Week1:認識DNS
① DNS簡介
Dns(Domain name System) 域名系統,用於將通信請求中的域名轉換為IP地址,實現真實的路由
相關概念:
域名: 為了抽象編碼複雜的IP地址(32位純數字,難以記憶)而引入的一類別名,提高用戶使用的方便性,但是需要在傳輸過程中進行轉換。
總共分為13個頂級域名,其餘的域名是由頂級域名衍生出來,二級域名,三級域名等,如’com->baidu.com’
域名服務器: 具備域名ip轉換處理服務的主機,能夠接受請求對應將域名轉換成響應ip地址並返回(也可以修改服務類型實現反查詢)
分類: 根域名服務器—存儲頂級域名服務器的記錄
頂級域名服務器—存儲在該頂級域名上註冊的二級域名記錄文件
權限域名服務器—負責一個區的域名記錄緩存(三級域名等)
本地域名服務器—運營商提供的域名記錄緩存
② Dns查詢過程
1、本地查詢
當我們打開瀏覽器訪問一個網站的時候,一般使用的是域名,而不是很難記憶的ip地址,如’www.baidu.com’ 而不是‘111.13.100.92’,
當瀏覽器收到請求之後,會首先查看瀏覽器緩存中的數據,查找到了直接替換進行請求,否則搜索系統中的dns緩存文件,找到直接替換,否則在主機文件(c:\\windows\\system32\\drivers\\etc\\hosts)中進行查找鍵值對應如果在hosts文件中存在了對應www.baidu.com映射的ip,瀏覽器直接獲取ip進行通信。
2、 區域查詢
當本地文件記錄中沒有找到對應的項時,主機就會對本地域名服務器發起查詢請求,在本地域名服務器上緩存了這一個區域接入用戶的查詢緩存,如果存在記錄,則返回對應ip給主機,由瀏覽器繼續進行操作,否則繼續向下迭代查詢
3、域名服務器查詢
本地域名服務器會向最近的根域名服務器發起請求,根域名服務器會返回對應主域名服務器的地址,由本地域名服務器繼續請求頂級域名服務器(存放了對應的二級域名的記錄),頂級域名服務器返回對應的權限域名服務器地址。本地域名服務器繼續根據地址請求,發現記錄後權限域名服務器返回對應的ip,本地域名服務器存儲到本地緩存,以方便同一區域的查找。同時將查詢的結果返回給請求主機,由瀏覽器進行通信
4、查詢測試
瀏覽器本地緩存
瀏覽器dns緩存(存儲時間較短 瀏覽器關閉就會消失 但是也存在瀏覽器建立本地緩存,google-chrome默認過期時間為1分鐘)
Google-Chrome中
輸入chrome://net-internals/#dns可以查看到對應緩存情況
Firefox中 在about:config中可以搜索到network.dns的一些配置
系統緩存
在cmd中使用命令 ipconfig /displaydns 查看dns記錄
清除dns記錄ipconfig /flushdns
本地緩存
C:\\Windows\\System32\\drivers\\etc\\hosts文件
簡單修改一下鍵值對應 並清空瀏覽器緩存 插入127.0.0.1 testDns.me
然後再訪問對應的域名發現已經來到了服務器的地址127.0.0.1
本地沒有緩存的話就會訪問對應的本地域名服務器通過遞歸查詢的方式由本地域名服務器迭代查詢對應的根域名服務器,頂級域名服務器,權限域名服務器等
③ DNS報文結構分析
1、Transaction ID(會話標識2字節) 確定對應請求的響應包序號(二者會話標識相同)
2、Flags(2字節)
QR(1 bit )表示查詢/響應 為0查詢 為1 響應
Opcode(4 bit) 表示查詢類型 0標準查詢 1反向查詢(ip查找域名) 2服務器狀態
AA(1 bit) 表示授權回答
TC(1 bit) 表示可截斷
RD(1bit) 表示期望遞歸
RA(1bit) 表示可用遞歸
Rcode(4bit) 表示返回狀態 0無差錯2服務器差錯 3名字差錯
3、數量字段(總共8字節):Questions、Answer RRs、Authority RRs、Additional RRs 各自表示後面的四個區域的數目。Questions表示查詢問題區域節的數量,Answers表示回答區域的數量,Authoritative namesversers表示授權區域的數量,Additionalrecoreds表示附加區域的數量
4、查詢字段(Queries)
查詢名(長度不固定) 一般為查詢的內容(根據。來分割域名,首部填寫對應的域名長度,最後以0結尾)
查詢類型
類型
助記符
說明
