解析DNS查询报文，探索DNS工作原理

目录

1. 用 tcpdump工具监听抓包

2. 用 host 工具获取域名对应的IP地址

3. 分析DNS以太网查询数据帧

3.1 linux下查询DNS服务器IP地址

3.2 DNS以太网查询数据帧

（1）数据链路层

（2）网络层

（3）传输层

（4）应用层

---

        DNS (Domain Name System)，域名系统是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式系统，能够使人们更方便地访问互联网，DNS服务器使用UDP端口 53。在linux操作系统下，我们可以通过 host 命令，查询域名的IP地址，命令格式为：host -t A 域名，它的工作原理是怎样的呢，接下来，通过解析DNS查询报文，探索DNS工作原理。

1. 用 tcpdump工具监听抓包

tcpdump -i ens33 -ent -X port domain                                                                          

-i: 是 interface 的意思，指定要监听的网卡接口。"-i any"表示抓取所有网卡接口的数据包。

ens33：网卡接口名

-e: 是 ethernet (以太网) 的意思，显示以太网帧头部信息。

-n: 是 number 的意思，显示 IP 地址表示主机，而不是主机名；显示数字表示端口号，而不是服务名称。

-t: 不打印抓包时间戳

-XX: X是 hex 的意思，以十六进制显示数据包的内容，并打印每个十六进制字节对应的 ASCII 字符，XX表示还打印以太网帧头部信息

port domain：表示只抓取使用 domain (域名) 服务的数据包，即 DNS 查询和应答数据包

2. 用 host 工具获取域名对应的IP地址

host -t A www.baidu.com

host：是linux下一个常用的访问DNS服务器的客户端程序

-t：告诉DNS协议使用哪种查询方式

A：通过域名获取IP地址

www.baidu.com：需要查询的域名

从 host 命令输出可知，www.baidu.com 是 www.a.shifen.com 的别名，并且对应有两个IP地址，host 命令是通过 DNS 协议跟DNS服务器通信。

3. 分析DNS以太网查询数据帧

3.1 linux下查询DNS服务器IP地址

        我们的目的是要查询域名 www.baidu.com 对应的 IP地址，就要去访问DNS服务器查询，要访问DNS服务器，就要知道DNS服务器的IP地址，在linux下，/etc/resolv.conf 文件存放着DNS服务器的IP地址。我的主机 192.168.0.155 。

cat /etc/resolv.conf 

该文件的内容如下：

# Generated by NetworkManager
nameserver 192.168.0.1
nameserver 8.8.8.8

# Generated by NetworkManager 这行是注释，说明这两个 DNS服务器地址是由网络管理程序写入的

首选DNS服务器IP地址是：192.168.0.1，即路由器（网关）的IP地址

备选DNS服务器IP地址是：8.8.8.8，是google提供的免费DNS服务器的IP地址

有了DNS服务器的IP地址：192.168.0.1，就可以首先在本机 192.168.0.155 的ARP缓存中查询，是否有对应映射的 MAC地址，如果没有就会发送ARP请求，让192.168.0.1告诉它的MAC地址，192.168.0.1就会发送一个ARP应答告诉192.168.0.155 它的MAC地址。

