计算机网络——自顶向下方法（第七版）Wireshark Lab3:DNS

这部分回顾Wireshark Lab3，该实验主要目标是了解HTTP协议。

参考资料：

• https://github.com/moranzcw/Computer-Networking-A-Top-Down-Approach-NOTES

Wireshark Lab3: DNS

1. nslookup

• 运行nslookup以获取一个亚洲的Web服务器的IP地址。该服务器的IP地址是什么？

  • 结果：

    $ nslookup.exe baidu.com
    非权威应答:
    服务器:  UnKnown
    Address:  10.19.0.1
    
    名称:    baidu.com
    Addresses:  39.156.69.79
              220.181.38.148

• 运行nslookup来确定一个欧洲的大学的权威DNS服务器。

  • 结果：

    $ nslookup.exe -type=NS cam.ac.uk
    非权威应答:
    服务器:  UnKnown
    Address:  10.19.0.1
    
    cam.ac.uk       nameserver = dns0.cl.cam.ac.uk
    cam.ac.uk       nameserver = ns3.mythic-beasts.com
    cam.ac.uk       nameserver = ns2.ic.ac.uk
    cam.ac.uk       nameserver = ns1.mythic-beasts.com
    cam.ac.uk       nameserver = dns0.eng.cam.ac.uk
    cam.ac.uk       nameserver = auth0.dns.cam.ac.uk

• 运行nslookup，使用问题2中一个已获得的DNS服务器，来查询Yahoo!邮箱的邮件服务器。它的IP地址是什么？

  • 使用问题2得到的dns服务器无法获得mail.yahoo.com的ip：

    $ nslookup mail.yahoo.com dns0.eng.cam.ac.uk
    *** 请求 UnKnown 超时
    DNS request timed out.
        timeout was 2 seconds.
    服务器:  UnKnown
    Address:  129.169.8.8
    
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.

    不指定dns服务器则可以获得：

    $ nslookup mail.yahoo.com
    非权威应答:
    服务器:  UnKnown
    Address:  10.19.0.1
    
    名称:    edge.gycpi.b.yahoodns.net
    Addresses:  119.161.8.12
              119.161.8.11
    Aliases:  mail.yahoo.com

2. ipconfig

这部分没有试验，记录下命令对应含义。

备注：windows下gitbash需要使用//来表示/。

• ipconfig //all：显示详细信息。
• ipconfig //display dns：显示DNS缓存记录。
• ipconfig //flushdns：清除缓存。

3. 使用Wireshark追踪DNS

part1

过滤条件为：

ip.addr == 192... and dns

• 找到DNS查询和响应消息。它们是否通过UDP或TCP发送？

  • 查询：

    198	17.203675	192...	192...	DNS	72	Standard query 0x14e9 A www.ietf.org

    报文：

    Frame 198: 72 bytes on wire (576 bits), 72 bytes captured (576 bits) on interface \Device\NPF_{F753ABA9-3223-40A2-9A94-5A5372E5E576}, id 0
    Ethernet II, Src: IntelCor_5e:46:e7 (48:a4:72:5e:46:e7), Dst: Tp-LinkT_60:c6:39 (58:41:20:60:c6:39)
    Internet Protocol Version 4, Src: 192..., Dst: 192...
    User Datagram Protocol, Src Port: 50972, Dst Port: 53
    Domain Name System (query)

  • 响应：

    199	17.207907	192...	192...	DNS	149	Standard query response 0x14e9 A www.ietf.org CNAME www.ietf.org.cdn.cloudflare.net A 104.16.45.99 A 104.16.44.99

    报文：

    Frame 199: 149 bytes on wire (1192 bits), 149 bytes captured (1192 bits) on interface \Device\NPF_{F753ABA9-3223-40A2-9A94-5A5372E5E576}, id 0
    Ethernet II, Src: Tp-LinkT_60:c6:39 (58:41:20:60:c6:39), Dst: IntelCor_5e:46:e7 (48:a4:72:5e:46:e7)
    Internet Protocol Version 4, Src: 192..., Dst: 192...
    User Datagram Protocol, Src Port: 53, Dst Port: 50972
    Domain Name System (response)

    所以是通过UDP发送。

• DNS查询消息的目标端口是什么？ DNS响应消息的源端口是什么？

  • 查询的目标端口是53，响应的目标端口是50972。

• DNS查询消息发送到哪个IP地址？使用ipconfig来确定本地DNS服务器的IP地址。这两个IP地址是否相同？

  • 相同。

• 检查DNS查询消息。DNS查询是什么”Type”的？查询消息是否包含任何”answers”？

  • 报文：

    Queries
        www.ietf.org: type A, class IN
            Name: www.ietf.org
            [Name Length: 12]
            [Label Count: 3]
            Type: A (Host Address) (1)
            Class: IN (0x0001)

