精华内容
下载资源
问答
  • 实验四利用wireshark分析dns实验报告
    2021-07-05 07:35:07

    《实验四利用wireshark分析dns实验报告》由会员分享,可在线阅读,更多相关《实验四利用wireshark分析dns实验报告(11页珍藏版)》请在技术文库上搜索。

    1、23. Provide a screenshot.四、实验总结1、通过实验学会了对 DNS 协议的分析,能借助于 nslookup 和 ipconfig 对 DNS 进行分析。2、通过实验让自己更清楚的认识了域名的定义。3、学会了 ipconfig 的相关操作,能熟练的运用 ipconfig 进行操作。20. To what IP address is the DNS query message sent? Is this the IP address of yourdefault local DNS server? If not, what does the IP address corre。

    2、spond to?Ip address:18.72.0.3This is not the IP address ofmydefault local DNS server。the IP address correspond to bit.mit.edu 21. Examine the DNS query message. What “Type” of DNS query is it? Does thequery message contain any “answers”?type如下图:Answer如下图:22. Examine the DNS response message. How man。

    3、y “answers” are provided? Whatdoes each of these answers contain?答:3个answer18. Examine the DNS response message. What MIT nameservers does the responsemessage provide? Does this response message also provide the IP addresses of theMIT namesers?答:MIT nameservers如下划线this response message dont provide 。

    4、the IP addresses of the MIT namesers。19. Provide a screenshot.16. To what IP address is the DNS query message sent? Is this the IP address of yourdefault local DNS server?IP address:202.117.144.2他们是相同的。17. Examine the DNS query message. What “Type” of DNS query is it? Does thequery message contain a。

    5、ny “answers”?query message contain any “answers”?答:“Type” of DNS query“answers”:14. Examine the DNS response message. How many “answers” are provided? Whatdo each of these answers contain?答:15. Provide a screenshot.10. This web page contains images. Before retrieving each image, does your hostissue 。

    6、new DNS queries?答: my hostissue dont issue new DNS queries。11. What is the destination port for the DNS query message? What is the source portof DNS response message?答:the destination port for the DNS query message:the source port of DNS response message:他们是相同的。12. To what IP address is the DNS quer。

    7、y message sent? Is this the IP address of yourdefault local DNS server?IP address:202.117.144.2This is the IP address of my default local DNS server( 202.117.144.2)13. Examine the DNS query message. What “Type” of DNS query is it? Does the9. Consider the subsequent TCP SYN packet sent by your host. 。

    8、Does the destinationIP address of the SYN packet correspond to any of the IP addresses provided inthe DNS response message?答:7. Examine the DNS query message. What “Type” of DNS query is it? Does thequery message contain any “answers”?答:“Type” of DNS query is(host address)没有包含“answer”;8. Examine the。

    9、 DNS response message. How many “answers” are provided? Whatdo each of these answers contain?答:“answers”如下图:They ate sent over UDP ;5. What is the destination port for the DNS query message? What is the source portof DNS response message?答:the destination port is: 64211(64211)the source port is:doma。

    10、in(53)6. To what IP address is the DNS query message sent? Use ipconfig to determine theIP address of your local DNS server. Are these two IP addresses the same?答:ip地址10.0.163.199 ,这两个IP地址是一样的。试验截图如下3. Run nslookup so that one of the DNS servers obtained in Question 2 is queried for the mail servers。

    11、 for Yahoo! mail. 实验结果如下图:4. Locate the DNS query and response messages. Are then sent over UDP or TCP?答:DNS query and response messages如下图标注,陕西师范大学计算机网络实验报告年级:2008 级计算机科学与技术 姓名: 学号:实验日期: 2010.10.20 实验名称:利用 wireshark分析 DNS 1、实验目的1、学会使用 nslookup 工具查询并分析 Internet 域名信息或诊断 DNS 服务器。学会使用 ipconfig 工具进行分析。2。

    12、、会用 wireshark 分析 DNS 协议。对 DNS 协议有个全面的学习与了解。2、实验器材1、接入 Internet 的计算机主机;2、抓包工具 wireshark 和截图工具 snagit。三、实验内容1. Run nslookup to obtain the IP address of a Web server in Asia.the IP address of www.tsinghua.edu.cn:166.111.4.1002. Run nslookup to determine the authoritative DNS servers for a university in Europe.实验结果如下图:。

    更多相关内容
  • 利用WireShark进行DNS协议分析

    万次阅读 多人点赞 2016-12-22 11:17:33
    分析工具是WireShark1.10.8 Stable Version 使用系统Ping命令发送ICMP报文. 二.开始工作 打开CMD.exe键入: ping www.oschina.net 将自动进行域名解析,默认发送4个ICMP报文. 启动Wireshark,选择一个有效网卡,...

