实训二 利用WireShark分析UDP与DNS包.doc

实训二 利用WireShark分析UDP与DNS包 一、实训目的 1. 学会使用nslookup工具查询并分析Internet 域名信息或诊断DNS 服务器。 2. 会用wireshark分析DNS协议。对DNS协议有个全面的学习与了解。 二、实训器材 1. 接入Internet的计算机主机； 2. 抓包工具WireShark。 三、实训内容 一、DNS包分析实验 1. 启动WireShark，并开始抓包。 2. 运行 nslookup 发现广工大或其它大学的官方DNS服务器。 如：nslookup –type=NS （或其它网址，如：中大，剑桥大学cam.ca.uk，北大，……） 实验结果举例： 3. 运行nslookup 向其中一个DNS服务器请求Yahoo!的地址。 实验结果举例： 4. 停止抓包，显示过滤DNS包，查看其请求包和响应包的运输层协议是UDP 还是 TCP? 答：都是UDP。 5. DNS请求包的目的端口及 DNS响应包的源端口号分别是多少？ 答：都是53。 6. DNS 请求包是发往哪个地址的？用ipconfig查看你的本地DNS服务器的IP地址，它们两个相同吗？ 答：它们两个地址相同。 7. 检查DNS 请求包，其类型是什么？请求包里有应答信息吗？ 答：DNS请求包的类型是UDP,没有应答信息。 8. 检查DNS应答包，其中包含多少“answers”,其中含有什么信息？ 答：包含3个answers.其中type类型为CNAME，说明规范主机名为，IP地址为6，,7 9. 查看接下来你的主机发出的一些TCP SYN 包，其中的目的IP地址是否有刚才DNS应答包中的IP地址? 答：有。 10. 访问网页，当网页中包含图片时，取回这些图片之前，是否会触发一个新的DNS请求？ 答：根据具体情况会有不同的结果。 11. 查看DNS应答包，你选择的新的DNS服务器应答包提供了什么？其中包括你选择的新DNS服务器的IP地址码？ 答：所提供的信息如下，其中包括自己的IP地址 12. 查看DNS请求包的目的地址、是否是你的本地DNS服务器的地址？若不是，这些IP地址指的是什么？ 答：是。 13. 查看该DNS 请求包的类型及应答包包含的 “answers”。 答：1）A记录是名称解析的重要记录，它用于将特定的主机名映射到对应主机的IP地址上。你可以在DNS服务器中手动创建或通过DNS客户端动态更新来创建。 2）NS记录此记录指定负责此DNS区域的权威名称服务器。 应答包包含的 “answers”如图： 14. 检查该DNS应答包，有多少回答，各包含什么内容？ 答： 15. 通过对上述DNS包的分析，简单解释DNS协议内容。 答：DNS是域名系统(DomainNameSystem)的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。域名是由圆点分开一串单词或缩写组成的，每一个域名都对应一个惟一的IP地址，在Internet上域名与IP地址之间是一一对应的，DNS就是进行域名解析的服务器。DNS命名用于Internet等TCP/IP网络中，通过用户友好的名称查找计算机和服务。DNS是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库。 16. UDP 报文头部有几个字段，绘制UDP 报文的结构图。 答：UDP 报文只有少量的字段：源端口号、目的端口号、长度、校验和等，各个字段功能和TCP 报文相应字段一样。 UDP 报文没有可靠性保证和顺序保证字段，流量控制字段等，可靠性较差。当然，使用传输层UDP 服务的应用程序也有优势。正因为UDP 协议较少的控制选项，在数据传输过程中，延迟较小，数据传输效率较高，适合于对可靠性要求并不高的应用程序，或者可以保障可靠性的应用程序像DNS、 TFTP、SNMP 等；UDP 协议也可以用于传输链路可靠的网络。 UDP 报文的结构图如下： 【思考题】 1. 分析并了解DNS服务器的访问过程，全球13个DNS根服务器中有10个在美国，从网络安全上分析这样设置DNS根服务器对我国网络信息安全是否造成威胁？ 答：1）客户端首先检查本地c:\windows\system32\drivers\etc\host文件，是否有对应的IP地址，若有，则直接访问WEB站点，若无 2）客户端检查本地缓存信息，若有，则直接访问WEB站点，若无 3）本地DNS检查缓存信息，若有，将IP地址返回给客户端，客户端可直接访问WEB站点，若无 4）本地DNS检查区域文件是否有对应的IP，若有，将IP地址返回给客户端，客户端可直接访问WEB站点，若无， 5）本地DNS根据cache.dns文件中指定的根DNS服务器的IP地址，转向根DNS查询。 6）根DNS收到查询请求后，查看区域文件记录，若