目录
1. 用 tcpdump工具监听抓包
2. 用 host 工具获取域名对应的IP地址
3. 分析DNS以太网查询数据帧
3.1 linux下查询DNS服务器IP地址
3.2 DNS以太网查询数据帧
(1)数据链路层
(2)网络层
(3)传输层
(4)应用层
DNS (Domain Name System),域名系统是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式系统,能够使人们更方便地访问互联网,DNS服务器使用UDP端口 53。在linux操作系统下,我们可以通过 host 命令,查询域名的IP地址,命令格式为:host -t A 域名,它的工作原理是怎样的呢,接下来,通过解析DNS查询报文,探索DNS工作原理。
1. 用 tcpdump工具监听抓包
tcpdump -i ens33 -ent -X port domain
-i: 是 interface 的意思,指定要监听的网卡接口。"-i any"表示抓取所有网卡接口的数据包。
ens33:网卡接口名
-e: 是 ethernet (以太网) 的意思,显示以太网帧头部信息。
-n: 是 number 的意思,显示 IP 地址表示主机,而不是主机名;显示数字表示端口号,而不是服务名称。
-t: 不打印抓包时间戳
-XX: X是 hex 的意思,以十六进制显示数据包的内容,并打印每个十六进制字节对应的 ASCII 字符,XX表示还打印以太网帧头部信息
port domain:表示只抓取使用 domain (域名) 服务的数据包,即 DNS 查询和应答数据包
2. 用 host 工具获取域名对应的IP地址
host -t A www.baidu.com
host:是linux下一个常用的访问DNS服务器的客户端程序
-t:告诉DNS协议使用哪种查询方式
A:通过域名获取IP地址
www.baidu.com:需要查询的域名
从 host 命令输出可知,www.baidu.com 是 www.a.shifen.com 的别名,并且对应有两个IP地址,host 命令是通过 DNS 协议跟DNS服务器通信。
3. 分析DNS以太网查询数据帧
3.1 linux下查询DNS服务器IP地址
我们的目的是要查询域名 www.baidu.com 对应的 IP地址,就要去访问DNS服务器查询,要访问DNS服务器,就要知道DNS服务器的IP地址,在linux下,/etc/resolv.conf 文件存放着DNS服务器的IP地址。我的主机 192.168.0.155 。
cat /etc/resolv.conf
该文件的内容如下:
# Generated by NetworkManager
nameserver 192.168.0.1
nameserver 8.8.8.8
# Generated by NetworkManager 这行是注释,说明这两个 DNS服务器地址是由网络管理程序写入的
首选DNS服务器IP地址是:192.168.0.1,即路由器(网关)的IP地址
备选DNS服务器IP地址是:8.8.8.8,是google提供的免费DNS服务器的IP地址
有了DNS服务器的IP地址:192.168.0.1,就可以首先在本机 192.168.0.155 的ARP缓存中查询,是否有对应映射的 MAC地址,如果没有就会发送ARP请求,让192.168.0.1告诉它的MAC地址,192.168.0.1就会发送一个ARP应答告诉192.168.0.155 它的MAC地址。
arp -a 192.168.0.1 // 查询本机的ARP缓存是否有192.168.0.1对应映射MAC地址
从上 arp -a 192.168.0.1 命令输出可知,本机已经有 192.168.0.1 对应的映射MAC地址 3c:6a:48:e2:d5:67
本机 192.168.0.155 的 MAC地址是:00:0c:29:83:72:68
以上铺垫说了这么多,我们要查询域名 www.baidu.com 对应的 IP地址,组DNS查询包的
源IP:192.168.0.155,源MAC地址:00:0c:29:83:72:68
目的IP:19.168.0.1,目的MAC地址:3c:6a:48:e2:d5:67
3.2 DNS以太网查询数据帧
00:0c:29:83:72:68 > 3c:6a:48:e2:d5:67, ethertype IPv4 (0x0800), length 73: 192.168.0.155.48516 > 192.168.0.1.domain: 50690+ A? www.baidu.com. (31)
0x0000: 3c6a 48e2 d567 000c 2983 7268 0800 4500 <jH..g..).rh..E.