     一.准备工作

    系统是Windows 8.1Pro

    分析工具是WireShark1.10.8 Stable Version

    使用系统Ping命令发送ICMP报文.

    二.开始工作

    打开CMD.exe键入:

    ping www.oschina.net

    将自动进行域名解析,默认发送4个ICMP报文.

    启动Wireshark,选择一个有效网卡,启动抓包.

    在控制台回车执行完毕后停止监控.

    三.分析阶段

    截获的所有报文如下:

    \

    总得来看有两个DNS包(一次域名解析),和8个ICMP包(四次ping)

    下面开始分析DNS的工作过程:

    打开第一个包:

    \

    可以发现DNS为应用层协议,下层传输层采用UDP,再下层网络层是IP协议,然后是数据链路层的以太网帧.

     

    需要关注的是应用层的实现也即DNS协议本身.

     

    在此之前,可以从下层获得一些必要信息:

    UDP(User Datagram Protocol)报文中:DNS的目的端口(Dst Port)是53

    IPv4(Internet Protocol Version 4)报文中目的IP是192.168.1.1(局域网路由器)

    由于IP报文在网络层进行路由选择,他会依次送给路由器而不是直接送给DNS服务器,这一点也十分容易理解,

    第一个包是请求包,不可能直接包含DNS服务器地址.

    展开DNS数据:

    \

    第一个是Transaction ID为标识字段,2字节,用于辨别DNS应答报文是哪个请求报文的响应.

    第二个是Flags标志字段,2字节,每一位的含义不同,具体可以参考上面那个图,也可以看下面这个图:

    \

    QR: 查询/响应,1为响应,0为查询

    Opcode: 查询或响应类型,这里0表示标准,1表示反向,2表示服务器状态请求

    AA: 授权回答,在响应报文中有效,待会儿再看

    TC: 截断,1表示超过512字节并已被截断,0表示没有发生截断

    RD: 是否希望得到递归回答

    RA: 响应报文中为1表示得到递归响应

    zero: 全0保留字段

     

    rcode: 返回码,在响应报文中,各取值的含义:

        0 - 无差错

        1 - 格式错误

        2 - 域名服务器出现错误

        3 - 域参照问题

        4 - 查询类型不支持

        5 - 被禁止

        6 ~ 15 保留

    紧接着标志位的是

    Quetions(问题数),2字节,通常为1

    Answer RRs(资源记录数),Authority RRs(授权资源记录数),Additional RRs(额外资源记录数)通常为0

    字段Queries为查询或者响应的正文部分,分为Name Type Class

    Name(查询名称):这里是ping后的参数,不定长度以0结束

    Type(查询类型):2字节,这里是主机A记录.其各个取值的含义如下:

        值        助记符         说明

         1         A                 IPv4地址。

         2         NS               名字服务器。

         5         CNAME        规范名称。定义主机的正式名字的别名。

         6         SOA             开始授权。标记一个区的开始。

     

         11       WKS             熟知服务。定义主机提供的网络服务。

     

         12       PTR               指针。把IP地址转化为域名。

         13       HINFO          主机信息。给出主机使用的硬件和操作系统的表述。

         15       MX               邮件交换。把邮件改变路由送到邮件服务器。

         28       AAAA           IPv6地址。

         252     AXFR            传送整个区的请求。

         255     ANY             对所有记录的请求。

    Class(类):2字节,IN表示Internet数据,通常为1


    下面是截获的第二个DNS包:

    \

    可以看到和第一个请求包相比,响应包多出了一个Answers字段,同时Flags字段每一位都有定义.

    关注一下Flags中Answer RRs 为4 说明对应的Answers字段中将会出现4项解析结果.

    Answers字段可以看成一个List,集合中每项为一个资源记录,除了上面提到过的Name,Type,Class之外,还有Time to 

    Live,Data length,Addr.

