實(shí)驗(yàn)三、DNS （域名解析系統(tǒng)），數(shù)據(jù)封裝和幀測(cè)試學(xué)習(xí)目標(biāo)：1. 使用Wireshark 來(lái)獲取和分析的DNS 消息2. 了解DNS 如何工作3. 使用nslookup 和ipconfig 命令4.

實(shí)驗(yàn)三、DNS （域名解析系統(tǒng)），數(shù)據(jù)封裝和幀測(cè)試

學(xué)習(xí)目標(biāo)：

1. 使用Wireshark 來(lái)獲取和分析的DNS 消息

2. 了解DNS 如何工作

3. 使用nslookup 和ipconfig 命令

4. 說(shuō)明在以太網(wǎng)II 幀格式中的報(bào)頭

5. 了解數(shù)據(jù)的封裝

背景

當(dāng)上層協(xié)議互相通信，主機(jī)向下發(fā)送數(shù)據(jù)到TCP / IP協(xié)議層，并在下層封裝成一個(gè)協(xié)議數(shù)據(jù)單元，并最終封裝在第2層幀。例如，DNS 的消息通常通過(guò)第4層UDP 協(xié)議。因此，發(fā)送主機(jī)的DNS 消息被封裝在UDP 段; 該UDP 段隨后被封裝在IP 分組中，并且IP 包最后被封裝在第2層幀。幀的組成是取決于媒介訪問(wèn)類型或網(wǎng)絡(luò)。例如，如果媒介接入是以太網(wǎng)，那么第2層幀封裝將是以太網(wǎng)II 幀格式。當(dāng)學(xué)習(xí)數(shù)據(jù)封裝和協(xié)議操作時(shí)，分析協(xié)議數(shù)據(jù)單元中的報(bào)頭信息，是有幫助的。 該實(shí)驗(yàn)將研究DNS 協(xié)議操作，ipconfig 命令和以太網(wǎng)II 幀格式的報(bào)頭。以太網(wǎng)II 幀可支持多種上層協(xié)議。

任務(wù)0 協(xié)議層和數(shù)據(jù)封裝

問(wèn)題1. 在TCP/ IP參考模型中，第4層，第3層和第2層的協(xié)議數(shù)據(jù)單元（PDU ）分別是：

答：

第4層的PDU ：應(yīng)用層的PDU 是數(shù)據(jù)

第3層的PDU ：傳輸層的PDU 是數(shù)據(jù)段

第2層的PDU ：網(wǎng)絡(luò)層的PDU 是數(shù)據(jù)包

任務(wù)1 DNS和nslookup

正如我們所討論的，IP 地址被用于唯一地標(biāo)識(shí)網(wǎng)絡(luò)上的主機(jī)。但是IP 地址不方便記憶，這就是為什么要介紹域名。域名系統(tǒng)（DNS ）將主機(jī)名稱轉(zhuǎn)換為IP 地址，在互聯(lián)網(wǎng)中起到關(guān)鍵性作用。

在此任務(wù)中，我們練習(xí)使用nslookup 工具，它在Linux / Unix和MS Windows環(huán)境下都可用。在MS Windows 中運(yùn)行nslookup ，則需要通過(guò)啟動(dòng)命令“cmd.exe ”，打開命令行窗口。用nslookup ，你可以查詢?nèi)魏沃付ǖ腄NS 服務(wù)器（默認(rèn)情況下，本地配置的DNS 服務(wù)器）的DNS 記錄。為了完成這個(gè)任務(wù)，nslookup 將發(fā)送DNS 查詢指定的DNS 服務(wù)器，接收相同的DNS 服務(wù)器的DNS 答復(fù)，并顯示結(jié)果。