0x0010: 003b 4c5f 0000 4011 ac66 c0a8 009b c0a8 .;L_..@..f......
0x0020: 0001 bd84 0035 0027 8225 c602 0100 0001 .....5.'.%......
0x0030: 0000 0000 0000 0377 7777 0562 6169 6475 .......www.baidu
0x0040: 0363 6f6d 0000 0100 01 .com.....
(1)数据链路层
以太网首部:(目的MAC地址6字节)(源MAC地址6字节)(帧类型2字节)共14字节
3c6a 48e2 d567 000c 2983 7268 0800
0x3c6a 48e2 d567:对应的是目的MAC地址6字节,也就是DNS服务器192.168.0.1的MAC地址
0x000c 2983 7268:对应的是源MAC地址6字节,也就是发送方主机192.168.0.155的MAC地址
0x0800:对应的是帧类型,是用来区分上层协议的(即网络层),0x0800表示这帧是IP协议数据报,我们就可以根据这个帧类型在网络层怎么去解析数据报了
(2)网络层
IP协议头部共20个字节
4500 003b 4c5f 0000 4011 ac66 c0a8 009b c0a8 0001
0x4500:对应的是(4位版本号)(4位头部长度)(8位服务类型TOS)。
高字节数据 0x45 中的前4位是IP版本号,值为 4 说明这是IPv4
高字节数据 0x45 中的低4位是IP头部长度,标识IP头部有多少个4字节,值为 5 说明IP头部有20字节。
低字节数据 0x00 是8位数据报服务类型,值为 0x00 说明是一般服务。
0x003b:对应的是16位总长度(单位:字节),即在该层中报文(包括IP协议头部和上层数据报)总共 59 字节
0x4c5f:对应的是 16位标识,唯一标识主机发送的每一个数据报,其初始值由系统随机生成,每发送一个数据报,其值加1,该值在数据报分片时被复制到每一个分片中,因此一个数据报的所有分片都具有相同的16位标识值。
0x0000:该16位数据对应的是(3位标志)(13位片偏移)
高3位为 0b000,3位标志字段的第一位保留。 第二位(Don’t Fragment, DF) 表示“禁止分片”。 如果设置了这个位, IP模块将不对数据报进行分片。 在这种情况下, 如果IP数据报长度超过MTU的话, IP模块将丢弃该数据报并返回一个ICMP差错报文。 第三位(More Fragment, MF) 表示“更多分片”。 除了数据报的最后一个分片外, 其他分片都要把它置1。因此高3位为 0b000,最高位为 0,保留位,中间位为 0,表示允许分片,低位为 0 表示这是最后一个分片。
13位分片偏移(fragmentation offset) 是分片相对原始IP数据报开始处(仅指数据部分) 的偏移。 实际的偏移值是该值左移3位(乘8) 后得到的。 由于这个原因, 除了最后一个IP分片外, 每个IP分片的数据部分的长度必须是8的整数倍(这样才能保证后面的IP分片拥有一个合适的偏移值) 。因为这个数据报的总长度为 0x003b,即 59 字节,没有分片,所以这13位的值为0
0x4011:对应的是(8位生存时间TTL)(8位协议)
高8位为 0x40,即十进制 64,数据报到达目的地之前允许经过的路由器跳数。
低8位为 0x11,即十进制 17,是用来区分上层协议(即传输层),在 /etc/protocols 可以查询,比如,1是 icmp,6是 tcp,17是 udp
0xac66:对应的是16位头部校验和(header checksum) 由发送端填充, 接收端对其使用CRC算法以检验IP数据报头部(注意, 仅检验头部) 在传输过程中是否损坏。
0xc0a8 009b:对应的是32位发送方IP地址,我们的发送方是主机 192.168.0.155,用点分十六进制就是 0xc0.80.0.9b
