Wireshark与dig命令分析dns解析查询详细步骤

0157543

dns查询详细步骤

dig +trace www.iculture.cc

image-20210205231128674.png

从图片中可以看出,这里先是访问了本机中13个根域名服务器

;  DiG 9.16.11-Debian  +trace www.iculture.cc
;; global options: +cmd
.                       5       IN      NS      b.root-servers.net.
.                       5       IN      NS      c.root-servers.net.
.                       5       IN      NS      l.root-servers.net.
.                       5       IN      NS      m.root-servers.net.
.                       5       IN      NS      g.root-servers.net.
.                       5       IN      NS      f.root-servers.net.
.                       5       IN      NS      k.root-servers.net.
.                       5       IN      NS      j.root-servers.net.
.                       5       IN      NS      e.root-servers.net.
.                       5       IN      NS      i.root-servers.net.
.                       5       IN      NS      h.root-servers.net.
.                       5       IN      NS      d.root-servers.net.
.                       5       IN      NS      a.root-servers.net.
;; Received 228 bytes from 192.168.137.2#53(192.168.137.2) in 20 ms

然后从本地根域名服务器地址中拿到了.cc的域名服务器地址,继续查.cc域名服务器

cc.                     172800  IN      NS      ac3.nstld.com.
cc.                     172800  IN      NS      ac4.nstld.com.
cc.                     172800  IN      NS      ac1.nstld.com.
cc.                     172800  IN      NS      ac2.nstld.com.
cc.                     86400   IN      DS      519 8 2 E1EC6495ABD34562E6F433DEE201E6C6A52CB10AF69C04D675DA692D 2D566897
cc.                     86400   IN      DS      519 8 1 7285EF05E1B4E679D4F072EEA9B00953E01F3AE2
cc.                     86400   IN      RRSIG   DS 8 1 86400 20210218050000 20210205040000 42351 . qdTpPFjRGa27I9hLPzWK1CXw3anRM4meNffyr13TaJmE9P47HB2v+Pp6 otA4BDcDeJaJdI1GLIqNJ4q8MoyjRyo5Z8PaDXYpKLuOOK1BjhX4jfoy y7VCSOY8nKJnR0fiG2ak7ojO4Z1cv0SgXmN0DZUUrMHy7Go2mDL7rDiE xzU+8TTvVm8SWfbvxAGR+c+6FyXNTbw6Wpzo91CTHrZ8Lhu8YZxf8M71 B8yQMYjb8wMMwuqRsnOr0Y187CzktBUqWUZty3p6JJcI/FASNa4b2Z9d nAx/Nx3lMrHiZcPkzC1IxI/nF+sbwTNnDHgWKu0GKUbhMhuBNMmm3Tn/ SurIOg==
;; Received 672 bytes from 198.41.0.4#53(a.root-servers.net) in 356 ms

然后从.cc域名服务器中随机挑选了一个ip地址198.41.0.4,然后再去查iculture.cc的域名NS记录

iculture.cc.            172800  IN      NS      dns14.hichina.com.
iculture.cc.            172800  IN      NS      dns13.hichina.com.
RQGAP5UF6Q1NGVCKFNO8RANVDN5ILRIN.cc. 86400 IN NSEC3 1 1 0 - RQMIELD94LUROQ2ACBTAUSEKHALC67HE NS SOA RRSIG DNSKEY NSEC3PARAM
RQGAP5UF6Q1NGVCKFNO8RANVDN5ILRIN.cc. 86400 IN RRSIG NSEC3 8 2 86400 20210211140539 20210204140539 59995 cc. K/PcOxwPy8cIyxNHPA7mqmpp3cG+MpOUA+2TroE4bZigAyOTbMEEC3Gp vAJ8Z05t+tiRfAbr+X0XLcard0AKmbRNimxtF5baL8V62B/5D1DmC6Hw kT2ErKd9SrMbLLNwbg4jcedMKgqCBG+d4eU2w6dnr3UTAGaJZs4EsqVZ R7gRPfHFk/QL/yJMTK7Bd1CPuIvkPhoxSTpRDZG22lEl6A==
R1BKH0BK5AF54VF4RP01N575J6F2FT60.cc. 86400 IN NSEC3 1 1 0 - R1QTTGHSDJ7V58S01HG4SV31QFMCMB8A NS DS RRSIG
R1BKH0BK5AF54VF4RP01N575J6F2FT60.cc. 86400 IN RRSIG NSEC3 8 2 86400 20210211141138 20210204141138 59995 cc. NA0u08S24OxZiaC4AAGTeNqH76Vglo71gkBUWUsTukeEGJbXQ6P2VWUf 3p3OgwZQhkC0XJso08riLPK8S+hac+Wdgzw/IFPd+pC7QHmJaLprvhZy 2ZjeNe4cCkIOyHTaMVI95EKSgA0hCl/LNUunnXpke4zGv0lk738PqsOf Rqyii3lg3RjKL+/Y74wI6DXodz+VZpSPTZqehjGYA7JMDg==
;; Received 642 bytes from 192.42.174.30#53(ac2.nstld.com) in 236 ms

