吉 林 農(nóng) 業(yè) 大 學(xué) 實(shí) 驗(yàn) 報(bào) 告姓名：李洪爽 學(xué)號(hào)：12145211 專業(yè)：物聯(lián)網(wǎng)工程 第六次 2016年 5月 16 日實(shí)

吉 林 農(nóng) 業(yè) 大 學(xué) 實(shí) 驗(yàn) 報(bào) 告

姓名：李洪爽 學(xué)號(hào)：12145211 專業(yè)：物聯(lián)網(wǎng)工程 第

六次 2016年 5月 16 日

實(shí)驗(yàn)七 DNS 協(xié)議分析

一、 實(shí)驗(yàn)?zāi)康?/p>

1. 學(xué)會(huì)客戶端使用nslookup 命令進(jìn)行域名解析。

2. 通過協(xié)議分析軟件掌握DNS 協(xié)議的報(bào)文格式。

二、 實(shí)驗(yàn)原理

DNS 是域名系統(tǒng)(Domain Name System) 的縮寫，該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)。域名是由圓點(diǎn)分開一串單詞或縮寫組成的，每一個(gè)域名都對(duì)應(yīng)一個(gè)惟一的IP 地址，在Internet 上域名與IP 地址之間是一一對(duì)應(yīng)的，DNS 就是進(jìn)行域名解析的服務(wù)器

DNS 命名用于Internet 等TCP/IP網(wǎng)絡(luò)中，通過用戶友好的名稱查找計(jì)算機(jī)和服務(wù)。DNS 是因特網(wǎng)的一項(xiàng)核心服務(wù)，它作為可以將域名和IP 地址相互映射的一個(gè)分布式數(shù)據(jù)庫而存在。

DNS 是一個(gè)分層級(jí)的分散式名稱對(duì)應(yīng)系統(tǒng)，有點(diǎn)像電腦的目錄樹結(jié)構(gòu)：在最頂端的是一個(gè)“root ”，然后其下分為好幾個(gè)基本類別名稱，如：com ﹑org ﹑edu 等；再下面是組織名稱，如：IBM ﹑Microsoft ﹑Intel 等；繼而是主機(jī)名稱，如：www ﹑mail ﹑ftp 等。 一個(gè)具體的 DNS 運(yùn)作過程如下：

1. 當(dāng)被詢問到有關(guān)本域名之內(nèi)的主機(jī)名稱的時(shí)候，DNS 服務(wù)器會(huì)直接做出回答；

2. 客戶端向服務(wù)器提出查詢項(xiàng)目；

3. 如果所查詢的主機(jī)名稱屬于其它域名的話，會(huì)檢查緩存(Cache)，看看有沒有相關(guān)資料；

4. 如果沒有發(fā)現(xiàn)，則會(huì)轉(zhuǎn)向 root 服務(wù)器查詢；

5. 然后 root 服務(wù)器會(huì)將該域名之下一層授權(quán)(authoritative)服務(wù)器的位置告知(可能會(huì)超過一臺(tái)) ；

6. 本地服務(wù)器然后會(huì)向其中的一臺(tái)服務(wù)器查詢，并將這些服務(wù)器名單存到緩存中，以備將來之需(省卻再向 root 查詢的步驟) ；

7. 遠(yuǎn)方服務(wù)器回應(yīng)查詢；

8. 若該回應(yīng)并非最后一層的答案，則繼續(xù)往下一層查詢，直到獲得客戶端所需的結(jié)果為止；

9. 將查詢結(jié)果回應(yīng)給客戶端，并同時(shí)將結(jié)果儲(chǔ)存一個(gè)備份在自己的緩存里面； 10. 如果在存放時(shí)間尚未過時(shí)之前再接到相同的查詢，則以存放于緩存里的資料來做回應(yīng)。

從這個(gè)過程我們可以看出，沒有任何一臺(tái) DNS 主機(jī)會(huì)包含所有域名的 DNS 資料，資料都是分散在全部的 DNS 服務(wù)器中。

DNS 協(xié)議報(bào)文結(jié)構(gòu)

通過研究發(fā)現(xiàn)，DNS 協(xié)議分成包頭和數(shù)據(jù)兩部分。如圖1所示，該報(bào)文由12字節(jié)的首部和4個(gè)長度可變的字段組成。

以下會(huì)詳細(xì)介紹個(gè)字段：

1. 標(biāo)識(shí)

標(biāo)識(shí)字段由客戶程序設(shè)置并有服務(wù)器返回結(jié)果，16位，在對(duì)應(yīng)的query 和response 報(bào)文中有著相同的ID ，可以在抓到的包中配對(duì)請(qǐng)求和應(yīng)答報(bào)文，提取相關(guān)信息，同時(shí)也可以根據(jù)他們的時(shí)間戳大致估計(jì)DNS 的相應(yīng)時(shí)間。

2. 標(biāo)志

標(biāo)志字段長16bit ，結(jié)構(gòu)如圖2所示：

QR 1 Opcode AA 1 TC 1 RD 1 RA 1 Zero 3 Rcode 4

QR ：1bits 字段，0表示查詢報(bào)文，1表示響應(yīng)報(bào)文

Opcode ：4bits 字段，通常值為0（標(biāo)準(zhǔn)查詢），其他值為1（反向查詢）和2（服務(wù)器狀態(tài)請(qǐng)求）

AA ：1bits 標(biāo)志表示授權(quán)回答（authoritive answer）, 該名字服務(wù)器是授權(quán)于該領(lǐng)域的 TC ：1bits 字段，表示可截（truncated ），使用UDP 時(shí)，它表示當(dāng)應(yīng)答的總長度超過512字節(jié)時(shí)，只返回前512個(gè)字節(jié)