0xc0a8 0001:对应的是32位接收方IP地址,我们的接收方是网关 192.168.0.1,用点分十六进制就是 0xc0.80.0.1
(3)传输层
UDP头部共8字节
bd84 0035 0027 8225
0xbd84:对应的是16位源端口号,即十进制 48516
0x0035:对应的是16位目的端口口,即十进制 53
0x0027:对应的是16位UDP长度,即十进制 39
0x8225:对应的是16位UDP校验和
(4)应用层
DNS协议头部
c602 0100 0001 0000 0000 0000
0xc602:对应的是16位标识,用于标记一对DNS查询和应答, 以此区分一个DNS应答是哪个DNS查询的回应。
0x0100:对应的是16位标志,值 0x0100 可以知道
- QR位 = 0,这是一个查询 (Query) 报文;
- opcode = 0,表示这是一个标准查询;
- AA位 = 0,授权应答标志位,仅由应答报文使用,1表示域名服务器是授权服务器;
- TC位 = 0,截断标志,仅当DNS报文使用UDP服务时使用。 因为UDP数据报有长度限制, 所以过长的DNS报文将被截断。 1表示DNS报文超过512字节, 并被截断。
- RD位 = 1,递归查询标志。 1表示执行递归查询, 即如果目标DNS服务器无法解析某个主机名, 则它将向其他DNS服务器继续查询, 如此递归, 直到获得结果并把该结果返回给客户端。 0表示执行迭代查询, 即如果目标DNS服务器无法解析某个主机名, 则它将自己知道的其他DNS服务器的IP地址返回给客户端, 以供客户端参考。
- RA位 = 0,允许递归标志。 仅由应答报文使用, 1表示DNS服务器支持递归查询
- zero = 0, 这3位未用, 必须都设置为0
- rcode, 4位返回码, 表示应答的状态。 常用值有0( 无错误) 和3( 域名不存在)
0x0001:对应的是16位问题个数,对于查询报文来说,一般包含1个查询问题。
0x0000:对应的是16位应答资源记录个数,对于查询报文来说,值为 0
0x0000:对应的是16位授权资源记录数目,对于查询报文来说,值为 0
0x0000:对应的是16位额外资源记录数目,对于查询报文来说,值为 0
查询问题部分
0377 7777 0562 6169 6475 0363 6f6d 0000 0100 01
0x03 77 77 77:0x03表示接下来的字符串长度为3个字符,0x77表示 'w' 的ASCII码值,所以 0x03 77 77 77 表示 "www" 这3个字符组成的字符串。
0x05 62 61 69 64 75:0x05表示接下来的字符串长度为5个字符,0x62表示 'b' 的ASCII值,0x61表示 'a' 的ASCII值,0x69表示 'i' 的ASCII值,0x64表示 'd' 的ASCII值,0x75表示 'u' 的ASCII值,所以 0x05 62 61 69 64 75 表示 "baidu" 这5个字符组成的字符串。
0x03 63 6f 6d:0x03表示接下来的字符串长度为3个字符,0x63表示 'c' 的ASCII码值,0x6f表示 'o' 的ASCII值,0x6d表示 'm' 的ASCII值,所以 0x03 63 6f 6d 表示 "com" 这3个字符组成的字符串。
0x00:对应的是表示字符串结束1字节,字符串的终止符是'\0',对应的ASCII码值为 0
0x0001:对应的是16位查询类型,表示如何执行查询操作:
- 类型A, 值是1, 表示获取目标主机的IP地址。
- 类型CNAME, 值是5, 表示获得目标主机的别名。
- 类型PTR, 值是12, 表示反向查询,即根据IP地址查询域名的过程。
0x0001:对应的是16位查询类,该值通常为 1,表示获取因特网IP地址。
至此,DNS查询以太网帧数据全部解析完毕。
参考书籍
《Linux高性能服务器编程》- 游双