tcpdump观察dns
DNS工作原理
DNS查询和应答报文详解
DNS是一套分布式域名查询服务系统。每个DNS服务器上都存放着大量的机器名和IP地址的映射,并且是动态更新。
16位标识字段标记一对DNS查询和应答,区分一个DNS应答是哪个DNS查询的回应。
16位标志字段用于协商具体的通信方式和反馈通信状态。
QR:查询/应答标志。0–查询,1–应答。
opcode:定义查询和应答的类型。0表示标准查询,1表示反向查询(由IP地址获取主机域名),2表示请求服务器状态。
AA:授权应答标志。仅有应答报文使用。1表示域名服务器是授权服务器。
TC:截断标志。仅当DNS报文使用UDP服务时使用,因为UDP数据包有长度限制,过长被截断。1表示DNS超过512字节,并被截断。
RD:递归查询标志。1表示执行递归查询操作。如果目标DNS无法解析某个主机名,则它向其他DNS服务器继续查询,如此递归,知道获得结果并把该结果返回给客户端。0表示执行迭代查询,如果目标DNS服务器无法解析某个主机名,则它将自己知道的其他DNS服务器的IP地址返回给客户端,以供服务器参考。
RA:允许递归标志。仅由