DNS協(xié)議分析.doc

DNS協(xié)議分析V1.0特通中心數(shù)據(jù)部10文檔修改記錄序號(hào)版本號(hào)修改說(shuō)明相關(guān)章節(jié)編寫(xiě)者/日期審校者/日期1V1.0原文檔。周婷婷/2009-5-221 DNS概述DNS（Domain Name System）即域名系統(tǒng)，是一種用于TCP/IP應(yīng)用程序的分布式數(shù)據(jù)庫(kù)，它提供主機(jī)名字（域名）和IP地址之間的轉(zhuǎn)換及有關(guān)電子郵件的選路信息，其端口號(hào)為53。DNS采用客戶服務(wù)器方式，當(dāng)某一個(gè)應(yīng)用進(jìn)程需要將主機(jī)名映射為IP地址時(shí)，該應(yīng)用進(jìn)程就成為域名系統(tǒng)DNS的一個(gè)客戶，并將待轉(zhuǎn)換的域名放在DNS請(qǐng)求報(bào)文中發(fā)給本地域名服務(wù)器。本地域名服務(wù)器在查找域名后，將對(duì)應(yīng)的IP地址放在回答報(bào)文中返回。應(yīng)用進(jìn)程獲得目的主機(jī)的IP地址后即可進(jìn)行通信。2 DNS的工作原理下面用一個(gè)具體的例子來(lái)說(shuō)明DNS的工作過(guò)程，如圖1所示，先啟動(dòng)Rlogin客戶程序，然后連接到一個(gè)位于其他域的Rlogin服務(wù)器。圖1 DNS的工作過(guò)程1) 客戶程序啟動(dòng)后，調(diào)用它的名字解析器函數(shù)將我們鍵入的主機(jī)名轉(zhuǎn)換為一個(gè)IP地址，于是，一個(gè)DNS查詢報(bào)文被送往一個(gè)根服務(wù)器。2) 由根服務(wù)器返回的響應(yīng)中包含的是Rlogin服務(wù)器所在域的名字服務(wù)器名。3) 客戶端的名字解析器向Rlogin服務(wù)器的名字服務(wù)器重發(fā)上述DNS查詢報(bào)文。4) 返回的應(yīng)答中包含Rlogin服務(wù)器的IP地址。5) Rlogin客戶和Rlogin服務(wù)器建立一個(gè)TCP連接。6) Rlogin服務(wù)器收到來(lái)自客戶的連接請(qǐng)求后，調(diào)用它的名字解析器通過(guò)TCP連接請(qǐng)求中的IP地址獲得客戶主機(jī)名。這是一個(gè)PTR查詢請(qǐng)求，由一個(gè)根名字服務(wù)器處理。這個(gè)根名字服務(wù)器可以不同于步驟1中客戶使用的根名字服務(wù)器。7) 這個(gè)根名字服務(wù)器的響應(yīng)中含有為客戶的域的名字服務(wù)器。8) 服務(wù)器上的名字解析器將向客戶的名字服務(wù)器重傳上述PTR查詢。9) 返回的PTR應(yīng)答中含有客戶主機(jī)的FQDN。10) 服務(wù)器的名字解析器向客戶的名字服務(wù)器發(fā)送一個(gè)A類型查詢請(qǐng)求，查找前一步返回的名字對(duì)應(yīng)的IP地址。11) 從客戶的名字服務(wù)器返回的響應(yīng)含有客戶主機(jī)的A記錄。Rlogin服務(wù)器將客戶的TCP連接請(qǐng)求中的IP地址與A記錄作比較。3 DNS數(shù)據(jù)包分析DNS定義了一個(gè)用于查詢和響應(yīng)的報(bào)文格式。圖2顯示這個(gè)報(bào)文的總體格式。圖2 DNS查詢和響應(yīng)的一般格式這個(gè)報(bào)文由12字節(jié)長(zhǎng)的首部和4個(gè)長(zhǎng)度可變的字段組成。