR有关。
头歌 DNS协议分析第3关----DNS 报文分析
qq_67667368的博客
12-20 2111
DNS 报文分析
DNS报文格式解析
AnitaSun的博客
05-13 3216
DNS分为查询请求和查询响应,请求和响应的报文结构基本相同 基础结构部分 报文首部 事物ID:DNS报文的ID表示,对于请求报文和其对应的应答报文,该字段的值是相同的。通过它可以区分 DNS 应答报文是对哪个请求进行响应的。 标志:DNS 报文中的标志字段。 问题计数:DNS 查询请求的数目。 回答资源记录数:DNS 响应的数目。 权威名称服务器计数:权威名称服务器的数目。 附加资源记录数:额外的记录数目(权威名称服务器对应 IP 地址的数目)。 标志(Flags) QR(Response)..
wireshark抓包dns报文分析
06-06
Wireshark是一个网络抓包工具,能够分析DNS报文。使用Wireshark抓取DNS数据包,可以通过过滤器仅选择DNS协议,并对报文进行详细分析,查看DNS请求和响应的内容,包括查询名称、资源记录类型和TTL等。通过Wireshark...
DNS 学习记录
风格色的博客
09-18 1091
前言 目前使用k8s来构建公司的线下测试环境,需要修改coreDNS, 于是最近看博客了解了DNS相关知识,这里总结下记录成博客。如有错误,请在评论区留言,看到了会及时修改。 DNS的作用 ip是互联网上每个主机的唯一表示,是一串很长的数字,方便机器识别,却不方便人类记忆。于是DNS出现了,将难记的数字映射成域名。DNS和ip是多对多的关系。可以理解为一个ip或多个ip的别名。 DNS的原理 DN...
DNS报文格式
04-05
DNS报文格式详解。主机名到IP地址的映射有两种方式:1)静态映射,每台设备上都配置主机到IP地址的映射,各设备独立维护自己的映射表,而且只供本设备使用;2)动态映射,建立一套域名解析系统(DNS),只在专门的DNS服务器上配置主机到IP地址的映射,网络上需要使用主机名通信的设备,首先需要到DNS服务器查询主机所对应的IP地址
DNS应答报文分析
最新发布
天道酬勤
09-12 1133
DNS (Domain Name System),域名系统是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式系统,能够使人们更方便地访问互联网,DNS服务器使用UDP端口 53。在linux操作系统下,我们可以通过 host 命令,查询域名的IP地址,命令格式为:host -t A 域名,它的工作原理是怎样的呢,接下来,通过解析DNS应答报文,探索DNS工作原理。
三、wireshark去分析DNS报文
qq_50772004的博客
06-23 3538
利用wireshark分析DNS查询报文
2020-10-27
weixin_43627314的博客
10-27 1674
DNS报文格式解析 DNS 分为查询请求和查询响应,请求和响应的报文结构基本相同。DNS 报文格式如图所示。 上图中显示了 DNS报文格式。其中,事务 ID、标志、问题计数、回答资源记录数、权威名称服务器计数、附加资源记录数这 6 个字段是DNS报文首部,共 12 个字节。 整个 DNS 格式主要分为 3 部分内容,即基础结构部分、问题部分、资源记录部分。下面将详细地介绍每部分的内容及含义。 基础结构部分 DNS 报文的基础结构部分指的是报文首部,如图所示。 该部分中每个字段含义如下。 事务 I
DNS报文解析及代码实现(详细)
chen1415886044的博客
10-30 1万+
在Internet上,DNS可以使用UDP,也可以使用TCP,在两种情况下,DNS服务器使用的公认端口是53。 DNS报文封装在UDP数据报或TCP数据段中,然后封装在IP数据报中,最后封装成数据链路层中的帧通过物理层传输。 DNS报文结构有哪些类型 DNS报文可以分为查询和应答,他们的总体结构是相同的。DNS的顶层格式分成5个部分: 1、首部(Header) 2、问题(Question) 3、回答(Answer) 4、权威(Authority) 5、附加(Additional) 大体DNS报文格式就
DNS请求流程和报文解析
weixin_42209544的博客
09-04 4842
域名系统(英文: Domain Name System, 缩写: DNS)是互联网的一项服务,它作为将域名和 IP 地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS)的作用是将人类可读的域名(如,www.example.com) 转换为机器可读的 IP 地址 (如,192.0.2.44)。
DNS协议详解及报文格式分析——应用层
有人_295的博客
10-07 3604
一、DNS协议理论知识 1、域名结构 域名是群体中所有人都在用的,必须要保持唯一性。为了达到唯一性的目的,因特网在命名的时候采用了层次结构的命名方法。每一个域名(本文只讨论英文域名)都是一个标号序列(labels),用字母(A-Z,a-z,大小写等价)、数字(0-9)和连接符(-)组成,标号序列总长度不能超过255个字符,它由点号分割成一个个的标号(label),每个标号应该在63个字符之内,每个...
DNS协议分析 第6关 指定服务器的DNS报文分析
qq_67667368的博客
12-22 861
指定服务器的DNS报文分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值