    所以查询Type为A，没有answers。

• 检查DNS响应消息。提供了多少个”answers”？这些答案具体包含什么？

  • 报文：

    Answers
        www.ietf.org: type CNAME, class IN, cname www.ietf.org.cdn.cloudflare.net
        www.ietf.org.cdn.cloudflare.net: type A, class IN, addr 104.16.45.99
        www.ietf.org.cdn.cloudflare.net: type A, class IN, addr 104.16.44.99

    一共3个answers，包含规范主机名以及cdn服务器主机名。

• 考虑从您主机发送的后续TCP SYN数据包。 SYN数据包的目的IP地址是否与DNS响应消息中提供的任何IP地址相对应？

  • 没有找到TCP SYN数据包。

  • 此处过滤条件修改为

    ip.addr == 104.16.44.99 or ip.addr == 104.16.45.99

• 这个网页包含一些图片。在获取每个图片前，您的主机是否都发出了新的DNS查询？

  • dns查询一共只有两个，分别为

    198	17.203675	192...	192...	DNS	72	Standard query 0x14e9 A www.ietf.org
    335	17.695633	192...	192...	DNS	78	Standard query 0x02f0 A analytics.ietf.org

    所以获取图片之前没有发出新的DNS查询。

part2

指令：

nslookup www.mit.edu

查询信息：

83	9.277474	192...	192...	DNS	71	Standard query 0x0003 AAAA www.mit.edu

Frame 83: 71 bytes on wire (568 bits), 71 bytes captured (568 bits) on interface \Device\NPF_{F753ABA9-3223-40A2-9A94-5A5372E5E576}, id 0
Ethernet II, Src: IntelCor_5e:46:e7 (48:a4:72:5e:46:e7), Dst: Tp-LinkT_60:c6:39 (58:41:20:60:c6:39)
Internet Protocol Version 4, Src: 192..., Dst: 192...
User Datagram Protocol, Src Port: 60943, Dst Port: 53
Domain Name System (query)

响应信息：

84	9.282507	192...	192...	DNS	200	Standard query response 0x0003 AAAA www.mit.edu CNAME www.mit.edu.edgekey.net CNAME e9566.dscb.akamaiedge.net AAAA 2600:140b:4:6b3::255e AAAA 2600:140b:4:699::255e

Frame 84: 200 bytes on wire (1600 bits), 200 bytes captured (1600 bits) on interface \Device\NPF_{F753ABA9-3223-40A2-9A94-5A5372E5E576}, id 0
Ethernet II, Src: Tp-LinkT_60:c6:39 (58:41:20:60:c6:39), Dst: IntelCor_5e:46:e7 (48:a4:72:5e:46:e7)
Internet Protocol Version 4, Src: 192..., Dst: 192...
User Datagram Protocol, Src Port: 53, Dst Port: 60943
Domain Name System (response)

• DNS查询消息的目标端口是什么？ DNS响应消息的源端口是什么？

  • 查询的目标端口为53，响应的目标端口为60943。

• DNS查询消息的目标IP地址是什么？这是你的默认本地DNS服务器的IP地址吗？

  • 是。

• 检查DNS查询消息。DNS查询是什么”Type”的？查询消息是否包含任何”answers”？

  • 查询消息：

    Queries
      www.mit.edu: type AAAA, class IN

    type是AAAA，不包含answers。

• 检查DNS响应消息。提供了多少个”answers”？这些答案包含什么？

  • 响应消息：

    Answers
        www.mit.edu: type CNAME, class IN, cname www.mit.edu.edgekey.net
        www.mit.edu.edgekey.net: type CNAME, class IN, cname e9566.dscb.akamaiedge.net
        e9566.dscb.akamaiedge.net: type AAAA, class IN, addr 2600:140b:4:6b3::255e
      e9566.dscb.akamaiedge.net: type AAAA, class IN, addr 2600:140b:4:699::255e

    包含4个answers，包含host的规范主机名，权威dns服务器主机名以及ip。

• 提供屏幕截图。

  • 略过。

part3

指令：

nslookup -type=NS mit.edu

查询信息：

4	0.865358	192...	192...	DNS	67	Standard query 0x0002 NS mit.edu

Frame 4: 67 bytes on wire (536 bits), 67 bytes captured (536 bits) on interface \Device\NPF_{F753ABA9-3223-40A2-9A94-5A5372E5E576}, id 0
Ethernet II, Src: IntelCor_5e:46:e7 (48:a4:72:5e:46:e7), Dst: Tp-LinkT_60:c6:39 (58:41:20:60:c6:39)
Internet Protocol Version 4, Src: 192..., Dst: 192...
User Datagram Protocol, Src Port: 51930, Dst Port: 53
Domain Name System (query)

