實(shí)訓(xùn)二 利用WireShark 分析UDP 與DNS 包一、實(shí)訓(xùn)目的1. 學(xué)會使用nslookup 工具查詢并分析Internet 域名信息或診斷DNS 服務(wù)器。2. 會用wireshark 分析

實(shí)訓(xùn)二 利用WireShark 分析UDP 與DNS 包

一、實(shí)訓(xùn)目的

1. 學(xué)會使用nslookup 工具查詢并分析Internet 域名信息或診斷DNS 服務(wù)器。

2. 會用wireshark 分析DNS 協(xié)議。對DNS 協(xié)議有個全面的學(xué)習(xí)與了解。

二、實(shí)訓(xùn)器材

1. 接入Internet 的計算機(jī)主機(jī)；

2. 抓包工具WireShark 。

三、實(shí)訓(xùn)內(nèi)容

一、DNS 包分析實(shí)驗(yàn)

1. 啟動WireShark ，并開始抓包。

2. 運(yùn)行 nslookup 發(fā)現(xiàn)廣工大或其它大學(xué)的官方DNS 服務(wù)器。

如：nslookup –type=NS gdut.edu.cn（或其它網(wǎng)址，如：中大sysu.edu.cn ，劍橋大學(xué)cam.ca.uk ，北大pku.edu.cn ，??）

實(shí)驗(yàn)結(jié)果舉例：

3. 運(yùn)行nslookup 向其中一個DNS 服務(wù)器請求Yahoo! 的地址。

實(shí)驗(yàn)結(jié)果舉例：

1

4. 停止抓包，顯示過濾DNS 包，查看其請求包和響應(yīng)包的運(yùn)輸層協(xié)議是UDP 還

是 TCP?

答：都是UDP

。

5. DNS 請求包的目的端口及 DNS響應(yīng)包的源端口號分別是多少？

答：都是53。

6. DNS 請求包是發(fā)往哪個地址的？用ipconfig 查看你的本地DNS 服務(wù)器的IP

地址，它們兩個相同嗎？

答：它們兩個地址相同。

2

7. 檢查DNS 請求包，其類型是什么？請求包里有應(yīng)答信息嗎？ 答：DNS 請求包的類型是UDP, 沒有應(yīng)答信息。

8. 檢查DNS 應(yīng)答包，其中包含多少“answers”, 其中含有什么信息？ 答：包含3個answers. 其中type 類型為CNAME ，說明規(guī)范主機(jī)名為www.a.shifen.com ，IP 地址為115.239.210.26，

115.239.210.2,7

3

9. 查看接下來你的主機(jī)發(fā)出的一些TCP SYN 包，其中的目的IP 地址是否有剛

才DNS 應(yīng)答包中的IP 地址?

答：有。

10. 訪問網(wǎng)頁，當(dāng)網(wǎng)頁中包含圖片時，取回這些圖片之前，是否會觸發(fā)一個新的

DNS 請求？

答：根據(jù)具體情況會有不同的結(jié)果。

11. 查看DNS 應(yīng)答包，你選擇的新的DNS 服務(wù)器應(yīng)答包提供了什么？其中包括你

選擇的新DNS 服務(wù)器的IP 地址碼？

答：所提供的信息如下，其中包括自己的IP 地址

12. 查看DNS 請求包的目的地址、是否是你的本地DNS 服務(wù)器的地址？若不是，

這些IP 地址指的是什么？

答：是。

13. 查看該DNS 請求包的類型及應(yīng)答包包含的 “answers”。

答：1）A 記錄是名稱解析的重要記錄，它用于將特定的主機(jī)名映射到對應(yīng)主機(jī)的IP 地址上。你可以在DNS 服務(wù)器中手動創(chuàng)建或通過DNS 客戶端動態(tài)更新來創(chuàng)建。

2）NS 記錄此記錄指定負(fù)責(zé)此DNS 區(qū)域的權(quán)威名稱服務(wù)器。

應(yīng)答包包含的 “answers”如圖：

4

14. 檢查該DNS 應(yīng)答包，有多少回答，各包含什么內(nèi)容？

答：

15. 通過對上述DNS 包的分析，簡單解釋DNS 協(xié)議內(nèi)容。

答：DNS 是域名系統(tǒng)(DomainNameSystem)的縮寫，該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計算機(jī)和網(wǎng)絡(luò)服務(wù)。域名是由圓點(diǎn)分開一串單詞或縮寫組成的，每一個域名都對應(yīng)一個惟一的IP 地址，在Internet 上域名與IP 地址之間是一一對應(yīng)的，DNS 就是進(jìn)行域名解析的服務(wù)器。DNS 命名用于Internet 等TCP/IP網(wǎng)絡(luò)中，通過用戶友好的名稱查找計算機(jī)和服務(wù)。DNS 是因特網(wǎng)的一項核心服務(wù), 它作為可以將域名和IP 地址相互映射的一個分布式數(shù)據(jù)庫。