各字段的作用如下：1) 標(biāo)識(shí)字段（2字節(jié)）該字段由客戶程序設(shè)置并由服務(wù)器返回結(jié)果，用來(lái)幫助客戶端確定響應(yīng)與查詢是否匹配，如果一個(gè)響應(yīng)報(bào)文與一個(gè)查詢報(bào)文的標(biāo)志字段值一致，則說(shuō)明這個(gè)響應(yīng)報(bào)文是該查詢報(bào)文的響應(yīng)。2）標(biāo)志字段（2字節(jié)） 標(biāo)志字段被劃分為若干個(gè)子字段，如圖3所示：圖3 標(biāo)志字段QR（1 bit）：0表示查詢報(bào)文，1表示響應(yīng)報(bào)文。Opcode (4 bit)：0表示標(biāo)準(zhǔn)查詢，1表示反向查詢，2表示服務(wù)器狀態(tài)請(qǐng)求。通常該字段值為0。AA（1 bit）：1表示“授權(quán)回答(authoritative answer)”，即該應(yīng)答報(bào)文來(lái)自一個(gè)授權(quán)域名服務(wù)器；0表示非授權(quán)回答。該字段在應(yīng)答報(bào)文中才有意義，在查詢報(bào)文中，該項(xiàng)默認(rèn)為0。TC（1 bit）：1表示“可截?cái)嗟?truncated)”，使用UDP時(shí)，它表示當(dāng)應(yīng)答的總長(zhǎng)度超過(guò)512字節(jié)時(shí)，只返回前512個(gè)字節(jié)；0表示“未截?cái)嗟摹?。RD（1 bit）：1表示遞歸查詢；0表示迭代查詢。RA（1 bit）：1表示名字服務(wù)器支持遞歸查詢。該字段在應(yīng)答報(bào)文中才有意義，在查詢報(bào)文中，該項(xiàng)默認(rèn)為0。Zero（3 bit）：這3 bit必須為0。Rcode（4 bit）：通常的值為0，表示沒(méi)有差錯(cuò)；3表示名字差錯(cuò)（只能從授權(quán)名字服務(wù)器上返回，它表示在查詢的域名不存在）。3）問(wèn)題數(shù)字段（2字節(jié)）表示查詢問(wèn)題字段包含的條目數(shù)，一般來(lái)講查詢報(bào)文該字段的值為1，應(yīng)答報(bào)文該字段的值也為1。4）資源記錄數(shù)字段（2字節(jié)）表示回答字段包含的條目數(shù),查詢報(bào)文該字段通常為0，應(yīng)答報(bào)文該字段至少為1。5）授權(quán)資源記錄數(shù)（2字節(jié)）表示授權(quán)字段包含的條目數(shù)，查詢報(bào)文該字段通常為0，應(yīng)答報(bào)文該字段可以為0，也可以不為0。6）額外資源記錄數(shù)（2字節(jié)）表示額外信息字段包含的條目數(shù)，查詢報(bào)文該字段通常為0，應(yīng)答報(bào)文該字段可以為0，也可以不為0。以上這6個(gè)2字節(jié)的字段是12字節(jié)的固定首部，下面是4個(gè)長(zhǎng)度可變的字段：7）查詢問(wèn)題字段該字段的格式如圖4所示：圖4 查詢問(wèn)題字段的格式查詢名是要查找的名字，即要查找的域名，它是一個(gè)或多個(gè)標(biāo)識(shí)符的序列。每個(gè)標(biāo)識(shí)符以首字節(jié)的計(jì)數(shù)值來(lái)說(shuō)明隨后標(biāo)識(shí)符的字節(jié)長(zhǎng)度，每個(gè)名字以最后字節(jié)為0結(jié)束。該字段無(wú)需以整32 bit邊界結(jié)束，即無(wú)需填充字節(jié)。查詢名的存儲(chǔ)格式如圖5所示：圖5 域名的存儲(chǔ)格式其中每一格是一個(gè)字節(jié)，計(jì)數(shù)字節(jié)用16進(jìn)制表示，標(biāo)識(shí)符均用ASCII碼表示。