这部分回顾Wireshark Lab3,该实验主要目标是了解HTTP协议。

参考资料:

Wireshark Lab3: DNS

1. nslookup

  • 运行nslookup以获取一个亚洲的Web服务器的IP地址。该服务器的IP地址是什么?

    • 结果:

      $ nslookup.exe baidu.com
      非权威应答:
      服务器:  UnKnown
      Address:  10.19.0.1
      
      名称:    baidu.com
      Addresses:  39.156.69.79
                220.181.38.148
  • 运行nslookup来确定一个欧洲的大学的权威DNS服务器。

    • 结果:

      $ nslookup.exe -type=NS cam.ac.uk
      非权威应答:
      服务器:  UnKnown
      Address:  10.19.0.1
      
      cam.ac.uk       nameserver = dns0.cl.cam.ac.uk
      cam.ac.uk       nameserver = ns3.mythic-beasts.com
      cam.ac.uk       nameserver = ns2.ic.ac.uk
      cam.ac.uk       nameserver = ns1.mythic-beasts.com
      cam.ac.uk       nameserver = dns0.eng.cam.ac.uk
      cam.ac.uk       nameserver = auth0.dns.cam.ac.uk
  • 运行nslookup,使用问题2中一个已获得的DNS服务器,来查询Yahoo!邮箱的邮件服务器。它的IP地址是什么?

    • 使用问题2得到的dns服务器无法获得mail.yahoo.com的ip:

      $ nslookup mail.yahoo.com dns0.eng.cam.ac.uk
      *** 请求 UnKnown 超时
      DNS request timed out.
          timeout was 2 seconds.
      服务器:  UnKnown
      Address:  129.169.8.8
      
      DNS request timed out.
          timeout was 2 seconds.
      DNS request timed out.
          timeout was 2 seconds.
      DNS request timed out.
          timeout was 2 seconds.
      DNS request timed out.
          timeout was 2 seconds.

      不指定dns服务器则可以获得:

      $ nslookup mail.yahoo.com
      非权威应答:
      服务器:  UnKnown
      Address:  10.19.0.1
      
      名称:    edge.gycpi.b.yahoodns.net
      Addresses:  119.161.8.12
                119.161.8.11
      Aliases:  mail.yahoo.com

2. ipconfig

这部分没有试验,记录下命令对应含义。

备注:windows下gitbash需要使用//来表示/。

  • ipconfig //all:显示详细信息。
  • ipconfig //display dns:显示DNS缓存记录。
  • ipconfig //flushdns:清除缓存。

3. 使用Wireshark追踪DNS

part1

过滤条件为:

ip.addr == 192... and dns
  • 找到DNS查询和响应消息。它们是否通过UDP或TCP发送?

    • 查询:

      198	17.203675	192...	192...	DNS	72	Standard query 0x14e9 A www.ietf.org

      报文:

      Frame 198: 72 bytes on wire (576 bits), 72 bytes captured (576 bits) on interface \Device\NPF_{F753ABA9-3223-40A2-9A94-5A5372E5E576}, id 0
      Ethernet II, Src: IntelCor_5e:46:e7 (48:a4:72:5e:46:e7), Dst: Tp-LinkT_60:c6:39 (58:41:20:60:c6:39)
      Internet Protocol Version 4, Src: 192..., Dst: 192...
      User Datagram Protocol, Src Port: 50972, Dst Port: 53
      Domain Name System (query)
    • 响应:

      199	17.207907	192...	192...	DNS	149	Standard query response 0x14e9 A www.ietf.org CNAME www.ietf.org.cdn.cloudflare.net A 104.16.45.99 A 104.16.44.99

      报文:

      Frame 199: 149 bytes on wire (1192 bits), 149 bytes captured (1192 bits) on interface \Device\NPF_{F753ABA9-3223-40A2-9A94-5A5372E5E576}, id 0
      Ethernet II, Src: Tp-LinkT_60:c6:39 (58:41:20:60:c6:39), Dst: IntelCor_5e:46:e7 (48:a4:72:5e:46:e7)
      Internet Protocol Version 4, Src: 192..., Dst: 192...
      User Datagram Protocol, Src Port: 53, Dst Port: 50972
      Domain Name System (response)

      所以是通过UDP发送。

  • DNS查询消息的目标端口是什么? DNS响应消息的源端口是什么?

    • 查询的目标端口是53,响应的目标端口是50972。
  • DNS查询消息发送到哪个IP地址?使用ipconfig来确定本地DNS服务器的IP地址。这两个IP地址是否相同?

    • 相同。
  • 检查DNS查询消息。DNS查询是什么”Type”的?查询消息是否包含任何”answers”?

    • 报文:

      Queries
          www.ietf.org: type A, class IN
              Name: www.ietf.org
              [Name Length: 12]
              [Label Count: 3]
              Type: A (Host Address) (1)
              Class: IN (0x0001)

      所以查询Type为A,没有answers。

  • 检查DNS响应消息。提供了多少个”answers”?这些答案具体包含什么?

