前言

簡單整理一些wireshark dns 演練。

正文

簡單介紹一下什麼是dns。

這個其實可以百度一下哈，其實就是將域名轉換為ip。

然後查詢過程是這樣的：

根域名伺服器

權威伺服器

dns 被劫持是怎麼回事呢？比如你訪問淘寶，然後dns 被修改為黑客的地址，黑客的地址網頁做的和淘寶一樣，這樣你訪問的地址就不對了。

然後來看下這個dns 報文是怎麼樣的。

使用dig 工具可以查一下哈。

具體報文格式：

抓包看一下，這個就是id：

然後flags 是16位，對應的就是下面這個哈。

裡面就是一些選項。

然後看下怎麼提問的:

這個提問相對來說其他這個Qtype 和 Qclass 是比較好理解的，但是這個qname 就沒這個好理解了。

來一個一個分析。

首先是05，表示的是image 是3個長度。 image 分別對應的就是 69 6d 61 67 65

然後又是一個05 那麼就是 baidu,就是 62 61 69 64 75

然後 03 就是 com，對應的就是 63 6f 6d 這樣的。

那麼響應的時候是怎麼看呢？也就是anwser的時候。

這樣哈。

可能這裡難以理解的還是這個name哈。

這裡就是引用的意思，真的是為了節約啊。

前面這個c0不用管，固定的開頭。

然後這個0c 表示12，也就是引用這一段dns報文的第12個位元組開始的域名。

然後這個imagename 又是引用c0 2d,2d 就是46，也就是從46個位元組開始。

引用的就是下面這個。

結

下一節介紹過濾器