鍵入命令“nslookup www.MIT.edu ” ，并獲取輸出，顯示如下：

問(wèn)題2 ：什么是用于查詢并找到IP 地址為www.MIT.edu 的DNS 服務(wù)器的IP 地址？ www.MIT.edu 的IP 地址？

答：

鍵入命令

“nslookup -type= NS hdu.edu.cn ” ，并獲取輸出，顯示如下：

問(wèn)題3 ：什么是hdu.edu.cn 的域名服務(wù)器和IP 地址？

鍵入命令“ nslookup www.hdu.edu.cn dns2.hdu.edu.cn ” ，并獲取輸出，顯示如下：

問(wèn)題4：哪個(gè)DNS 服務(wù)器是用來(lái)查詢和進(jìn)行域名解析？

答：離該主機(jī)IP 最近的一個(gè)DNS 服務(wù)器

還可以使用nslookup

來(lái)查看IP 地址映射的主機(jī)名。鍵入命令“nslookup 192.168.156.101”和“nslookup course.comm.hdu.edu.cn ”，并獲取輸出，顯示如下：

問(wèn)題5 ：能否一臺(tái)主機(jī)有多個(gè)主機(jī)名？moodle.tec.hkr.se 的IP 地址是多少？對(duì)于這個(gè)IP 地址有多少個(gè)域名？

答：不可以。moodle.tec.hkr.se 的IP 地址是194.47.35.25。一個(gè)域名，

任務(wù)2 DNS和ipconfig

ipconfig （適用于Windows ）和ifconfig （適用于Linux/ Unix，接口配置）是調(diào)試網(wǎng)絡(luò)問(wèn)題的最有用的工具之一。

ipconfig 可以用來(lái)顯示你當(dāng)前的TCP/ IP信息，包括您的地址，DNS 服務(wù)器地址，適配器（網(wǎng)絡(luò)接口卡）類型等。例如，如果你想找到你的主機(jī)所有這些信息，只需在命令行中輸入命令“ipconfig /all”。

問(wèn)題6 ：您的計(jì)算機(jī)的IP 地址是什么，什么是本地DNS 服務(wù)器的IP 地址？ 答：IP Address----------- 192.168.156.34。DNS Servers----------210.32.32.10

ipconfig 也用于管理存儲(chǔ)在主機(jī)的DNS 信息。為了提高網(wǎng)絡(luò)性能，主機(jī)可以緩存它最近獲得DNS 記錄。要查看這些緩存的記錄，你可以使用命令“ipconfig /displaydns”。每個(gè)條目顯示剩余的生存時(shí)間（TTL ）以秒為單位。要清除高速緩存，輸入命令“ipconfig /flushdns”。刷新DNS 緩存并清除所有條目，重新加載主機(jī)中的條目。

任務(wù)3 使用Wireshark 分析DNS 協(xié)議

現(xiàn)在是時(shí)候開始抓取DNS 協(xié)議數(shù)據(jù)，使用Wireshark 分析 。按照步驟來(lái)抓取DNS 數(shù)據(jù)包：

（1）關(guān)閉所有其他的互聯(lián)網(wǎng)應(yīng)用，以減少捕獲的數(shù)據(jù)

（2）啟動(dòng)網(wǎng)絡(luò)瀏覽器

（3）使用ipconfig 清空計(jì)算機(jī)的DNS 緩存

（4）啟動(dòng)Wireshark 的程序，并輸入顯示過(guò)濾器“ip.addr==192.168.0.100 and dns”，其中的IP 地址192.168.0.100是您的計(jì)算機(jī)的IP 地址，在問(wèn)題6中找到

（5）開始在Wireshark 中抓包

（6）輸入U(xiǎn)RL 地址http://www.ietf.org到Web 瀏覽器來(lái)查看該頁(yè)面

（7）停止抓包

得到進(jìn)行此操作的以下截圖：

回答下列問(wèn)題：

問(wèn)題7：查找www.ietf.org 的DNS 查詢和響應(yīng)，發(fā)送的是UDP 還是TCP ？ 答：

UDP

問(wèn)題8： DNS 查詢消息的目的端口號(hào)是多少？DNS 響應(yīng)消息的源端口號(hào)是多少？ 答：

問(wèn)題9：DNS 查詢消息向哪個(gè)IP 地址發(fā)送請(qǐng)求？利用ipconfig 來(lái)確定你的本地DNS 服務(wù)器的IP 地址, 這兩個(gè)IP 地址相同嗎？

