Nombre de dominio del paquete de captura Tcpdump
Para ver claramente el proceso de comunicación DNS, ejecutaremos el comando de host desde ernest-laptop para consultar la dirección IP del host www.baidu.com y usaremos tcpdump para capturar la transmisión en la LAN durante este proceso de tramas Ethernet. El proceso de operación específico es el siguiente:
$ sudo tcpdump -i eth0 -nt -s 500 port domain
$ host–t A www.baidu.com
Esto Cuando tcpdump captura paquetes de datos, utilizamos "dominio de puerto" para filtrar paquetes de datos, lo que significa que solo se capturan paquetes de datos que utilizan servicios de dominio (nombre de dominio), es decir, mensajes de respuesta y consulta DNS. La salida de tcpdump es la siguiente:
1.IP 192.168.1.108.34319 gt; 219.239.26.42.53: 57428 A? www.baidu.com. (31)
2.239.26.42.53> 192.168.1.108.34365436.5438 09: 57428 3/4 CNAME www. /p>
La "IP" al comienzo de estos dos paquetes de datos indica que el contenido que los sigue describe el datagrama IP. Tcpdump describe un extremo de la comunicación en forma de "dirección IP". Número de puerto "; utilice ">" para indicar la dirección de transmisión de datos. El extremo de origen está delante de ">" y el extremo de destino está detrás de él. Se puede ver que el primer paquete de datos es la máquina de prueba ernest-laptop (La dirección IP es 192.168.1.108) Un mensaje de consulta DNS enviado a su servidor DNS preferido (dirección IP 219.239.26.42) (el puerto de destino 53 es
En el primer mensaje, el valor 57428 es el valor de identificación de el mensaje de consulta de DNS, por lo que este valor también aparece en el mensaje de respuesta de DNS. " " indica que el indicador de consulta recursiva está habilitado. "A?" indica que se utiliza el método de consulta de tipo A. el nombre de la consulta en la consulta DNS. El valor de 31 es la longitud del mensaje de consulta DNS en bytes.
En el segundo paquete, "3/4/4" significa que el mensaje contiene 3 recursos de respuesta. registros, 4 registros de recursos de autorización y 4 registros de información adicional "CNAME www.a.shifen.com, a 119. 75. 218.77, a 119. 75. 217.56" representan el contenido de los tres registros de recursos de respuesta. representa lo siguiente. El siguiente registro es el alias de la máquina y A indica que el siguiente registro es la dirección IP. La longitud del mensaje de respuesta es 226 bytes. Tenga en cuenta que no lo activamos. la opción -x de tcpdump al capturar el paquete (o la opción -X si usamos la opción -X, podremos ver cada byte del mensaje DNS y comprender el significado específico de la consulta de 31 bytes). mensaje y el mensaje de respuesta de 226 bytes. Debido a limitaciones de espacio, aquí no hay discusión. Los lectores pueden querer analizarlo ellos mismos.