然后再从中随机选取一个ip地址192.42.174.30查看www.iculture.cc的A记录

www.iculture.cc.        600     IN      A       39.106.66.45
;; Received 60 bytes from 140.205.81.15#53(dns13.hichina.com) in 36 ms

上面这么复杂的过程其实用下面这张图就可以很容易概括了

dns101.jpg

如果再细致划分一下的话,1、8步骤是递归查询,2、3、4、5、6、7是迭代查询

image-20210205233607545.png

递归:客户端只发一次请求,要求对方给出最终结果。

迭代:客户端发出一次请求,对方如果没有授权回答,它就会返回一个能解答这个查询的其它名称服务器列表, 客户端会再向返回的列表中发出请求,直到找到最终负责所查域名的名称服务器,从它得到最终结果。

使用Wireshark进行分析

其实整体过程是一样的,只不过wireshark分析得看起来更直观一些,每一个请求都要详细的记录

第一个请求报文,是客户端192.168.137.128向本地dns服务器192.168.137.2发起根域名请求

image-20210205235210514.png

第二个报文为响应报文,本地dns服务器192.168.137.2返回了13个根域名服务器

image-20210205235443290.png

后面的基本上都是一样的迭代查询了

向dns server选取根域名的A记录

这里从b.到c.到…… 一直在进行query-response这种问答

image-20210206000400632.png
直到第122行,a.root-servers.net这里选取了198.41.0.4,找到.cc上面的iculture.cc的IP地址198.41.0.4

image-20210206000616646.png

接下来继续进行query-response这种问答,直到查到iculture.cc上面的www.iculture.cc对应的ns记录,最终找到其IP地址

image-20210206001347909.png

© 版权声明
相关声明 1 微信公众号:猪猪安全
2 本站永久网址:https://www.iculture.cc
3 本文内容仅为技术科普,请勿用于非法用途
4 本文内容未隐讳任何个人、群体、公司。非文学作品,请勿用于阅读理解的练习
5 根据《计算机软件保护条例》第十七条,本站所有软件请仅用于学习研究用途
6 本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责
THE END
项目实践
# wireshark# DNS# dig
喜欢就支持一下吧
点赞43赞赏 分享
FancyPig的头像-FancyPig's blog汉堡会员
超星学习通刷课 自动化脚本工具 | 完成任务点-FancyPig's blog
超星学习通刷课 自动化脚本工具 | 完成任务点
超星学习通刷课 自动化脚本工具 | 完成任务点
1年前 10.9W+
响应“净网”专项行动,提高法律意识,自觉维护网络清朗环境-FancyPig's blog
响应“净网”专项行动,提高法律意识,自觉维护网络清朗环境
响应“净网”专项行动,提高法律意识,自觉维护网络清朗环境
2年前 9.6W+
如何制作一个ChatGPT聊天页面 | ChatGPT国产化思路-FancyPig's blog
如何制作一个ChatGPT聊天页面 | ChatGPT国产化思路
如何制作一个ChatGPT聊天页面 | ChatGPT国产化思路
2个月前 9.1W+
智慧树刷课 自动化脚本工具 | Python脚本-FancyPig's blog
智慧树刷课 自动化脚本工具 | Python脚本
智慧树刷课 自动化脚本工具 | Python脚本
1年前 6.8W+
【常见问题】V2rayN电脑版连接异常的解决方法-FancyPig's blog
【常见问题】V2rayN电脑版连接异常的解决方法
【常见问题】V2rayN电脑版连接异常的解决方法
2年前 6.6W+
如何使用PhoneInfoga开源引擎搜集手机号信息?-FancyPig's blog
如何使用PhoneInfoga开源引擎搜集手机号信息?
如何使用PhoneInfoga开源引擎搜集手机号信息?
1年前 6.4W+
相关推荐
评论 抢沙发

请登录后发表评论

    暂无评论内容

本文作者
用户封面
FancyPig的头像-FancyPig's blog汉堡会员
一种新型微调方法 | 性能接近ChatGPT的99.3% | QLoRA
如何使用Runpod或者Google Colab运行大语言模型(LLM)
用AI翻唱歌曲?之前火爆全网的“AI孙燕姿” | Retrieval-based-Voice-Conversion-WebUI
《反恐精英2》新引擎揭秘:Source 2带来的震撼与反作弊之战!
开启与文件对话的新篇章:一步步教你使用PrivateGPT的神奇之旅
【视频讲解】Linux提权速成
专栏
BurpSuiteLoi Liang YangSeytonicChatGPTJohn HammondNetworkChuckAcunetixNessusPrompt EngineeringPhD Security护网2022intigritiDavid BombalIBM TechnologyAitrepreneurInvictijetbrainsThe Cyber MentorGrant CollinsThe AI AdvantageIDEAbycloudKevin StratvertPycharmGolandcazzChris GreerThe PC Security ChannelNerdy RodentHak5NexposeIppSecHackerSploitFireshipWolframGoby