實訓二 利用WireShark 分析UDP 與DNS 包一、實訓目的1. 學會使用nslookup 工具查詢并分析Internet 域名信息或診斷DNS 服務器。2. 會用wireshark 分析

實訓二 利用WireShark 分析UDP 與DNS 包

一、實訓目的

1. 學會使用nslookup 工具查詢并分析Internet 域名信息或診斷DNS 服務器。

2. 會用wireshark 分析DNS 協(xié)議。對DNS 協(xié)議有個全面的學習與了解。

二、實訓器材

1. 接入Internet 的計算機主機；

2. 抓包工具WireShark 。

三、實訓內(nèi)容

一、DNS 包分析實驗

1. 啟動WireShark ，并開始抓包。

2. 運行 nslookup 發(fā)現(xiàn)廣工大或其它大學的官方DNS 服務器。

如：nslookup –type=NS gdut.edu.cn（或其它網(wǎng)址，如：中大sysu.edu.cn ，劍橋大學cam.ca.uk ，北大pku.edu.cn ，??）

實驗結果舉例：

3. 運行nslookup 向其中一個DNS 服務器請求Yahoo! 的地址。

實驗結果舉例：

1

4. 停止抓包，顯示過濾DNS 包，查看其請求包和響應包的運輸層協(xié)議是UDP 還

是 TCP?

答：都是UDP

。

5. DNS 請求包的目的端口及 DNS響應包的源端口號分別是多少？

答：都是53。

6. DNS 請求包是發(fā)往哪個地址的？用ipconfig 查看你的本地DNS 服務器的IP

地址，它們兩個相同嗎？

答：它們兩個地址相同。

2

7. 檢查DNS 請求包，其類型是什么？請求包里有應答信息嗎？ 答：DNS 請求包的類型是UDP, 沒有應答信息。

8. 檢查DNS 應答包，其中包含多少“answers”, 其中含有什么信息？ 答：包含3個answers. 其中type 類型為CNAME ，說明規(guī)范主機名為www.a.shifen.com ，IP 地址為115.239.210.26，

115.239.210.2,7

3

9. 查看接下來你的主機發(fā)出的一些TCP SYN 包，其中的目的IP 地址是否有剛

才DNS 應答包中的IP 地址?

答：有。

10. 訪問網(wǎng)頁，當網(wǎng)頁中包含圖片時，取回這些圖片之前，是否會觸發(fā)一個新的

DNS 請求？

答：根據(jù)具體情況會有不同的結果。

11. 查看DNS 應答包，你選擇的新的DNS 服務器應答包提供了什么？其中包括你

選擇的新DNS 服務器的IP 地址碼？

答：所提供的信息如下，其中包括自己的IP 地址

12. 查看DNS 請求包的目的地址、是否是你的本地DNS 服務器的地址？若不是，

這些IP 地址指的是什么？

答：是。

13. 查看該DNS 請求包的類型及應答包包含的 “answers”。

答：1）A 記錄是名稱解析的重要記錄，它用于將特定的主機名映射到對應主機的IP 地址上。你可以在DNS 服務器中手動創(chuàng)建或通過DNS 客戶端動態(tài)更新來創(chuàng)建。

2）NS 記錄此記錄指定負責此DNS 區(qū)域的權威名稱服務器。

應答包包含的 “answers”如圖：

4

14. 檢查該DNS 應答包，有多少回答，各包含什么內(nèi)容？

答：

15. 通過對上述DNS 包的分析，簡單解釋DNS 協(xié)議內(nèi)容。

答：DNS 是域名系統(tǒng)(DomainNameSystem)的縮寫，該系統(tǒng)用于命名組織到域層次結構中的計算機和網(wǎng)絡服務。域名是由圓點分開一串單詞或縮寫組成的，每一個域名都對應一個惟一的IP 地址，在Internet 上域名與IP 地址之間是一一對應的，DNS 就是進行域名解析的服務器。DNS 命名用于Internet 等TCP/IP網(wǎng)絡中，通過用戶友好的名稱查找計算機和服務。DNS 是因特網(wǎng)的一項核心服務, 它作為可以將域名和IP 地址相互映射的一個分布式數(shù)據(jù)庫。

