计算机科学与技术学院实验报告
实验名称
实验七 域名系统DNS分析
重点难点
重点:域名系统DNS的工作原理; 难点:域名系统DNS,正确分析DNS数据报内容。
实验目的
1.了解域名系统DNS的工作原理;
2.学习扑获DNS数据包,并正确分析DNS数据包内容。
实验环境
Windows 操作系统、Wireshark网络分析软件、实验文件“DNS分析.cap”。
实验步骤
- 域名系统DNS
DNS 是域名系统(Domain Name System) 的缩写,它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址,而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方,它主要有两种形式:主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。在Internet上域名与IP地址之间是一对一(或者多对一)的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。DNS 命名用于Internet 等 TCP/IP网络中,通过用户友好的名称查找计算机和服务。当用户在应用程序中输入DNS名称时,DNS 服务可以将此名称解析为与之相关的其他信息,如 IP地址。因为,你在上网时输入的网址,是通过域名解析系统解析找到了相对应的IP地址,这样才能上网。其实,域名的最终指向是IP。
2.捕获DNS分组,并正确分析其内容
2.1依次执行以下命令:
ipconfig /release;(释放本地网卡IP地址)
arp –d;删除ARP表中所有的内容
ipconfig /flushdns ;删除本机上的DNS域名解析列表
启动Wireshark,扑获当前网络接口的数据分组。执行以下命令:
ipconfig /renew;重新配置本地网卡IP地址,执行DHCP协议
ping www.sina.com;
tracert www.163.com;
结束扑获,并保存该文件,为“DNS分析.cap”,过程见下图:
编辑
2.2“DNS分析.cap”的分析
43、45分组分别是查询www.sina.com的请求和回应DNS协议。
编辑
图 3 分组43是查询www.sina.com的请求
标识字段:a3f6
若干标志字段(2字节):标志字段值为0100(H),分解为QR=0,是查寻报文;opcode=0000标准查询;TC=0,报文不可截断;RD=1,期望递归查询;;Z=0,保留位;NA=0,不接收非权威数据。
问题数=1;资源记录=0;授权资源记录=0;额外资源记录=0;
查寻的域名:www.sina.com;查寻类型:主机地址;查寻类别:IP地址(class ,是一个16位值,标记协议族或某一个协议实例,使用IN代表internet系统,CH代表Chaos系统; class IN是一个32位IP地址 )
分组45是对分组43的应答,查询得到的域名记录解析如下:
编辑
图4 域名记录的4种类型
编辑
图 5 分组45是对分组43的应答
标识:a3f6
若干标志字段:标志字段值为8180(H), 分解为QR=1, 是响应报文;opcode=0000标准查询;AA=0,非权威DNS服务器;TC=0,不可截断; RD=1,可以递归查询; RA=1,可用递归; Z=0,保留位;rcode=0000,无差错。
问题数=1;资源记录=20;授权资源记录=3;额外资源记录=3。
编辑
图6 us.sina.com.cn是别名www.sina.com的规范主机名
us.sina.com.cn是别名www.sina.com的规范主机名,TTL是1分钟。
编辑
图 7 主机ara.sina.com.cn的IP地址
主机ara.sina.com.cn的IP地址是58.63.236.31-58.63.236.46.
编辑
ns1.sina.com.cn是sina.com.cn的域名服务器
编辑
ns1.sina.com.cn的IP地址是202.106.184.166.
问题一
1. 参照4.2.2 的方法分析分组96的内容。
回答
编辑
图10 分组96是查询www.163.com的请求
标识字段:506e
若干标志字段(2字节):标志字段值为0100(H),分解为
QR=0,是查寻报文;
opcode=0000标准查询;
TC=0,报文不可截断;
RD=1,期望递归查询;
Z=0,保留位;
NA=0,不接收非权威数据。
问题数=1;资源记录=0;授权资源记录=0;额外资源记录=0;
查寻的域名:www.163.com;查寻类型:主机地址;查寻类别:IP地址(class ,是一个16位值,标记协议族或某一个协议实例,使用IN代表internet系统,CH代表Chaos系统; class IN是一个32位IP地址 )
问题二
2. 参照4.2.2 的方法分析分组97的内容,给出该查询得到的对应域名的规范主机名、它们的IP地址、域名服务器及其IP地址。
回答
编辑
图11 分组97是对分组96的应答
标识:506e
若干标志字段:标志字段值为8180(H), 分解为
QR=1, 是响应报文;
opcode=0000标准查询;
AA=0,非权威DNS服务器;
TC=0,不可截断;
RD=1,可以递归查询;
RA=1,可用递归;
Z=0,保留位;
rcode=0000,无差错。
问题数=1;资源记录=7;授权资源记录=5;额外资源记录=0。
编辑
www.cache.wangsu.netease.com是别名www.163.com的规范主机名,TTL是515秒。
编辑
web.163.com.lxdns.com是别名www.cache.wangsu.netease.com的规范主机名,TTL是515秒。
编辑
netease.163.z.lxdns.com是别名web.163.com.lxdns.com的规范主机名,TTL是386秒。
编辑
主机163.xdwscache.glb0.lxdns.com的IP地址是121.14.35.168、113.107.96.232、121.9.238.94.
编辑
ns[1-5].glb0.lxdns.com是xdwscache.glb0.lxdns.com的权威域名服务器