    Time to Live(生存时间TTL):表示该资源记录的生命周期,从取出记录到抹掉记录缓存的时间,以秒为单位.这里是0x00 00 00 fd 合计253s.

     

    Data length(资源数据长度):以字节为单位,这里的4表示IP地址的长度为4字节.也就是下面Addr字段的长度.

     

    Addr(资源数据): 返回的IP地址,就是我们想要的结果.


    可以发现有4条资源记录,4个不同的IP地址,说明域名 www.oschina.net  对应有4个IP地址,分别是:

    112.124.5.74

    219.136.249.194

    61.145.122.155

    121.9.213.124

    CMD中显示的是第一条IP地址.我试了下直接访问上面各个地址的80端口(http),

    第一个和第二个显示403 Forbidden


      本文简单介绍了DNS协议理论知识,给出URL解析步骤,详细讲述了DNS报文各个字段含义,并从Wireshark俘获分组中选取DNS相关报文进行分析。


    一、概述

    1.1 DNS

        识别主机有两种方式:主机名、IP地址。前者便于记忆(如www.yahoo.com),但路由器很难处理(主机名长度不定);后者定长、有层次结构,便于路由器处理,但难以记忆。折中的办法就是建立IP地址与主机名间的映射,这就是域名系统DNS做的工作。DNS通常由其他应用层协议使用(如HTTP、SMTP、FTP),将主机名解析为IP地址,其运行在UDP之上,使用53号端口。

        注:DNS除了提供主机名到IP地址转换外,还提供如下服务:主机别名、邮件服务器别名、负载分配。

    1.2 HTTP使用DNS情形

        考虑这样的操作,在浏览器输入http://www.baidu.com/index.html并回车,首先需要将URL(存放对象的服务器主机名和对象的路径名)解析成IP地址,具体步骤为:

    (1)同一台用户主机上运行着DNS应用的客户机端(如浏览器)

    (2)从上述URL抽取主机名www.baidu.com,传给DNS应用的客户机端(浏览器)

    (3)该DNS客户机向DNS服务器发送一个包含主机名的请求(DNS查询报文)

    (4)该DNS客户机收到一份回答报文(即DNS回答报文),该报文包含该主机名对应的IP地址119.75.218.70

    (5)浏览器由该IP地址定位的HTTP服务器发送一个TCP链接

    用Wireshark捕获的DNS报文如下图,显然第一行是DNS查询报文,第二行是DNS回答报文。

    图1 Wireshark捕获的DNS报文

    二、DNS报文

    2.1 DNS报文格式

    DNS只有两种报文:查询报文、回答报文,两者有着相同格式,如下:

    图2 DNS报文格式

    2.1.1 首部区域

    标识数

        对该查询进行标识,该标识会被复制到对应的回答报文中,客户机用它来匹配发送的请求与接收到的回答。

    标志[1]

    图3 DNS报文首部区域的标志

    QR(1比特):查询/响应的标志位,1为响应,0为查询。

    opcode(4比特):定义查询或响应的类型(若为0则表示是标准的,若为1则是反向的,若为2则是服务器状态请求)。

    AA(1比特):授权回答的标志位。该位在响应报文中有效,1表示名字服务器是权限服务器(关于权限服务器以后再讨论)

    TC(1比特):截断标志位。1表示响应已超过512字节并已被截断(依稀好像记得哪里提过这个截断和UDP有关,先记着)

    RD(1比特):该位为1表示客户端希望得到递归回答(递归以后再讨论)

    RA(1比特):只能在响应报文中置为1,表示可以得到递归响应。

    zero(3比特):不说也知道都是0了,保留字段。

    rcode(4比特):返回码,表示响应的差错状态,通常为0和3,各取值含义如下:

    0 无差错 

    1 格式差错 

    2 问题在域名服务器上 

    3 域参照问题 

    4 查询类型不支持 

    5 在管理上被禁止 

    6 -- 15 保留

    问题数、回答RR数、权威RR数、附加RR数

        这四个字段都是两字节,分别对应下面的查询问题、回答、授权和附加信息部分的数量。一般问题数都为1,DNS查询报文中,资源记录数、授权资源记录数和附加资源记录数都为0[1]。

