實(shí)驗(yàn)七利用Wireshark 分析DNS 協(xié)議一、實(shí)驗(yàn)?zāi)康姆治鯠NS 協(xié)議二、實(shí)驗(yàn)環(huán)境與因特網(wǎng)連接的計(jì)算機(jī)，操作系統(tǒng)為Windows ，安裝有Wireshark 、IE 等軟件。三、實(shí)驗(yàn)步驟nsloo

實(shí)驗(yàn)七利用Wireshark 分析DNS 協(xié)議

一、實(shí)驗(yàn)?zāi)康?/p>

分析DNS 協(xié)議

二、實(shí)驗(yàn)環(huán)境

與因特網(wǎng)連接的計(jì)算機(jī)，操作系統(tǒng)為Windows ，安裝有Wireshark 、IE 等軟件。

三、實(shí)驗(yàn)步驟

nslookup 工具允許運(yùn)行該工具的主機(jī)向指定的DNS 服務(wù)器查詢某個DNS 記錄。如果沒有指明DNS 服務(wù)器，nslookup 將把查詢請求發(fā)向默認(rèn)的DNS 服務(wù)器。其命令的一般格式是：(請?jiān)趯?shí)驗(yàn)中將該例中的usst.edu.cn 改為tust.edu.cn,www.google.com 改為www.baidu.com 并寫到實(shí)驗(yàn)報(bào)告中！)

nslookup –option1 –option2 host-to-find dns-server

1、打開命令提示符（Command Prompt），輸入nslookup 命令。

圖中顯示三條命令，第一條命令：nslookup

www.tu st.edu.cn “提出一個問題”

即：“將主機(jī)www.tust.edu.cn 的IP 地址告訴我”。屏幕上出現(xiàn)了兩條信息：（1）“回答這一問題”DNS 服務(wù)器的名字和IP 地址；（2）主機(jī)名字和IP 地址。

第二條命令：nslookup –type=NS tust.edu.cn

在這個例子中，我們提供了選項(xiàng)“-type=NS”，域?yàn)閠ust.edu.cn 。執(zhí)行這條命令后，屏幕上顯示了DNS 服務(wù)器的名字和地址。接著下面是三個TUST DNS服務(wù)器，

每一個服務(wù)器是TUST 校園里缺省的DNS 服務(wù)器。

第三條命令：nslookup www.baidu.com dns2.edu.cn

在這個例子中，我們請求返回dns3.tust.edu.cn DNS server 而不是默認(rèn)的DNS 服

務(wù)器(dns1.edu.cn)。此例中，DNS 服務(wù)器dns3.tust.edu.cn 提供主機(jī)www.baidu.com 的IP 地址。

2、ipconfig

ipconfig 用來顯示TCP/IP 信息, 你的主機(jī)地址、DNS 服務(wù)器地址，適配器等信息。如果你想看到所有關(guān)于你所在主機(jī)的信息，可在命令行鍵入：

ipconfig /all

ipconfig 在管理主機(jī)所儲存的DNS 信息非常有用。

如果查看DNS 緩存中的記錄用命令：ipconfig /displaydns 要清空DNS 緩存，用命令：ipconfig /flushdns

3、利用Wireshark 捕獲DNS 信息

（1）利用ipconfig /flushdns命令清空你的主機(jī)上的DNS 緩存。

（2）啟動瀏覽器，將瀏覽器的緩存清空。

（3）啟動Wireshark 分組俘獲器，在顯示過濾篩說明處輸入

“ip.addr==your_IP_address”(ip.addr==192.168.0.25)，過濾器（filter ）將會刪除所有目的地址和源地址都與指定IP 地址不同的分組。

（4）開始Wireshark 俘獲。

（5）在瀏覽器的地址欄中輸入：http://www.baidu.com

（6）停止分組俘獲。

（7）重復(fù)上面的實(shí)驗(yàn)，只是將命令替換為：nslookup –type=NS tust.edu.cn

（8）重復(fù)上面的實(shí)驗(yàn)，只是將命令替換為：

nslookup www.baidu.com dns1.tust.edu.cn

四、實(shí)驗(yàn)報(bào)告

在實(shí)驗(yàn)的基礎(chǔ)上，回答以下問題：

?

? 查找DNS 查詢和響應(yīng)消息, 發(fā)送的是UDP 還是TCP? 答：DNS 查詢和應(yīng)答報(bào)文是基于UDP 的 DNS 查詢消息的目的地端口號是多少？DNS 響應(yīng)消息

的源端口號是多少？客戶端的端口是多少？

答：查詢消息目的端口：53

? 響應(yīng)消息源端口：53 ?

? 客戶端端口：52576

? DNS 查詢消息向哪個IP 地址發(fā)送請求？利用ipconfig 來

確定你的本地DNS 服務(wù)器的IP 地址, 這兩個IP 地址相同嗎？

答：查詢消息向202.99.104.68發(fā)送請求，

? 檢查DNS 查詢消息, 這個DNS 查詢是什么類型？這個查

詢消息期望什么回答

？

屬于遞歸查詢 期望得到wwe.baidu.com 的IP 地址

檢查DNS 響應(yīng)消息, 這個消息提供了多少回答？每一個回

答包括了什么？

提供了三個回答

每個回答包括了（從上至下）

主機(jī)查詢域名；

類別代碼；

地址；

生存時間；

數(shù)據(jù)長度；

首要域名服務(wù)器；

觀察從你的主機(jī)發(fā)送的并發(fā)TCP SYN 包,SYN 包的終端

IP 地址和DNS 響應(yīng)消息所提供的IP 地址相符合嗎？

IP 為61.135.169.125，相符合