5

16. UDP 報文頭部有幾個字段，繪制UDP 報文的結(jié)構(gòu)圖。

答：UDP 報文只有少量的字段：源端口號、目的端口號、長度、校驗(yàn)和等，各個字段功能和TCP 報文相應(yīng)字段一樣。

UDP 報文沒有可靠性保證和順序保證字段，流量控制字段等，可靠性較差。當(dāng)然，使用傳輸層UDP 服務(wù)的應(yīng)用程序也有優(yōu)勢。正因?yàn)閁DP 協(xié)議較少的控制選項，在數(shù)據(jù)傳輸過程中，延遲較小，數(shù)據(jù)傳輸效率較高，適合于對可靠性要求并不高的應(yīng)用程序，或者可以保障可靠性的應(yīng)用程序像DNS 、 TFTP、SNMP 等；UDP 協(xié)議也可以用于傳輸鏈路可靠的網(wǎng)絡(luò)。

UDP 報文的結(jié)構(gòu)圖如下：

【思考題】

1. 分析并了解DNS 服務(wù)器的訪問過程，全球13個DNS 根服務(wù)器中有10個在美國，

從網(wǎng)絡(luò)安全上分析這樣設(shè)置DNS 根服務(wù)器對我國網(wǎng)絡(luò)信息安全是否造成威脅？ 答：1）客戶端首先檢查本地c:windowssystem32driversetchost文件，是否有對應(yīng)的IP 地址，若有，則直接訪問WEB 站點(diǎn)，若無

2）客戶端檢查本地緩存信息，若有，則直接訪問WEB 站點(diǎn)，若無

3）本地DNS 檢查緩存信息，若有，將IP 地址返回給客戶端，客戶端可直接訪問WEB 站點(diǎn)，若無

4）本地DNS 檢查區(qū)域文件是否有對應(yīng)的IP ，若有，將IP 地址返回給客戶端，客戶端可直接訪問WEB 站點(diǎn)，若無，

5）本地DNS 根據(jù)cache.dns 文件中指定的根DNS 服務(wù)器的IP 地址，轉(zhuǎn)向根DNS 查詢。

6）根DNS 收到查詢請求后，查看區(qū)域文件記錄，若無，則將其管轄范圍內(nèi).com 服務(wù)器的IP 地址告訴本地DNS 服務(wù)器

7）.com 服務(wù)器收到查詢請求后，查看區(qū)域文件記錄，若無，則將其管轄范圍內(nèi).xxx 服務(wù)器的IP 地址告訴本地DNS 服務(wù)器

8）.xxx 服務(wù)器收到查詢請求后，分析需要解析的域名，若無，則查詢失敗，若有，返回www. 的IP 地址給本地服務(wù)器

9）本地DNS 服務(wù)器將www. 的IP 地址返回給客戶端，客戶端通過這個IP 地址與WEB 站點(diǎn)建立連接

全球13個DNS 根服務(wù)器中有10個在美國，從網(wǎng)絡(luò)安全上分析這樣設(shè)置DNS 根服務(wù)器對我國網(wǎng)絡(luò)信息安全會造成威脅，而且可能導(dǎo)致國家機(jī)密數(shù)據(jù)泄露等。

2. 分析IP 包頭中的長度字段和UDP 包頭中的長度字段的區(qū)別。

答：IP 包頭中的長度字段是IP 包的總長

UDP 包頭中的長度字段是UDP 包的總長

3. UDP 報文與TCP 報文有何不同？體會UDP 協(xié)議和TCP 協(xié)議的區(qū)別。

答：TCP 協(xié)議為終端設(shè)備提供了面向連接的、可靠的網(wǎng)絡(luò)服務(wù)；UDP 協(xié)議為終端設(shè)備提供了無連接的、不可靠的數(shù)據(jù)報服務(wù)。從上圖我們可以看出，TCP 協(xié)議為了保

6

證數(shù)據(jù)傳輸?shù)目煽啃裕鄬τ赨DP 報文，TCP 報文頭部有更多的字段選項。

相對于 TCP 報文，UDP 報文只有少量的字段：源端口號、目的端口號、長度、校驗(yàn)和等，各個字段功能和TCP 報文相應(yīng)字段一樣。

UDP 報文沒有可靠性保證和順序保證字段，流量控制字段等，可靠性較差。當(dāng)然，使用傳輸層UDP 服務(wù)的應(yīng)用程序也有優(yōu)勢。正因?yàn)閁DP 協(xié)議較少的控制選項，在數(shù)據(jù)傳輸過程中，延遲較小，數(shù)據(jù)傳輸效率較高，適合于對可靠性要求并不高的應(yīng)用程序，或者可以保障可靠性的應(yīng)用程序像DNS 、 TFTP 、SNMP 等；UDP 協(xié)議也可以用于傳輸鏈路可靠的網(wǎng)絡(luò)。

7