    2.1.2 区域

    (1)问题区域

        包含正在进行的查询信息。包含查询名(被查询主机名字的名字字段)、查询类型、查询类。

    图4 DNS报文的问题区域

    查询名

        查询名部分长度不定,一般为要查询的域名(也会有IP的时候,即反向查询)。此部分由一个或者多个标示符序列组成,每个标示符以首字节数的计数值来说明该标示符长度,每个名字以0结束。计数字节数必须是0~63之间。该字段无需填充字节。还是借个例子来说明更直观些,查询名为gemini.tuc.noao.edu的话,查询名字段如下[1]:

    图5 DNS报文问题区别的查询名

    查询类型

        通常查询类型为A(由名字获得IP地址)或者PTR(获得IP地址对应的域名),类型列表如下:

    表1 DNS报文查询类型

    类型

    助记符

    说明

    1

    A

    IPv4地址

    2

    NS

    名字服务器

    5

    CNAME

    规范名称定义主机的正式名字的别名

    6

    SOA

    开始授权标记一个区的开始

    11

    WKS

    熟知服务定义主机提供的网络服务

    12

    PTR

    指针把IP地址转化为域名

    13

    HINFO

    主机信息给出主机使用的硬件和操作系统的表述

    15

    MX

    邮件交换把邮件改变路由送到邮件服务器

    28

    AAAA

    IPv6地址

    252

    AXFR

    传送整个区的请求

    255

    ANY

    对所有记录的请求

         NS记录指定了名字服务器。一般情况,每个DNS数据库中,针对每个顶级域都会有一条NS记录,这样一来,电子邮件就可以被发送到域名树中远处的部分。

    查询类

        通常为1,指Internet数据。

    (2)回答、权威、附加区域

        回答区域包含了最初请求名字的资源记录,一个回答报文的回答区域可以包含多条资料记录RR(因为一个主机名可以对应多个IP地址,冗余Web服务器)。权威区域包含了其他权威DNS服务器的记录。附加区域包含其他一些"有帮助"的记录,例如,对于一个MX(邮件交换)请求的回答报文中,回答区域包含一条资料记录(该记录提供邮件服务器的规范主机名),附加区域可以包含一条类型A记录(该记录提供了该邮件服务器的规范主机名的IP地址)。

        每条资料记录是一个五元组,如下:

    (域名,生存期,类别,类型,值)

    直接表示如下[1]:

    图6 DNS报文的资源记录

    域名(2字节或不定长)

        记录中资源数据对应的名字,它的格式和查询名字段格式相同。当报文中域名重复出现时,就需要使用2字节的偏移指针来替换。例如,在资源记录中,域名通常是查询问题部分的域名的重复,就需要用指针指向查询问题部分的域名。关于指针怎么用,TCP/IP详解里面有,即2字节的指针,最前面的两个高位是11,用于识别指针。其他14位从报文开始处计数(从0开始),指出该报文中的相应字节数。注意,DNS报文的第一个字节是字节0,第二个报文是字节1。一般响应报文中,资源部分的域名都是指针C00C(1100000000001100,12正好是首部区域的长度),刚好指向请求部分的域名[1]。

    类型(记录的类型,见表1)

        A记录,Name是主机名,Value是该主机名的IP地址,因此,一条类型为A的资源记录提供了标准的主机名到IP地址的映射。

        NS记录,Name是域(如foo.com),Value是知道如何获得该域中主机IP地址的权威DNS服务器的主机名(如dns.foo.com),这个记录常用于沿着查询链进一步路由DNS查询。

        CNAME记录,Name是主机别名,Value是主机别名对应的规范主机名,该记录能够向请求主机提供一个主机名对应的规范主机名。

        MX记录,Name是邮件服务器别名,Value是邮件服务器别名的规范主机名。通过MX记录,一个公司的邮件服务器和其他服务器可以使用相同的别名。

        注:有着复杂主机名的主机能拥有多个别名,前者称为规范主机名,后者称为主机别名(便于记忆)。

        对于Internet信息,它总是IN。

    生存时间

        用于指示该记录的稳定程度,极为稳定的信息会被分配一个很大的值(如86400,一天的秒数)。该字段表示资源记录的生命周期(以秒为单位),一般用于当地址解析程序取出资源记录后决定保存及使用缓存数据的时间[1]。

    资源数据长度(2字节)

        表示资源数据的长度(以字节为单位,如果资源数据为IP则为0004)。 

    资源数据

        该字段是可变长字段,表示按查询段要求返回的相关资源记录的数据。

    2.2 DNS查询报文实例

    www.baidu.com为例,用Wireshark俘获分组,结合2.1的理论内容,很容易看明白的,DNS请求报文如下:

    图7 DNS请求报文示例

    2.3 DNS回答报文实例

    图8 DNS回答报文示例


    第三个和第四个显示404 Not Found

    还有每个地址哦Server都不一样oscali,oscdb,liubc,ep2,第一个像阿里云服务器,第二个看起来像数据库的服务器,其他就不知道了...