答：210.32.32.10 相同

問(wèn)題10：檢查DNS 查詢消息, 這個(gè)DNS 查詢是什么類型？這個(gè)查詢消息期望什么回答？

答：A 類型

問(wèn)題11：檢查DNS 響應(yīng)消息, 這個(gè)消息提供了多少回答？每一個(gè)回答包括了什么 答：3個(gè)

任務(wù)4以太網(wǎng)幀測(cè)試

以太網(wǎng)幀的格式如下所示：

在Wireshark 中在最后的任務(wù)完成抓取的DNS 數(shù)據(jù)包，展開幀信息，

它表明，包含在以太網(wǎng)幀的數(shù)據(jù)是IP 分組；包含在IP 包中的數(shù)據(jù)是一個(gè)UDP

段，且在UDP 段數(shù)據(jù)是DNS 消息！總的幀長(zhǎng)度是72字節(jié)（不包括CRC 奇偶校驗(yàn)位）。

對(duì)于包含DNS 查詢消息的以太網(wǎng)幀www.ietf.org ，回答下列問(wèn)題：

問(wèn)題12：什么是目標(biāo)MAC 地址？什么是它的NIC 制造商，什么是NIC 序列號(hào)？ 答：目標(biāo)MAC 地址即接受信息主機(jī)的硬件地址，MAC(Medium/Media Access Control)地址，用來(lái)表示互聯(lián)網(wǎng)上每一個(gè)站點(diǎn)的標(biāo)識(shí)符，采用十六進(jìn)制數(shù)表示，共六個(gè)字節(jié)（48位）。其中，前三個(gè)字節(jié)是由IEEE 的注冊(cè)管理機(jī)構(gòu)RA 負(fù)責(zé)給不同廠家分配的代碼(高位24位) ，也稱為“編制上唯一的標(biāo)識(shí)符”（Organizationally Unique Identifier) ，后三個(gè)字節(jié)(低位24位) 由各廠家自行指派給生產(chǎn)的適配器接口，稱為擴(kuò)展標(biāo)識(shí)符（唯一性）。前24位叫做組織唯一標(biāo)志符（Organizationally Unique Identifier,即OUI ），是識(shí)別LAN （局域網(wǎng)）節(jié)點(diǎn)的標(biāo)識(shí)。后24位是由廠家自己分配。

問(wèn)題13：什么是源MAC 地址？什么是它的NIC 制造商，什么是NIC 序列號(hào)？ 答：源MAC 地址即發(fā)送消息主機(jī)的硬件地址，即生產(chǎn)網(wǎng)絡(luò)接口卡NIC 的制造商，NIC 序列號(hào)記錄的是NIC 的出廠信息。

問(wèn)題14：什么是類型字段中的值？這個(gè)值什么意思？

答：A 類型，指的是IPv4

現(xiàn)在，將Wireshark 中改為“arp ”，這樣只有ARP 報(bào)文顯示，例如，得到顯示過(guò)濾器：

找到一個(gè)廣播ARP 報(bào)文，并檢查以太網(wǎng)幀頭，回答以下問(wèn)題：

問(wèn)題15：什么是目標(biāo)MAC 地址？這個(gè)地址有什么特別的？這是什么意思？ 答：目標(biāo)MAC 地址即接收信息方的硬件地址，MAC 地址是唯一的，標(biāo)記該主機(jī)的標(biāo)志

問(wèn)題16：什么是源MAC 地址？什么是它的NIC 制造商，什么是NIC 序列號(hào)？它是一個(gè)單播地址嗎？為什么呢？

答：源MAC 地址即發(fā)送方的硬件地址，NIC 制造商即適配器的制造廠家，NIC 序列號(hào)記錄NIC 出廠信息，不是，廣播形式，

問(wèn)題17：什么是類型字段中的值？這個(gè)值有什么意思？

答：

ARP 指的是用的是地址解析協(xié)議