1
A
由域名獲取ipv4
2
NS
查詢域名服務器
5
CNAME
查詢規範名稱
6
SOA
開始授權
11
WKS
熟知服務
12
PTR
把ip轉換為域名
13
HINFO
主機信息
15
MX
郵件交換
28
AAAA
由域名獲得Ipv6
252
AXFR
傳送整個區的請求
255
ANY
對所有記錄的請求
5、資源記錄(RR)區域(包括回答區域,授權區域和附加區域)
三個區域格式都相同
5.1域名
和queries中的查詢字段相同 但是當出現相同內容時則需要使用2個字節的偏移指針指向,具體格式為前兩位為11固定 後面14位表示重複內容從dns報文開始的偏移值
5.2查詢類型
表示資源記錄的類型 和查詢內容相同
5.3 查詢類
對於Internet信息,總是IN
5.4 TTL生存時間
以秒為單位,表示的是資源記錄的生命週期,一般用於當地址解析程序取出資源記錄後決定保存及使用緩存數據的時間,它同時也可以表明該資源記錄的穩定程度,極為穩定的信息會被分配一個很大的值(比如86400,這是一天的秒數)。
5.5.資源數據
可變長字段,表示按照查詢段的要求返回的相關資源記錄的數據。可以是Address(表明查詢報文想要的回應是一個IP地址)或者CNAME(表明查詢報文想要的回應是一個規範主機名)等
實際抓包測試過程
在瀏覽器輸入 breezy.me
出現了dns查詢請求和響應
Mac幀的部分中 能夠給看到 前六個字節是目的mac地址 後六個字節是源mac地址,然後是表明了ipv4類型的兩個字節
在ip報中能夠看到頭部中第一個字節(前四位為版本類型,後四位為首部長度一般默認為20字節) 第二個字節為服務類型(TOS表示服務處理的優先級等) 第三四兩個字節表示ip數據報的總長度大小。第五六個字節表示序列號 接著四個字節為標誌位(第一位表示數據是否逆序,第二個表示是否分片,第三個表示是否還有其他分片,剩餘的位表示片偏移)。下面的一個字節為Time to live 表示數據包能夠在鏈路上經過轉發的次數,接著一個字節表示數據報採用的協議(udp/tcp),最後兩個字節表示首部校驗和(保證首部數據的完整性)。在ip體中首先四個字節是目的ip地址,然後是源Ip地址
在udp段中能夠看到前兩個字節是源端口,然後兩個字節是目的端口 然後兩個字節表示總長度為35字節,最後的兩個字節表示校驗和
查看dns報文請求數據
會話標識: 0xa423
標誌位 第一位表示查詢(0),後四位表示查找類型為標準查詢,後一位Truncated表示不可截斷,後一位Recursion desired 表示期望遞歸,後一位z表示保留值未被使用,最後的rcode為0表示沒有差錯
數量字段:表示查詢問題區域節有一個,其餘區域不存在
查詢區域: 名字為我們輸入的breezy.me總長度為9位 查詢類型為A(根據域名查找ip) 查詢類為internet
查看響應報文
會話標識: 0xa293(和請求報文的會話標識相同)
標誌位:第一位為1表示響應包 後四位為0 表示標準查詢響應 後一位(Authoritative)為0表示管理員未授權,再後一位(Truncated)表示不可截斷,後兩位分別表示遞歸期望(Recusion desired)和遞歸允許(Recusion available),z為預留位,後一位(Answer Authenticated)表示回答授權,再後面(Non-Authenticated data)表示沒有未授權數據,最後四位(rcode)表示無差錯
數量字段:查詢區域節有1個,回答區域節有一個,授權區域節和附加區域段為3個
查詢區域:與請求的查詢區域內容一致
回答區域:包含查詢域名,查詢類型,查詢類和查詢到的結果
授權區域:包含了查詢的域名服務器域名
附加區域: 對應包含域名服務器的Ip地址
點擊關注我的頭條號,0基礎掌握更多黑客秘籍
私信回覆‘’資料‘’領取更多技術文章和學習資料,加入專屬的安全學習圈一起進步
安界
安界貫徹人才培養理念,結合專業研發團隊,打造課程內容體系,推進實訓平臺發展,通過一站式成長計劃、推薦就業以及陪護指導的師帶徒服務,為學員的繼續學習和職業發展保駕護航,真正實現和完善網絡安全精英的教練場平臺;
關注私信‘資料’
如果你想實現進高企、就高職、拿高薪,即使低學歷也可實現職業發展中的第一個“彎道超車”!趕緊私信我!等你來!
轉載於:https://mp.weixin.qq.com/s/vFXOLWaxJVRSSZ9eK1raYw
閱讀更多 安界 的文章