    Web服务器貌似是Tengine,




    展开全文
  • WireShark实战笔记之DNS协议分析

    千次阅读 2021-04-03 20:44:37
    DNS协议分析DNS协议概述DNS工作机理概述dns报文WireSahrk分析DNS协议查看第一个包:查看第四个包(响应包) DNS协议概述 DNS协议也可以称为DNS服务,全称是Domain Name System,即域名系统,和HTTP协议一样,也是一...

    DNS协议概述

    DNS协议也可以称为DNS服务,全称是Domain Name System,即域名系统,和HTTP协议一样,也是一个位于应用层的协议(服务),它是基于运输层的UDP协议的。
    从DNS的名字我们就可以知道,它提供域名映射到IP地址的服务,那么在我们详细说DNS协议之前,先来大致讲讲互联网的域名结构。

    通常被其他应用层协议所使用,包括http、smtp和ftp等。

    这里还需要了解:
    域名系统
    DNS解析过程
    域名服务器:有四种不同的类型:根域名服务器,顶级域名服务器,权限域名服务器,本地域名服务器
    DNS记录缓存
    详细了解DNS协议及域名系统: https://blog.csdn.net/weixin_43742894/article/details/115421952

    DNS工作机理概述

    当一个主机中的进程需要把域名解析为 IP 地址时,该进程就会调用解析程序,并成为 DNS 的 一个客户,把待解析的域名放在 DNS 的请求报中,以 UDP用户数据报方式发送给本地域名服务器。本地域名服务器在查找域名后,把对应的 IP 地址放在回答报文中返回。获得 IP地址的后主机即可进行通信。
    如果本地域名不能回答该请求,则向其他域名服务器发送查询请求。

    dns报文

    DNS 分为查询请求和查询响应,请求和响应的报文结构基本相同。DNS 报文格式如图所示。

    在这里插入图片描述

    上图中显示了 DNS 的报文格式。其中,事务 ID、标志、问题计数、回答资源记录数、权威名称服务器计数、附加资源记录数这 6 个字段是DNS的报文首部,共 12 个字节。

    详细了解DNS报文格式:http://c.biancheng.net/view/6457.html

    WireSahrk分析DNS协议

    实验环境:
    Windows10
    WireShark
    实验指令:
    ping www.baidu.com
    在这里插入图片描述

    wireshark捕获dns包
    在这里插入图片描述
    这里捕获到四个DNS包,但是前三个dns包相同,都是请求包,第四个包是答复(一次域名解析)
    这里第一个包和第四个包是对应的

    查看第一个包:

    在这里插入图片描述
    可以发现DNS为应用层协议,下层传输层采用UDP,再下层网络层是IP协议,然后是数据链路层的以太网帧.

    需要关注的是应用层的实现也即DNS协议本身.

    在此之前,可以从下层获得一些必要信息:

    UDP(User Datagram Protocol)报文中:DNS的目的端口(Dst Port)是53

    IPv4(Internet Protocol Version 4)报文中目的IP是192.168.1.1(局域网路由器)

    由于IP报文在网络层进行路由选择,他会依次送给路由器而不是直接送给DNS服务器,这一点也十分容易理解,

    第一个包是请求包,不可能直接包含DNS服务器地址.

    查看DNS数据:
    在这里插入图片描述

    第一个是Transaction ID为标识字段,2字节,用于辨别DNS应答报文是哪个请求报文的响应.