arp -a 192.168.0.1  // 查询本机的ARP缓存是否有192.168.0.1对应映射MAC地址

从上 arp -a 192.168.0.1 命令输出可知，本机已经有 192.168.0.1 对应的映射MAC地址 3c:6a:48:e2:d5:67

本机 192.168.0.155 的 MAC地址是：00:0c:29:83:72:68

以上铺垫说了这么多，我们要查询域名 www.baidu.com 对应的 IP地址，组DNS查询包的

源IP：192.168.0.155，源MAC地址：00:0c:29:83:72:68

目的IP：19.168.0.1，目的MAC地址：3c:6a:48:e2:d5:67

3.2 DNS以太网查询数据帧

00:0c:29:83:72:68 > 3c:6a:48:e2:d5:67, ethertype IPv4 (0x0800), length 73: 192.168.0.155.48516 > 192.168.0.1.domain: 50690+ A? www.baidu.com. (31)0x0000:  3c6a 48e2 d567 000c 2983 7268 0800 4500  <jH..g..).rh..E.0x0010:  003b 4c5f 0000 4011 ac66 c0a8 009b c0a8  .;L_..@..f......0x0020:  0001 bd84 0035 0027 8225 c602 0100 0001  .....5.'.%......0x0030:  0000 0000 0000 0377 7777 0562 6169 6475  .......www.baidu0x0040:  0363 6f6d 0000 0100 01                   .com.....

（1）数据链路层

以太网首部：(目的MAC地址6字节)(源MAC地址6字节)(帧类型2字节)共14字节

3c6a 48e2 d567 000c 2983 7268 0800

0x3c6a 48e2 d567：对应的是目的MAC地址6字节，也就是DNS服务器192.168.0.1的MAC地址

0x000c 2983 7268：对应的是源MAC地址6字节，也就是发送方主机192.168.0.155的MAC地址

0x0800：对应的是帧类型，是用来区分上层协议的（即网络层），0x0800表示这帧是IP协议数据报，我们就可以根据这个帧类型在网络层怎么去解析数据报了

（2）网络层

IP协议头部共20个字节

4500 003b 4c5f 0000 4011 ac66 c0a8 009b c0a8 0001

0x4500：对应的是(4位版本号)(4位头部长度)(8位服务类型TOS)。

               高字节数据 0x45 中的前4位是IP版本号，值为 4 说明这是IPv4

               高字节数据 0x45 中的低4位是IP头部长度，标识IP头部有多少个4字节，值为 5 说明IP头部有20字节。

               低字节数据 0x00 是8位数据报服务类型，值为 0x00 说明是一般服务。

0x003b：对应的是16位总长度(单位：字节)，即在该层中报文（包括IP协议头部和上层数据报）总共 59 字节

0x4c5f：对应的是 16位标识，唯一标识主机发送的每一个数据报，其初始值由系统随机生成，每发送一个数据报，其值加1，该值在数据报分片时被复制到每一个分片中，因此一个数据报的所有分片都具有相同的16位标识值。

0x0000：该16位数据对应的是(3位标志)(13位片偏移)

               高3位为 0b000，3位标志字段的第一位保留。 第二位（Don’t Fragment， DF） 表示“禁止分片”。 如果设置了这个位， IP模块将不对数据报进行分片。 在这种情况下， 如果IP数据报长度超过MTU的话， IP模块将丢弃该数据报并返回一个ICMP差错报文。 第三位（More Fragment， MF） 表示“更多分片”。 除了数据报的最后一个分片外， 其他分片都要把它置1。因此高3位为 0b000，最高位为 0，保留位，中间位为 0，表示允许分片，低位为 0 表示这是最后一个分片。
                13位分片偏移（fragmentation offset） 是分片相对原始IP数据报开始处（仅指数据部分） 的偏移。 实际的偏移值是该值左移3位（乘8） 后得到的。 由于这个原因， 除了最后一个IP分片外， 每个IP分片的数据部分的长度必须是8的整数倍（这样才能保证后面的IP分片拥有一个合适的偏移值） 。因为这个数据报的总长度为 0x003b，即 59 字节，没有分片，所以这13位的值为0

0x4011：对应的是(8位生存时间TTL)(8位协议)

               高8位为 0x40，即十进制 64，数据报到达目的地之前允许经过的路由器跳数。

               低8位为 0x11，即十进制 17，是用来区分上层协议（即传输层），在 /etc/protocols 可以查询，比如，1是 icmp，6是 tcp，17是 udp 

0xac66：对应的是16位头部校验和（header checksum） 由发送端填充， 接收端对其使用CRC算法以检验IP数据报头部（注意， 仅检验头部） 在传输过程中是否损坏。