响应信息：

5	0.870051	192...	192...	DNS	234	Standard query response 0x0002 NS mit.edu NS ns1-37.akam.net NS asia2.akam.net NS ns1-173.akam.net NS usw2.akam.net NS use5.akam.net NS asia1.akam.net NS eur5.akam.net NS use2.akam.net

Frame 5: 234 bytes on wire (1872 bits), 234 bytes captured (1872 bits) on interface \Device\NPF_{F753ABA9-3223-40A2-9A94-5A5372E5E576}, id 0
Ethernet II, Src: Tp-LinkT_60:c6:39 (58:41:20:60:c6:39), Dst: IntelCor_5e:46:e7 (48:a4:72:5e:46:e7)
Internet Protocol Version 4, Src: 192..., Dst: 192...
User Datagram Protocol, Src Port: 53, Dst Port: 51930
Domain Name System (response)

• DNS查询消息发送到的IP地址是什么？这是您的默认本地DNS服务器的IP地址吗？

  • 是。

• 检查DNS查询消息。DNS查询是什么”Type”的？查询消息是否包含任何”answers”？

  • 查询消息：

    Queries
        mit.edu: type NS, class IN
            Name: mit.edu
            [Name Length: 7]
            [Label Count: 2]
            Type: NS (authoritative Name Server) (2)
          Class: IN (0x0001)

    type是NS，不包含answers。

• 检查DNS响应消息。响应消息提供的MIT域名服务器是什么？此响应消息还提供了MIT域名服务器的IP地址吗？

  • 响应消息：

    Answers
        mit.edu: type NS, class IN, ns ns1-37.akam.net
        mit.edu: type NS, class IN, ns asia2.akam.net
        mit.edu: type NS, class IN, ns ns1-173.akam.net
        mit.edu: type NS, class IN, ns usw2.akam.net
        mit.edu: type NS, class IN, ns use5.akam.net
        mit.edu: type NS, class IN, ns asia1.akam.net
        mit.edu: type NS, class IN, ns eur5.akam.net
      mit.edu: type NS, class IN, ns use2.akam.net

    没有提供域名服务器的ip地址。

• 提供屏幕截图。

  • 略。

part4

指令：

nslookup www.aiit.or.kr bitsy.mit.edu

由于该指令反馈的是超时，所以分析作者提供的抓包结果，下载地址：

http://gaia.cs.umass.edu/wireshark-labs/wireshark-traces.zip

对应文件：

dns-ethereal-trace-4

查询信息：

104	4.293517	128.238.38.160	18.72.0.3	DNS	74	Standard query 0x0003 A www.aiit.or.kr

Frame 104: 74 bytes on wire (592 bits), 74 bytes captured (592 bits)
Ethernet II, Src: IBM_10:60:99 (00:09:6b:10:60:99), Dst: All-HSRP-routers_00 (00:00:0c:07:ac:00)
Internet Protocol Version 4, Src: 128.238.38.160, Dst: 18.72.0.3
User Datagram Protocol, Src Port: 3753, Dst Port: 53
Domain Name System (query)

响应信息：

105	4.307859	18.72.0.3	128.238.38.160	DNS	156	Standard query response 0x0003 A www.aiit.or.kr A 218.36.94.200 NS ns.aiit.or.kr NS w3.aiit.or.kr A 222.106.36.66 A 222.106.36.67

Frame 105: 156 bytes on wire (1248 bits), 156 bytes captured (1248 bits)
Ethernet II, Src: Cisco_83:e4:54 (00:b0:8e:83:e4:54), Dst: IBM_10:60:99 (00:09:6b:10:60:99)
Internet Protocol Version 4, Src: 18.72.0.3, Dst: 128.238.38.160
User Datagram Protocol, Src Port: 53, Dst Port: 3753
Domain Name System (response)

• DNS查询消息发送到的IP地址是什么？这是您的默认本地DNS服务器的IP地址吗？如果不是，这个IP地址是什么？

  • 由于不是在作者的抓包机器上，所以本问题失效。

• 检查DNS查询消息。DNS查询是什么”Type”的？查询消息是否包含任何”answers”？

  • 查询消息：

    Queries
        www.aiit.or.kr: type A, class IN
            Name: www.aiit.or.kr
            [Name Length: 14]
            [Label Count: 4]
            Type: A (Host Address) (1)
          Class: IN (0x0001)

    Type为A，不包含answers。

• 检查DNS响应消息。提供了多少个”answers”？这些答案包含什么？

  • 响应消息：

    Answers
        www.aiit.or.kr: type A, class IN, addr 218.36.94.200
            Name: www.aiit.or.kr
            Type: A (Host Address) (1)
            Class: IN (0x0001)
            Time to live: 3338 (55 minutes, 38 seconds)
            Data length: 4
          Address: 218.36.94.200

    一个answers，包含主机的ip地址，类型等等。

• 提供屏幕截图。

  • 略。