    第二个是Flags标志字段,2字节,每一位的含义不同。

    QR: 查询/响应,1为响应,0为查询

    Opcode: 查询或响应类型,这里0表示标准,1表示反向,2表示服务器状态请求

    AA: 授权回答,在响应报文中有效,待会儿再看

    TC: 截断,1表示超过512字节并已被截断,0表示没有发生截断

    RD: 是否希望得到递归回答

    RA: 响应报文中为1表示得到递归响应

    zero: 全0保留字段

    rcode: 返回码,在响应报文中,各取值的含义:

    0 - 无差错

    1 - 格式错误

    2 - 域名服务器出现错误

    3 - 域参照问题

    4 - 查询类型不支持

    5 - 被禁止

    6 ~ 15 保留

    紧接着标志位的是

    Quetions(问题数),2字节,通常为1

    Answer RRs(资源记录数),Authority RRs(授权资源记录数),Additional RRs(额外资源记录数)通常为0

    字段Queries为查询或者响应的正文部分,分为Name Type Class

    Name(查询名称):这里是ping后的参数,不定长度以0结束

    Type(查询类型):2字节,这里是主机A记录.其各个取值的含义如下:

    在这里插入图片描述

    Class(类):2字节,IN表示Internet数据,通常为1

    查看第四个包(响应包)

    在这里插入图片描述
    可以看到和第一个请求包相比,响应包多出了一个Answers字段,同时Flags字段每一位都有定义.
    可以发现有4条资源记录,4个不同的IP地址,说明域名 www.oschina.net 对应有4个IP地址,分别是:
    www.baidu.com
    110.242.68.4
    110.242.68.3
    关注一下Flags中Answer RRs 为3 说明对应的Answers字段中将会出现3项解析结果.
    在这里插入图片描述

    Answers字段可以看成一个List,集合中每项为一个资源记录,除了上面提到过的Name,Type,Class之外,还有Time to Live,Data length,Addr.

    Time to Live(生存时间TTL):表示该资源记录的生命周期,从取出记录到抹掉记录缓存的时间,以秒为单位.这里是0x00 00 00 fd 合计253s.

    Data length(资源数据长度):以字节为单位,这里的4表示IP地址的长度为4字节.也就是下面Addr字段的长度.

    Addr(资源数据): 返回的IP地址,就是我们想要的结果.
    参考资料:
    https://www.bilibili.com/video/BV1fE411Q7xY?p=5
    可以看一下这篇文章关于域名查询举的例子
    https://blog.csdn.net/weixin_43742894/article/details/115421952
    《利用WireShark进行DNS协议分析》https://mp.weixin.qq.com/s?src=11&timestamp=1617460192&ver=2986&signature=4R8PZ9YAbGUtG5zIe9HaJ4TcUdlghZlNwSg5D99jzg1JpcREZoV-I-UORBjzHqRbXy8IglHEURmm6nHWUCQaPckiH4nDp6ZtHdTo3xT7JgXSaLJRZMOaQQbvkFtpoKEq&new=1

    展开全文
  • 3)网页提取过程的协议分析 首先打开浏览器,清楚浏览记录 打开DOS,清空DNS缓存 打开浏览器,访问百度服务器 利用Wireshark进行包 设置过滤条件 (ip.src==192.168.1.103||ip.dst==192.168.1.103)&&dns.qry.name==...

    1.实验目的及环境

    目的:
    熟练使用网络流量捕获工具
    掌握使用Wireshark分析网络协议的方法
    掌握常用的与网络操作相关的系统内部命令
    了解常用的网络应用服务内部的协议工作过程
    环境:
    1)本地流量的捕获

    特点:捕获流进或者流出本地主机网卡的流量,十分简单方便

    2)相同冲突域(集线器)流量的捕获

    特点:无需额外的硬件或配置,直接利用集线器的物理层广播特性,捕获同一冲突域内所有的通信流量


    3)交换机多端口流量的捕获

       主机A捕获B、C之间通信流量的方法:

    端口镜像:

       将主机B和C连接的交换机端口配置成镜像的源端口
       主机A连接的交换机端口配置成镜像的目的端口

    ARP欺骗:

       利用ARP协议本身的不足,实现的攻击行为
       主机A可以利用虚假的ARP地址,来更新B或C的ARP缓存,从而截获属于B或C的流量

    2.实验内容

    1)捕获并解析ICMP报文:

       执行PING命令产生特定类型的ICMP

       设定过滤条件捕获ICMP报文

       解析ICMP报文格式

    2)捕获并解析ARP报文:

       执行ARP系统内部命令查看本地ARP高速缓存

       设定过滤条件,捕获ARP报文

       解析ARP报文格式

    3)网页提取过程的协议分析:

       准备工作:清空浏览器历史记录、清空本地DNS缓存

       运行浏览器软件,输入网址或点击链接

       设定过滤条件,捕获HTTP报文、DNS报文、TCP报文

       分析协议工作过程

    3.实验工具

    wireshark特点:

    跨平台(Windows、Macos、Linux/Unix)、开源、功能强大、操作方便

    wireshark功能:

    抓包分析协议报文

    深析协议工作流程

    诊断解决网络故障

    找寻网络安全问题

    wireshark下载:

    www.wireshark.org

    4.实验原理

    1)捕获并解析ICMP报文

    命令格式:

    ping x.x.x.x如ping www.njupt.edu.cn

    检测本机到此web服务器是否连通

    原理:


    2)捕获并解析ARP报文

    arp进程在本局域网上广播发送一个ARP请求分组

    本局域网上所有主机上运行的arp进程都收到此arp请求分组

    本局域网的另一台主机发现自己的IP地址与arp请求分组中要查询的IP地址一致,就收下此arp请求分组,并向查询的主机以单播形式,回应arp响应分组
    3)网页提取过程的协议分析

    标识对象,URL:统一资源定位符,标识WWW中的资源,如ftp://ftdm.mit.edu/pub/abc.txt

    域名解析:将域名转换成互联网地址:DNS   如www.njupt.edu.cn——>202.119.224.201

    本地DNS缓冲:存放历史解析结果

    HTTP,超文本传输协议,基于会话的请求回答,过程:首先建立TCP连接,发送HTTP请求;接收HTTP应答,断开TCP连接

    5.实验过程

    1)捕获并解析ICMP报文

    电脑连接的无线网,则首先点击“无线网络连接”,然后点击“Start”

    为了过滤出需要的ICMP报文,在“filter”中输入“icmp”

    打开DOS,进行ping,产生ICMP报文

    则在Wireshark页面产生了8个ICMP报文,由成对的请求与回答报文构成

    打开DOS,输入“ipconfig”,验证8个ICMP报文确实是本次ping产生


    2)捕获并解析ARP报文

    打开DOS,输入arp -a查看arp高速缓存

    输入arp -d清空arp高速缓存

    利用Wireshark进行抓包

    第一个报文信息:

    request类型

    源MAC地址:本主机MAC地址

    源IP地址:本主机IP地址

    目的MAC地址:硬件广播地址

    第二个报文信息:

    reply类型

    源MAC地址:网关MAC地址

    源IP地址:网关IP地址

    目的MAC地址:本主机MAC地址

    目的IP地址:本主机IP地址

    3)网页提取过程的协议分析

    首先打开浏览器,清楚浏览记录

    打开DOS,清空DNS缓存

    打开浏览器,访问百度服务器

    利用Wireshark进行抓包

    设置过滤条件

    (ip.src==192.168.1.103||ip.dst==192.168.1.103)&&dns.qry.name==www.baidu.com

    查看报文

    设置过滤条件

    (ip.src==180.97.33.108||ip.dst==180.97.33.108)&&http

    查看报文

    展开全文
  • Wireshark分析DNS

    千次阅读 2021-10-28 16:00:20
    什么是DNS DNS指的是域名系统,它在内部有一个存储域名和对应IP地址的数据库,用于将网站的域名转换为服务器的具体IP地址。 例如,我们在浏览器打开baidu.com时,浏览器需要先请求DNS服务器获取域名baidu.com对应...
  • 一....启动Wireshark,选择一个有效网卡,启动包. 在控制台回车执行完毕后停止监控. 三.分析阶段 截获的所有报文如下: 总得来看有两个DNS包(一次域名解析),和8个ICMP包(四次ping) 下面开始分析DNS
  • 结合Wireshark分析DNS 协议

    万次阅读 多人点赞 2014-03-18 23:55:37
     本文简单介绍了DNS协议理论知识,给出URL解析步骤,详细讲述了DNS报文各个字段含义,并从Wireshark俘获分组中选取DNS相关报文进行分析。 一、概述 1.1 DNS  识别主机有两种方式:主机名、IP地址。前者便于...
  • 运用wireshark抓DNS分析流程