0xc0a8 009b：对应的是32位发送方IP地址，我们的发送方是主机 192.168.0.155，用点分十六进制就是 0xc0.80.0.9b

0xc0a8 0001：对应的是32位接收方IP地址，我们的接收方是网关 192.168.0.1，用点分十六进制就是 0xc0.80.0.1

（3）传输层

UDP头部共8字节

bd84 0035 0027 8225

0xbd84：对应的是16位源端口号，即十进制 48516

0x0035：对应的是16位目的端口口，即十进制 53

0x0027：对应的是16位UDP长度，即十进制 39

0x8225：对应的是16位UDP校验和

（4）应用层

DNS协议头部

c602 0100 0001 0000 0000 0000  

0xc602：对应的是16位标识，用于标记一对DNS查询和应答， 以此区分一个DNS应答是哪个DNS查询的回应。

0x0100：对应的是16位标志，值 0x0100 可以知道

• QR位 = 0，这是一个查询 (Query) 报文；
• opcode = 0，表示这是一个标准查询；
• AA位 = 0，授权应答标志位，仅由应答报文使用，1表示域名服务器是授权服务器；
• TC位 = 0，截断标志，仅当DNS报文使用UDP服务时使用。 因为UDP数据报有长度限制， 所以过长的DNS报文将被截断。 1表示DNS报文超过512字节， 并被截断。
• RD位 = 1，递归查询标志。 1表示执行递归查询， 即如果目标DNS服务器无法解析某个主机名， 则它将向其他DNS服务器继续查询， 如此递归， 直到获得结果并把该结果返回给客户端。 0表示执行迭代查询， 即如果目标DNS服务器无法解析某个主机名， 则它将自己知道的其他DNS服务器的IP地址返回给客户端， 以供客户端参考。
• RA位 = 0，允许递归标志。 仅由应答报文使用， 1表示DNS服务器支持递归查询
• zero = 0， 这3位未用， 必须都设置为0
• rcode， 4位返回码， 表示应答的状态。 常用值有0（ 无错误） 和3（ 域名不存在）

0x0001：对应的是16位问题个数，对于查询报文来说，一般包含1个查询问题。

0x0000：对应的是16位应答资源记录个数，对于查询报文来说，值为 0

0x0000：对应的是16位授权资源记录数目，对于查询报文来说，值为 0

0x0000：对应的是16位额外资源记录数目，对于查询报文来说，值为 0

查询问题部分

0377 7777 0562 6169 6475 0363 6f6d 0000 0100 01 

0x03 77 77 77：0x03表示接下来的字符串长度为3个字符，0x77表示 'w' 的ASCII码值，所以 0x03 77 77 77 表示 "www" 这3个字符组成的字符串。

0x05 62 61 69 64 75：0x05表示接下来的字符串长度为5个字符，0x62表示 'b' 的ASCII值，0x61表示 'a' 的ASCII值，0x69表示 'i' 的ASCII值，0x64表示 'd' 的ASCII值，0x75表示 'u' 的ASCII值，所以 0x05 62 61 69 64 75 表示 "baidu" 这5个字符组成的字符串。

0x03 63 6f 6d：0x03表示接下来的字符串长度为3个字符，0x63表示 'c' 的ASCII码值，0x6f表示 'o' 的ASCII值，0x6d表示 'm' 的ASCII值，所以 0x03 63 6f 6d 表示 "com" 这3个字符组成的字符串。

0x00：对应的是表示字符串结束1字节，字符串的终止符是'\0'，对应的ASCII码值为 0

0x0001：对应的是16位查询类型，表示如何执行查询操作：

• 类型A， 值是1， 表示获取目标主机的IP地址。
• 类型CNAME， 值是5， 表示获得目标主机的别名。
• 类型PTR， 值是12， 表示反向查询，即根据IP地址查询域名的过程。

0x0001：对应的是16位查询类，该值通常为 1，表示获取因特网IP地址。

至此，DNS查询以太网帧数据全部解析完毕。

参考书籍

《Linux高性能服务器编程》- 游双