    • 报文:

      Answers
          www.ietf.org: type CNAME, class IN, cname www.ietf.org.cdn.cloudflare.net
          www.ietf.org.cdn.cloudflare.net: type A, class IN, addr 104.16.45.99
          www.ietf.org.cdn.cloudflare.net: type A, class IN, addr 104.16.44.99

      一共3个answers,包含规范主机名以及cdn服务器主机名。

  • 考虑从您主机发送的后续TCP SYN数据包。 SYN数据包的目的IP地址是否与DNS响应消息中提供的任何IP地址相对应?

    • 没有找到TCP SYN数据包。

    • 此处过滤条件修改为

      ip.addr == 104.16.44.99 or ip.addr == 104.16.45.99
  • 这个网页包含一些图片。在获取每个图片前,您的主机是否都发出了新的DNS查询?

    • dns查询一共只有两个,分别为

      198	17.203675	192...	192...	DNS	72	Standard query 0x14e9 A www.ietf.org
      335	17.695633	192...	192...	DNS	78	Standard query 0x02f0 A analytics.ietf.org

      所以获取图片之前没有发出新的DNS查询。

part2

指令:

nslookup www.mit.edu

查询信息:

83	9.277474	192...	192...	DNS	71	Standard query 0x0003 AAAA www.mit.edu
Frame 83: 71 bytes on wire (568 bits), 71 bytes captured (568 bits) on interface \Device\NPF_{F753ABA9-3223-40A2-9A94-5A5372E5E576}, id 0
Ethernet II, Src: IntelCor_5e:46:e7 (48:a4:72:5e:46:e7), Dst: Tp-LinkT_60:c6:39 (58:41:20:60:c6:39)
Internet Protocol Version 4, Src: 192..., Dst: 192...
User Datagram Protocol, Src Port: 60943, Dst Port: 53
Domain Name System (query)

响应信息:

84	9.282507	192...	192...	DNS	200	Standard query response 0x0003 AAAA www.mit.edu CNAME www.mit.edu.edgekey.net CNAME e9566.dscb.akamaiedge.net AAAA 2600:140b:4:6b3::255e AAAA 2600:140b:4:699::255e
Frame 84: 200 bytes on wire (1600 bits), 200 bytes captured (1600 bits) on interface \Device\NPF_{F753ABA9-3223-40A2-9A94-5A5372E5E576}, id 0
Ethernet II, Src: Tp-LinkT_60:c6:39 (58:41:20:60:c6:39), Dst: IntelCor_5e:46:e7 (48:a4:72:5e:46:e7)
Internet Protocol Version 4, Src: 192..., Dst: 192...
User Datagram Protocol, Src Port: 53, Dst Port: 60943
Domain Name System (response)
  • DNS查询消息的目标端口是什么? DNS响应消息的源端口是什么?

    • 查询的目标端口为53,响应的目标端口为60943。
  • DNS查询消息的目标IP地址是什么?这是你的默认本地DNS服务器的IP地址吗?

    • 是。
  • 检查DNS查询消息。DNS查询是什么”Type”的?查询消息是否包含任何”answers”?

    • 查询消息:

      Queries
        www.mit.edu: type AAAA, class IN

      type是AAAA,不包含answers。

  • 检查DNS响应消息。提供了多少个”answers”?这些答案包含什么?

    • 响应消息:

      Answers
          www.mit.edu: type CNAME, class IN, cname www.mit.edu.edgekey.net
          www.mit.edu.edgekey.net: type CNAME, class IN, cname e9566.dscb.akamaiedge.net
          e9566.dscb.akamaiedge.net: type AAAA, class IN, addr 2600:140b:4:6b3::255e
        e9566.dscb.akamaiedge.net: type AAAA, class IN, addr 2600:140b:4:699::255e

      包含4个answers,包含host的规范主机名,权威dns服务器主机名以及ip。

  • 提供屏幕截图。

    • 略过。

part3

指令:

nslookup -type=NS mit.edu

查询信息:

4	0.865358	192...	192...	DNS	67	Standard query 0x0002 NS mit.edu
Frame 4: 67 bytes on wire (536 bits), 67 bytes captured (536 bits) on interface \Device\NPF_{F753ABA9-3223-40A2-9A94-5A5372E5E576}, id 0
Ethernet II, Src: IntelCor_5e:46:e7 (48:a4:72:5e:46:e7), Dst: Tp-LinkT_60:c6:39 (58:41:20:60:c6:39)
Internet Protocol Version 4, Src: 192..., Dst: 192...
User Datagram Protocol, Src Port: 51930, Dst Port: 53
Domain Name System (query)

响应信息:

5	0.870051	192...	192...	DNS	234	Standard query response 0x0002 NS mit.edu NS ns1-37.akam.net NS asia2.akam.net NS ns1-173.akam.net NS usw2.akam.net NS use5.akam.net NS asia1.akam.net NS eur5.akam.net NS use2.akam.net
Frame 5: 234 bytes on wire (1872 bits), 234 bytes captured (1872 bits) on interface \Device\NPF_{F753ABA9-3223-40A2-9A94-5A5372E5E576}, id 0
Ethernet II, Src: Tp-LinkT_60:c6:39 (58:41:20:60:c6:39), Dst: IntelCor_5e:46:e7 (48:a4:72:5e:46:e7)
Internet Protocol Version 4, Src: 192..., Dst: 192...
User Datagram Protocol, Src Port: 53, Dst Port: 51930
Domain Name System (response)
  • DNS查询消息发送到的IP地址是什么?这是您的默认本地DNS服务器的IP地址吗?

    • 是。
  • 检查DNS查询消息。DNS查询是什么”Type”的?查询消息是否包含任何”answers”?

    • 查询消息:

      Queries
          mit.edu: type NS, class IN
              Name: mit.edu
              [Name Length: 7]
              [Label Count: 2]
              Type: NS (authoritative Name Server) (2)
            Class: IN (0x0001)

      type是NS,不包含answers。

  • 检查DNS响应消息。响应消息提供的MIT域名服务器是什么?此响应消息还提供了MIT域名服务器的IP地址吗?

    • 响应消息:

      Answers
          mit.edu: type NS, class IN, ns ns1-37.akam.net
          mit.edu: type NS, class IN, ns asia2.akam.net
          mit.edu: type NS, class IN, ns ns1-173.akam.net
          mit.edu: type NS, class IN, ns usw2.akam.net
          mit.edu: type NS, class IN, ns use5.akam.net
          mit.edu: type NS, class IN, ns asia1.akam.net
          mit.edu: type NS, class IN, ns eur5.akam.net
        mit.edu: type NS, class IN, ns use2.akam.net

      没有提供域名服务器的ip地址。

  • 提供屏幕截图。

    • 略。

part4

指令:

nslookup www.aiit.or.kr bitsy.mit.edu

由于该指令反馈的是超时,所以分析作者提供的抓包结果,下载地址:

http://gaia.cs.umass.edu/wireshark-labs/wireshark-traces.zip

对应文件:

dns-ethereal-trace-4

查询信息:

104	4.293517	128.238.38.160	18.72.0.3	DNS	74	Standard query 0x0003 A www.aiit.or.kr
Frame 104: 74 bytes on wire (592 bits), 74 bytes captured (592 bits)
Ethernet II, Src: IBM_10:60:99 (00:09:6b:10:60:99), Dst: All-HSRP-routers_00 (00:00:0c:07:ac:00)
Internet Protocol Version 4, Src: 128.238.38.160, Dst: 18.72.0.3
User Datagram Protocol, Src Port: 3753, Dst Port: 53
Domain Name System (query)

响应信息:

105	4.307859	18.72.0.3	128.238.38.160	DNS	156	Standard query response 0x0003 A www.aiit.or.kr A 218.36.94.200 NS ns.aiit.or.kr NS w3.aiit.or.kr A 222.106.36.66 A 222.106.36.67
Frame 105: 156 bytes on wire (1248 bits), 156 bytes captured (1248 bits)
Ethernet II, Src: Cisco_83:e4:54 (00:b0:8e:83:e4:54), Dst: IBM_10:60:99 (00:09:6b:10:60:99)
Internet Protocol Version 4, Src: 18.72.0.3, Dst: 128.238.38.160
User Datagram Protocol, Src Port: 53, Dst Port: 3753
Domain Name System (response)
  • DNS查询消息发送到的IP地址是什么?这是您的默认本地DNS服务器的IP地址吗?如果不是,这个IP地址是什么?

    • 由于不是在作者的抓包机器上,所以本问题失效。
  • 检查DNS查询消息。DNS查询是什么”Type”的?查询消息是否包含任何”answers”?

    • 查询消息:

      Queries
          www.aiit.or.kr: type A, class IN
              Name: www.aiit.or.kr
              [Name Length: 14]
              [Label Count: 4]
              Type: A (Host Address) (1)
            Class: IN (0x0001)

      Type为A,不包含answers。

  • 检查DNS响应消息。提供了多少个”answers”?这些答案包含什么?

    • 响应消息:

      Answers
          www.aiit.or.kr: type A, class IN, addr 218.36.94.200
              Name: www.aiit.or.kr
              Type: A (Host Address) (1)
              Class: IN (0x0001)
              Time to live: 3338 (55 minutes, 38 seconds)
              Data length: 4
            Address: 218.36.94.200

      一个answers,包含主机的ip地址,类型等等。

  • 提供屏幕截图。

    • 略。