    万次阅读 热门讨论 2016-10-16 20:57:03
    访问dns本机域名 1. 客户端包 客户端向目标主机dns查询www.mc.sncsummarschool.top 挂了VPN也可以走ipv6 这个域名在DNS主机中,所以直接给予回应。 2. 服务器端包 222.199.224.95是客户端对外IP 二...
  • Word 文档 山东建筑大学 计算机学院 实验报告 班级_ 姓名_ 学 号 实验成绩_ 课程_ 同组者_ 实验日期_ 实验一 利用WireShark分析HTTP和DNS 一 实验目的及任务 熟悉并掌握Wireshark的基本操作了解网络协议实体间的...
  • 使用Wireshark进行DNS协议解析

    千次阅读 2018-02-26 08:30:00
    DNS协议格式解析及说明。”DNS即域名系统(Domain Name System),是用来将域名与IP地址建立映射的协议,通过DNS协议,可以方便记忆。DNS可基于...
  • Wireshark协议分析 另外一个方法就是使用wlan.fc.type_subtype == 0x0c过滤器取消验证数据包。 这将会返回很多与失败验证不相关的多余结果,因此为了验证数据包与此相关,你将需要深入挖掘,并创建另一个围绕WAP和...
  • wireshark分析http协议详解

    千次阅读 2021-02-22 14:29:27
    一、wireshark分析示例 1.清空缓存 在进行跟踪之前,首先清空Web浏览器的高速缓存来确保Web网页是从网络中获取的,而不是从高速缓冲中取得的。之后,还要在客户端清空DNS高速缓存,来确保Web服务器域名到IP地址的...
  • DNS抓分析--wireshark

    千次阅读 2020-10-05 23:17:44
    DNS抓分析wireshark DNS-(Domain Name System,域名系统),是因特网上作为余名和IP地址相互映射的一个分布式数据库,能够使用户更加方便地访问互联网,而不是去记住能够被机器直接读取的IP数串。通过主机名,...
  • WireShark抓包及常用协议分析

    万次阅读 2021-11-15 18:02:24
    一、对ARP协议进行分析 使用arping命令扫描物理机 查看 Address Resolution Protocol (request) ARP 请求包内容 二、对ICMP协议进行分析 利用ping命令,向虚拟机发送数据包 wireshark抓得以下...
  • 文章目录实验前准备一、Wireshark抓包示例二、Wireshark实作1、数据链路层实作一 熟悉Ethernet帧结构实作二 了解子网内/外通信时的 MAC 地址实作三 掌握 ARP 解析...本部分实验用到的是包和协议分析软件——Wiresha
  • 抓取特定DNS查询包:tcpdum vs wireshark 近期,在办公网络中出现...为解决问题,先用包工具对DNS协议进行了一点研究。 DNS UDP包基本分析 DNSDNS协议的详细分析,参考:https://www.jianshu.com/p/43d316f8ed
  • 使用wireshark抓包并进行网络协议分析

    万次阅读 多人点赞 2018-10-18 15:37:35
    今天想通过包实验,巩固一下所学习的网络协议。同时,在知识点上会加上以前遇到的一些问题。这次实验并不是对所有的网络协议都进行分析,而是从下面这个问题出发(面试常被问)。从这一过程中复习学过的网络协议。...
  • DNS学习
  • 一、概述 1.1 DNS  识别主机有两种方式:主机名、IP地址。...后者定长、有层次结构,便于路由器处理,但难以...DNS通常由其他应用层协议使用(如HTTP、SMTP、FTP),将主机名解析为IP地址,其运行在UDP之上,使用53号...
  • 一、实验环境 服务器:windows server 2008 客户机:windows 2007 网卡连接:NAT(Vmnet 8) 实现客户机远程登录服务器 二、实验步骤 1、设置IP地址 ...首选DNS :192.168.10.1 客户机:win...
  • 深入理解网络协议,需要观察它们的工作过程并使用它们,即观察两个协议实体之间交换的报文序列,探究协议操作的细节,使协议实体执行某些动作,观察这些动作及其影响。
  • 目录1.实验目的2.实验内容3.实验过程Wireshark 的使用分析HTTP协议HTTP GET/response 交互HTTP 条件 GET/response 交互TCP 分析浏览追踪信息TCP 基础 1.实验目的 熟悉并掌握 Wireshark 的...利用 Wireshark 分析 HTT...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 4,579
精华内容 1,831
关键字:

利用wireshark分析协议dns