實(shí)訓(xùn)二 利用WireShark 分析UDP 與DNS 包一、實(shí)訓(xùn)目的1. 學(xué)會(huì)使用nslookup 工具查詢并分析Internet 域名信息或診斷DNS 服務(wù)器。2. 會(huì)用wireshark 分析

實(shí)訓(xùn)二 利用WireShark 分析UDP 與DNS 包

一、實(shí)訓(xùn)目的

1. 學(xué)會(huì)使用nslookup 工具查詢并分析Internet 域名信息或診斷DNS 服務(wù)器。

2. 會(huì)用wireshark 分析DNS 協(xié)議。對(duì)DNS 協(xié)議有個(gè)全面的學(xué)習(xí)與了解。

二、實(shí)訓(xùn)器材

1. 接入Internet 的計(jì)算機(jī)主機(jī)；

2. 抓包工具WireShark 。

三、實(shí)訓(xùn)內(nèi)容

一、DNS 包分析實(shí)驗(yàn)

1. 啟動(dòng)WireShark ，并開(kāi)始抓包。

2. 運(yùn)行 nslookup 發(fā)現(xiàn)廣工大或其它大學(xué)的官方DNS 服務(wù)器。

如：nslookup –type=NS gdut.edu.cn（或其它網(wǎng)址，如：中大sysu.edu.cn ，劍橋大學(xué)cam.ca.uk ，北大pku.edu.cn ，??）

實(shí)驗(yàn)結(jié)果舉例：

3. 運(yùn)行nslookup 向其中一個(gè)DNS 服務(wù)器請(qǐng)求Yahoo! 的地址。

實(shí)驗(yàn)結(jié)果舉例：

1

4. 停止抓包，顯示過(guò)濾DNS 包，查看其請(qǐng)求包和響應(yīng)包的運(yùn)輸層協(xié)議是UDP 還

是 TCP?

答：都是UDP

。

5. DNS 請(qǐng)求包的目的端口及 DNS響應(yīng)包的源端口號(hào)分別是多少？

答：都是53。

6. DNS 請(qǐng)求包是發(fā)往哪個(gè)地址的？用ipconfig 查看你的本地DNS 服務(wù)器的IP

地址，它們兩個(gè)相同嗎？

答：它們兩個(gè)地址相同。

2

7. 檢查DNS 請(qǐng)求包，其類型是什么？請(qǐng)求包里有應(yīng)答信息嗎？ 答：DNS 請(qǐng)求包的類型是UDP, 沒(méi)有應(yīng)答信息。

8. 檢查DNS 應(yīng)答包，其中包含多少“answers”, 其中含有什么信息？ 答：包含3個(gè)answers. 其中type 類型為CNAME ，說(shuō)明規(guī)范主機(jī)名為www.a.shifen.com ，IP 地址為115.239.210.26，

115.239.210.2,7

3

9. 查看接下來(lái)你的主機(jī)發(fā)出的一些TCP SYN 包，其中的目的IP 地址是否有剛

才DNS 應(yīng)答包中的IP 地址?

答：有。

10. 訪問(wèn)網(wǎng)頁(yè)，當(dāng)網(wǎng)頁(yè)中包含圖片時(shí)，取回這些圖片之前，是否會(huì)觸發(fā)一個(gè)新的

DNS 請(qǐng)求？

答：根據(jù)具體情況會(huì)有不同的結(jié)果。

11. 查看DNS 應(yīng)答包，你選擇的新的DNS 服務(wù)器應(yīng)答包提供了什么？其中包括你

選擇的新DNS 服務(wù)器的IP 地址碼？

答：所提供的信息如下，其中包括自己的IP 地址

12. 查看DNS 請(qǐng)求包的目的地址、是否是你的本地DNS 服務(wù)器的地址？若不是，

這些IP 地址指的是什么？

答：是。

13. 查看該DNS 請(qǐng)求包的類型及應(yīng)答包包含的 “answers”。

答：1）A 記錄是名稱解析的重要記錄，它用于將特定的主機(jī)名映射到對(duì)應(yīng)主機(jī)的IP 地址上。你可以在DNS 服務(wù)器中手動(dòng)創(chuàng)建或通過(guò)DNS 客戶端動(dòng)態(tài)更新來(lái)創(chuàng)建。

2）NS 記錄此記錄指定負(fù)責(zé)此DNS 區(qū)域的權(quán)威名稱服務(wù)器。

應(yīng)答包包含的 “answers”如圖：

4

14. 檢查該DNS 應(yīng)答包，有多少回答，各包含什么內(nèi)容？

答：

15. 通過(guò)對(duì)上述DNS 包的分析，簡(jiǎn)單解釋DNS 協(xié)議內(nèi)容。

答：DNS 是域名系統(tǒng)(DomainNameSystem)的縮寫(xiě)，該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)。域名是由圓點(diǎn)分開(kāi)一串單詞或縮寫(xiě)組成的，每一個(gè)域名都對(duì)應(yīng)一個(gè)惟一的IP 地址，在Internet 上域名與IP 地址之間是一一對(duì)應(yīng)的，DNS 就是進(jìn)行域名解析的服務(wù)器。DNS 命名用于Internet 等TCP/IP網(wǎng)絡(luò)中，通過(guò)用戶友好的名稱查找計(jì)算機(jī)和服務(wù)。DNS 是因特網(wǎng)的一項(xiàng)核心服務(wù), 它作為可以將域名和IP 地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)。

