协议分析实验.doc

《协议分析实验.doc》由会员分享，可在线阅读，更多相关《协议分析实验.doc（12页珍藏版）》请在咨信网上搜索。

1、吉 林 农 业 大 学 实 验 报 告姓名：李洪爽 学号：12145211 专业：物联网工程 第 六次 2023年 5月 16 日实验七 DNS协议分析一、 实验目的1.学会客户端使用nslookup命令进行域名解析。2.通过协议分析软件掌握DNS协议的报文格式。二、 实验原理DNS是域名系统(Domain Name System)的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。域名是由圆点分开一串单词或缩写组成的，每一个域名都相应一个惟一的IP地址，在Internet上域名与IP地址之间是一一相应的，DNS就是进行域名解析的服务器DNS命名用于Internet等TCP/IP网络中

2、，通过用户和谐的名称查找计算机和服务。DNS是因特网的一项核心服务，它作为可以将域名和IP地址互相映射的一个分布式数据库而存在。 DNS 是一个分层级的分散式名称相应系统，有点像电脑的目录树结构：在最顶端的是一个“root”，然后其下分为好几个基本类别名称，如：comorgedu 等；再下面是组织名称，如：IBMMicrosoftIntel 等；继而是主机名称，如：wwwmailftp 等。 一个具体的 DNS运作过程如下： 1. 当被询问到有关本域名之内的主机名称的时候，DNS 服务器会直接做出回答；2. 客户端向服务器提出查询项目； 3. 假如所查询的主机名称属于其它域名的话，会检查缓存(

3、Cache)，看看有没有相关资料； 4. 假如没有发现，则会转向 root 服务器查询； 5. 然后 root 服务器会将该域名之下一层授权(authoritative)服务器的位置告知(也许会超过一台) ； 6. 本地服务器然后会向其中的一台服务器查询，并将这些服务器名单存到缓存中，以备将来之需(省却再向 root 查询的环节) ； 7. 远方服务器回应查询；8.若该回应并非最后一层的答案，则继续往下一层查询，直到获得客户端所需的结果为止； 9. 将查询结果回应给客户端，并同时将结果储存一个备份在自己的缓存里面； 10. 假如在存放时间尚未过时之前再接到相同的查询，则以存放于缓存里的资料来做

4、回应。 从这个过程我们可以看出，没有任何一台 DNS 主机会包含所有域名的 DNS 资料，资料都是分散在所有的 DNS 服务器中。DNS协议报文结构 通过研究发现，DNS协议提成包头和数据两部分。如图1所示，该报文由12字节的首部和4个长度可变的字段组成。 以下会具体介绍个字段： 1. 标记 标记字段由客户程序设立并有服务器返回结果，16位，在相应的query和response报文中有着相同的ID，可以在抓到的包中配对请求和应答报文，提取相关信息，同时也可以根据他们的时间戳大体估计DNS的相应时间。 2. 标志 标志字段长16bit，结构如图2所示：QR 1 OpcodeAA 1 TC 1 R

5、D 1 RA 1 Zero 3 Rcode 4 QR：1bits字段，0表达查询报文，1表达响应报文Opcode：4bits字段，通常值为0（标准查询），其他值为1（反向查询）和2（服务器状态请求）AA：1bits标志表达授权回答（authoritive answer）,该名字服务器是授权于该领域的TC：1bits字段，表达可截（truncated），使用UDP时，它表达当应答的总长度超过512字节时，只返回前512个字节RD：1bits字段，表达盼望递归，该比特能在一个查询中设立，并在一个响应中返回，这个标志告诉名字服务器必须解决这个查询，也称为一个递归查询，假如该位为0，且被请求的名字服务

6、器没有一个授权回答，它就返回一个能解答该查询的其他名字服务器列表，这称为迭代查询（盼望递归）RA：1bits字段，表达可用递归，假如名字服务器支持递归查询，则在响应中将该bit置为1（可用递归）zero：必须为0rcode：是一个4bit的返回码字段，通常值为0（没有差错）和3（名字差错），名字差错只有从一个授权名字服务器上返回，它表达在查询中指定的域名不存在随后的4个bit字段说明最后4个变长字段中包含的条目数，对于查询报文，问题数通常是1，其他三项为0，类似的，对于应答报文，回答数至少是1，剩余两项可以使0或非05. DNS查询报文中每个查询问题的格式0 16 31查询名 查询类型 查询类

7、 查询名：要查找的名字查询类：通常值为1，表达是互联网的地址，也就是IP协议族的地址查询类型：有很多种查询类型，一般最常用的查询类型是A类型（表达查找域名相应的IP地址）和PTR类型（表达查找IP地址相应的域名）查询名为要查找的名字，它由一个或者多个标示符序列组成，每个标示符已首字符字节数的计数值来说明该表达符长度，每个名字以0结束，计数字节数必须是063之间，该字段无需填充字节，如：gemine.tuc.noao.edu6. DNS响应报文中的资源记录格式：域名：记录中资源数据相应的名字，它的格式和查询名字段格式相同类型：类型说明RR的类型码，类通常为1，指Internet数据生存时间：客户

8、程序保存该资源记录的秒数资源数据长度：说明后面资源数据的数量，该数据的格式依赖于类型字段的值，对于类1（A记录）记录数据室4字节的IP地址资源数据：服务器端返回给客户端的记录数据Nslookup是一个监测网络中DNS服务器是否可以正的确现域名解析的命令行工具。它在Windows NT/2023/XP中均可使用。本实验通过nslookup检测服务器的配置，并运用协议分析Wireshark捕获分析nslookup命令产生的DNS数据包。Nslookup查询命令格式为nslookup域名，重要做两个操作，一个是根据本地DNS服务器的IP地址获得本地DNS服务器的名字，二是根据输入查询的域名查找该域名

9、的IP地址。三、实验环节1. 打开Wireshark，选择工具栏上的“Capture”-“interfaces选择网关”，截图替换：2、然后在Wireshark，选择工具栏上的“Capture”-“optoins”选择过滤器，并在capture filter中输入 udp port 53(表达要抓dns的包)，截图替换3.打开命令提醒符，键入CMD后，输入nslookup .com. 截图替换分析：1） 由此可知，本地区名服务器是：Cc-cache1-ibm2） Ip地址是：219.149.194.563） .com别名：.com.DHCP4） .com的ip地址有 1 个分析抓到的DNS的包

10、，截图：第一帧是 192.168.1.108 发送给本地DNS服务器 219.149.194.56 的反向查询取得报文，用于获得本地DNS服务器的名字。截图并分析：分析：问题的个数： 1回答RR个数：0 权威域名RR数：0 附加RR数： 0Type 为 ：A第二帧，截图存活时间是：58告诉查询结果是：第三帧 截图分析是 192.168.1.108 （客户端）发给 本地DNS 的请求报文：问域名为 地址219.149.194.56 第四帧截图告诉客户端 36.49.31.15 （IP地址） 没 无权威域名服务器相应的ipv4地址有 一 个四、 实验总结 加强对计算机网络的认知 加强对实验软件的纯熟限度 加强对相应知识的了解