RD ：1bits 字段，表示期望遞歸，該比特能在一個(gè)查詢中設(shè)置，并在一個(gè)響應(yīng)中返回，這個(gè)標(biāo)志告訴名字服務(wù)器必須處理這個(gè)查詢，也稱為一個(gè)遞歸查詢，如果該位為0，且被請(qǐng)求的名字服務(wù)器沒有一個(gè)授權(quán)回答，它就返回一個(gè)能解答該查詢的其他名字服務(wù)器列表，這稱為迭代查詢（期望遞歸）

RA ：1bits 字段，表示可用遞歸，如果名字服務(wù)器支持遞歸查詢，則在響應(yīng)中將該bit 置為1（可用遞歸）

zero ：必須為0

rcode ：是一個(gè)4bit 的返回碼字段，通常值為0（沒有差錯(cuò)）和3（名字差錯(cuò)），名字差錯(cuò)只有從一個(gè)授權(quán)名字服務(wù)器上返回，它表示在查詢中指定的域名不存在

隨后的4個(gè)bit 字段說明最后4個(gè)變長字段中包含的條目數(shù)，對(duì)于查詢報(bào)文，問題數(shù)通常是1，

其他三項(xiàng)為0，類似的，對(duì)于應(yīng)答報(bào)文，回答數(shù)至少是1，剩余兩項(xiàng)可以使0或非0

5. DNS查詢報(bào)文中每個(gè)查詢問題的格式

0 16 31查詢名

查詢類型 查詢類

查詢名：要查找的名字

查詢類：通常值為1，表示是互聯(lián)網(wǎng)的地址，也就是IP 協(xié)議族的地址

查詢類型：有很多種查詢類型，一般最常用的查詢類型是A 類型（表示查找域名對(duì)應(yīng)的IP 地址）和PTR 類型（表示查找IP 地址對(duì)應(yīng)的域名）

查詢名為要查找的名字，它由一個(gè)或者多個(gè)標(biāo)示符序列組成，每個(gè)標(biāo)示符已首字符字節(jié)數(shù)的計(jì)數(shù)值來說明該表示符長度，每個(gè)名字以0結(jié)束，計(jì)數(shù)字節(jié)數(shù)必須是0~63之間，該字段無需填充字節(jié)，如：

gemine.tuc.noao.edu

6. DNS響應(yīng)報(bào)文中的資源記錄格式：

域名：記錄中資源數(shù)據(jù)對(duì)應(yīng)的名字，它的格式和查詢名字段格式相同

類型：類型說明RR 的類型碼，類通常為1，指Internet 數(shù)據(jù)

生存時(shí)間：客戶程序保存該資源記錄的秒數(shù)

資源數(shù)據(jù)長度：說明后面資源數(shù)據(jù)的數(shù)量，該數(shù)據(jù)的格式依賴于類型字段的值，對(duì)于類1（A 記錄）記錄數(shù)據(jù)室4字節(jié)的IP 地址

資源數(shù)據(jù)：服務(wù)器端返回給客戶端的記錄數(shù)據(jù)

Nslookup 是一個(gè)監(jiān)測網(wǎng)絡(luò)中DNS 服務(wù)器是否能夠正確實(shí)現(xiàn)域名解析的命令行工具。它在Windows NT/2000/XP中均可使用。本實(shí)驗(yàn)通過nslookup 檢測服務(wù)器的配置，并利用協(xié)議分析Wireshark 捕獲分析nslookup 命令產(chǎn)生的DNS 數(shù)據(jù)包。

Nslookup 查詢命令格式為nslookup 域名，主要做兩個(gè)操作，一個(gè)是根據(jù)本地DNS 服務(wù)器的IP 地址獲得本地DNS 服務(wù)器的名字，二是根據(jù)輸入查詢的域名查找該域名的IP 地址。

三、實(shí)驗(yàn)步驟

1. 打開Wireshark ，選擇工具欄上的“Capture”->“interfaces選擇網(wǎng)關(guān)”，截圖替換：

2、然后在Wireshark ，選擇工具欄上的“Capture”->“optoins”選擇過濾器，并在capture filter 中輸入 udp port 53(表示

要抓dns 的包) ，截圖替換

3. 打開命令提示符，鍵入CMD 后，輸入nslookup . 截圖替換

分析：

1）由此可知，本地域名服務(wù)器是：Cc-cache1-ibm

2）Ip 地址是：219.149.194.56

3）別名：www.google.com.DHCP

4） 分析抓到的DNS 的包，截圖：

第一幀

是 192.168.1.108 發(fā)送給本地DNS 服務(wù)器 219.149.194.56 的反向查詢?nèi)〉脠?bào)文，用于獲得本地DNS 服務(wù)器的名字。截圖并分析

：

分析：

問題的個(gè)數(shù)： 1 回答RR 個(gè)數(shù)：0 權(quán)威域名RR 數(shù)：0 附加RR 數(shù)： 0 Type 為 ：A

第二幀，截圖

存活時(shí)間是：58

告訴查詢結(jié)果是：pub.idqqimg.com.tc.qq.com 第三幀 截圖

分析

是 192.168.1.108 （客戶端）發(fā)給 本地DNS 的請(qǐng)求報(bào)文：問域名為 地址219.149.194.56

第四幀截圖

告訴客戶端 36.49.31.15 （IP 地址） 沒 無權(quán)威域名服務(wù)器 對(duì)應(yīng)的ipv4地址有 一 個(gè)

四、實(shí)驗(yàn)總結(jié)

加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的認(rèn)知

加強(qiáng)對(duì)實(shí)驗(yàn)軟件的熟練程度

加強(qiáng)對(duì)相應(yīng)知識(shí)的了解