5

16. UDP 報(bào)文頭部有幾個(gè)字段，繪制UDP 報(bào)文的結(jié)構(gòu)圖。

答：UDP 報(bào)文只有少量的字段：源端口號(hào)、目的端口號(hào)、長(zhǎng)度、校驗(yàn)和等，各個(gè)字段功能和TCP 報(bào)文相應(yīng)字段一樣。

UDP 報(bào)文沒(méi)有可靠性保證和順序保證字段，流量控制字段等，可靠性較差。當(dāng)然，使用傳輸層UDP 服務(wù)的應(yīng)用程序也有優(yōu)勢(shì)。正因?yàn)閁DP 協(xié)議較少的控制選項(xiàng)，在數(shù)據(jù)傳輸過(guò)程中，延遲較小，數(shù)據(jù)傳輸效率較高，適合于對(duì)可靠性要求并不高的應(yīng)用程序，或者可以保障可靠性的應(yīng)用程序像DNS 、 TFTP、SNMP 等；UDP 協(xié)議也可以用于傳輸鏈路可靠的網(wǎng)絡(luò)。

UDP 報(bào)文的結(jié)構(gòu)圖如下：

【思考題】

1. 分析并了解DNS 服務(wù)器的訪問(wèn)過(guò)程，全球13個(gè)DNS 根服務(wù)器中有10個(gè)在美國(guó)，

從網(wǎng)絡(luò)安全上分析這樣設(shè)置DNS 根服務(wù)器對(duì)我國(guó)網(wǎng)絡(luò)信息安全是否造成威脅？ 答：1）客戶端首先檢查本地c:windowssystem32driversetchost文件，是否有對(duì)應(yīng)的IP 地址，若有，則直接訪問(wèn)WEB 站點(diǎn)，若無(wú)

2）客戶端檢查本地緩存信息，若有，則直接訪問(wèn)WEB 站點(diǎn)，若無(wú)

3）本地DNS 檢查緩存信息，若有，將IP 地址返回給客戶端，客戶端可直接訪問(wèn)WEB 站點(diǎn)，若無(wú)

4）本地DNS 檢查區(qū)域文件是否有對(duì)應(yīng)的IP ，若有，將IP 地址返回給客戶端，客戶端可直接訪問(wèn)WEB 站點(diǎn)，若無(wú)，

5）本地DNS 根據(jù)cache.dns 文件中指定的根DNS 服務(wù)器的IP 地址，轉(zhuǎn)向根DNS 查詢。

6）根DNS 收到查詢請(qǐng)求后，查看區(qū)域文件記錄，若無(wú)，則將其管轄范圍內(nèi).com 服務(wù)器的IP 地址告訴本地DNS 服務(wù)器

7）.com 服務(wù)器收到查詢請(qǐng)求后，查看區(qū)域文件記錄，若無(wú)，則將其管轄范圍內(nèi).xxx 服務(wù)器的IP 地址告訴本地DNS 服務(wù)器

8）.xxx 服務(wù)器收到查詢請(qǐng)求后，分析需要解析的域名，若無(wú)，則查詢失敗，若有，返回www. 的IP 地址給本地服務(wù)器

9）本地DNS 服務(wù)器將www. 的IP 地址返回給客戶端，客戶端通過(guò)這個(gè)IP 地址與WEB 站點(diǎn)建立連接

全球13個(gè)DNS 根服務(wù)器中有10個(gè)在美國(guó)，從網(wǎng)絡(luò)安全上分析這樣設(shè)置DNS 根服務(wù)器對(duì)我國(guó)網(wǎng)絡(luò)信息安全會(huì)造成威脅，而且可能導(dǎo)致國(guó)家機(jī)密數(shù)據(jù)泄露等。

2. 分析IP 包頭中的長(zhǎng)度字段和UDP 包頭中的長(zhǎng)度字段的區(qū)別。

答：IP 包頭中的長(zhǎng)度字段是IP 包的總長(zhǎng)

UDP 包頭中的長(zhǎng)度字段是UDP 包的總長(zhǎng)

3. UDP 報(bào)文與TCP 報(bào)文有何不同？體會(huì)UDP 協(xié)議和TCP 協(xié)議的區(qū)別。

答：TCP 協(xié)議為終端設(shè)備提供了面向連接的、可靠的網(wǎng)絡(luò)服務(wù)；UDP 協(xié)議為終端設(shè)備提供了無(wú)連接的、不可靠的數(shù)據(jù)報(bào)服務(wù)。從上圖我們可以看出，TCP 協(xié)議為了保

6

證數(shù)據(jù)傳輸?shù)目煽啃?，相?duì)于UDP 報(bào)文，TCP 報(bào)文頭部有更多的字段選項(xiàng)。

相對(duì)于 TCP 報(bào)文，UDP 報(bào)文只有少量的字段：源端口號(hào)、目的端口號(hào)、長(zhǎng)度、校驗(yàn)和等，各個(gè)字段功能和TCP 報(bào)文相應(yīng)字段一樣。

UDP 報(bào)文沒(méi)有可靠性保證和順序保證字段，流量控制字段等，可靠性較差。當(dāng)然，使用傳輸層UDP 服務(wù)的應(yīng)用程序也有優(yōu)勢(shì)。正因?yàn)閁DP 協(xié)議較少的控制選項(xiàng)，在數(shù)據(jù)傳輸過(guò)程中，延遲較小，數(shù)據(jù)傳輸效率較高，適合于對(duì)可靠性要求并不高的應(yīng)用程序，或者可以保障可靠性的應(yīng)用程序像DNS 、 TFTP 、SNMP 等；UDP 協(xié)議也可以用于傳輸鏈路可靠的網(wǎng)絡(luò)。

7