前言
简单整理一些wireshark dns 演练。
正文
简单介绍一下什么是dns。
这个其实可以百度一下哈,其实就是将域名转换为ip。
然后查询过程是这样的:
根域名服务器
权威服务器
dns 被劫持是怎么回事呢?比如你访问淘宝,然后dns 被修改为黑客的地址,黑客的地址网页做的和淘宝一样,这样你访问的地址就不对了。
然后来看下这个dns 报文是怎么样的。
使用dig 工具可以查一下哈。
具体报文格式:
抓包看一下,这个就是id:
然后flags 是16位,对应的就是下面这个哈。
里面就是一些选项。
然后看下怎么提问的:
这个提问相对来说其他这个Qtype 和 Qclass 是比较好理解的,但是这个qname 就没这个好理解了。
来一个一个分析。
首先是05,表示的是image 是3个长度。 image 分别对应的就是 69 6d 61 67 65
然后又是一个05 那么就是 baidu,就是 62 61 69 64 75
然后 03 就是 com,对应的就是 63 6f 6d 这样的。
那么响应的时候是怎么看呢?也就是anwser的时候。
这样哈。
可能这里难以理解的还是这个name哈。
这里就是引用的意思,真的是为了节约啊。
前面这个c0不用管,固定的开头。
然后这个0c 表示12,也就是引用这一段dns报文的第12个字节开始的域名。
然后这个imagename 又是引用c0 2d,2d 就是46,也就是从46个字节开始。
引用的就是下面这个。
结
下一节介绍过滤器