5

16. UDP 報文頭部有幾個字段，繪制UDP 報文的結構圖。

答：UDP 報文只有少量的字段：源端口號、目的端口號、長度、校驗和等，各個字段功能和TCP 報文相應字段一樣。

UDP 報文沒有可靠性保證和順序保證字段，流量控制字段等，可靠性較差。當然，使用傳輸層UDP 服務的應用程序也有優(yōu)勢。正因為UDP 協(xié)議較少的控制選項，在數(shù)據(jù)傳輸過程中，延遲較小，數(shù)據(jù)傳輸效率較高，適合于對可靠性要求并不高的應用程序，或者可以保障可靠性的應用程序像DNS 、 TFTP、SNMP 等；UDP 協(xié)議也可以用于傳輸鏈路可靠的網(wǎng)絡。

UDP 報文的結構圖如下：

【思考題】

1. 分析并了解DNS 服務器的訪問過程，全球13個DNS 根服務器中有10個在美國，

從網(wǎng)絡安全上分析這樣設置DNS 根服務器對我國網(wǎng)絡信息安全是否造成威脅？ 答：1）客戶端首先檢查本地c:windowssystem32driversetchost文件，是否有對應的IP 地址，若有，則直接訪問WEB 站點，若無

2）客戶端檢查本地緩存信息，若有，則直接訪問WEB 站點，若無

3）本地DNS 檢查緩存信息，若有，將IP 地址返回給客戶端，客戶端可直接訪問WEB 站點，若無

4）本地DNS 檢查區(qū)域文件是否有對應的IP ，若有，將IP 地址返回給客戶端，客戶端可直接訪問WEB 站點，若無，

5）本地DNS 根據(jù)cache.dns 文件中指定的根DNS 服務器的IP 地址，轉向根DNS 查詢。

6）根DNS 收到查詢請求后，查看區(qū)域文件記錄，若無，則將其管轄范圍內(nèi).com 服務器的IP 地址告訴本地DNS 服務器

7）.com 服務器收到查詢請求后，查看區(qū)域文件記錄，若無，則將其管轄范圍內(nèi).xxx 服務器的IP 地址告訴本地DNS 服務器

8）.xxx 服務器收到查詢請求后，分析需要解析的域名，若無，則查詢失敗，若有，返回www. 的IP 地址給本地服務器

9）本地DNS 服務器將www. 的IP 地址返回給客戶端，客戶端通過這個IP 地址與WEB 站點建立連接

全球13個DNS 根服務器中有10個在美國，從網(wǎng)絡安全上分析這樣設置DNS 根服務器對我國網(wǎng)絡信息安全會造成威脅，而且可能導致國家機密數(shù)據(jù)泄露等。

2. 分析IP 包頭中的長度字段和UDP 包頭中的長度字段的區(qū)別。

答：IP 包頭中的長度字段是IP 包的總長

UDP 包頭中的長度字段是UDP 包的總長

3. UDP 報文與TCP 報文有何不同？體會UDP 協(xié)議和TCP 協(xié)議的區(qū)別。

答：TCP 協(xié)議為終端設備提供了面向連接的、可靠的網(wǎng)絡服務；UDP 協(xié)議為終端設備提供了無連接的、不可靠的數(shù)據(jù)報服務。從上圖我們可以看出，TCP 協(xié)議為了保

6

證數(shù)據(jù)傳輸?shù)目煽啃裕鄬τ赨DP 報文，TCP 報文頭部有更多的字段選項。

相對于 TCP 報文，UDP 報文只有少量的字段：源端口號、目的端口號、長度、校驗和等，各個字段功能和TCP 報文相應字段一樣。

UDP 報文沒有可靠性保證和順序保證字段，流量控制字段等，可靠性較差。當然，使用傳輸層UDP 服務的應用程序也有優(yōu)勢。正因為UDP 協(xié)議較少的控制選項，在數(shù)據(jù)傳輸過程中，延遲較小，數(shù)據(jù)傳輸效率較高，適合于對可靠性要求并不高的應用程序，或者可以保障可靠性的應用程序像DNS 、 TFTP 、SNMP 等；UDP 協(xié)議也可以用于傳輸鏈路可靠的網(wǎng)絡。

7