計(jì)數(shù)字節(jié)的最高兩比特為1時(shí)，用于壓縮格式。壓縮方法很簡(jiǎn)單，當(dāng)一個(gè)域名中的標(biāo)識(shí)符是壓縮的，它的單計(jì)數(shù)字節(jié)中的最高兩位被設(shè)置為11，這表示它是一個(gè)16 bit指針而不再是8 bit的計(jì)數(shù)字節(jié)。指針中的剩下14 bit說(shuō)明在該DNS報(bào)文中標(biāo)識(shí)符所在的位置（起始位置由標(biāo)識(shí)字段的第一字節(jié)起算）。用壓縮格式表示的域名均占2個(gè)字節(jié)。常用的查詢類型如表1所示：表1 DNS常用查詢類型（TYPE字段）TYPE數(shù)值描述A1IP地址NS2名字服務(wù)器CNAME5規(guī)范名稱（即別名）PTR12指針記錄（即根據(jù)IP查詢域名）HINFO13主機(jī)信息MX15郵件交換記錄AXFR252對(duì)區(qū)域轉(zhuǎn)換的請(qǐng)求ANY255對(duì)所有記錄的請(qǐng)求其中AXFR和ANY兩項(xiàng)只能用于查詢報(bào)文。常用的查詢類如表2所示：表2 DNS常用查詢類（CLASS字段）CLASS數(shù)值描述IN1因特網(wǎng)上的數(shù)據(jù)8）回答字段回答字段是我們最為關(guān)心的字段，它包含了查詢域名所對(duì)應(yīng)的IP地址。9）授權(quán)字段該字段的內(nèi)容不是我們關(guān)心的。10）額外信息字段該字段的內(nèi)容不是我們關(guān)心的?；卮?、授權(quán)和附加信息這三個(gè)變長(zhǎng)度字段均采用一種稱為資源記錄RR（Re- source Record）的相同格式。圖6顯示了資源記錄的格式。圖6 DNS資源記錄格式（RR）域名是記錄中資源數(shù)據(jù)對(duì)應(yīng)的名字。它的格式和前面介紹的查詢名字段格式（圖5）相同。類型說(shuō)明RR的類型碼。它的值和前面介紹的查詢類型值是一樣的。類通常為1，指Internet數(shù)據(jù)。生存時(shí)間字段是客戶程序保留該資源記錄的秒數(shù)。資源記錄通常的生存時(shí)間值為2天。資源數(shù)據(jù)長(zhǎng)度說(shuō)明資源數(shù)據(jù)的字節(jié)數(shù)。該數(shù)據(jù)的格式依賴于類型字段的值。對(duì)于類型A，資源數(shù)據(jù)是4字節(jié)的IP地址。3.1 查詢報(bào)文圖7 DNS查詢報(bào)文圖7中藍(lán)色覆蓋的部分即為DNS查詢報(bào)文，其中各字段的名稱、長(zhǎng)度、值以及作用如表3所示：表3 查詢報(bào)文字段名稱長(zhǎng)度值（十六進(jìn)制）作用標(biāo)識(shí)2字節(jié)ee0f用來(lái)幫助客戶端確定響應(yīng)與查詢是否匹配，如果一個(gè)響應(yīng)報(bào)文與該查詢報(bào)文的標(biāo)志字段值一致，則說(shuō)明這個(gè)響應(yīng)報(bào)文是該查詢報(bào)文的響應(yīng)。標(biāo)志2字節(jié)0100該字段的OR字段取值為0，說(shuō)明該報(bào)文是一個(gè)查詢報(bào)文；opcode字段取值為0，說(shuō)明這是一個(gè)標(biāo)準(zhǔn)查詢；RD字段取值為1，表示期望遞歸查詢。問(wèn)題數(shù)2字節(jié)0001表明查詢的問(wèn)題個(gè)數(shù)，通常該字段的值為1。資源記錄數(shù)2字節(jié)0000查詢報(bào)文中該字段通常為0。授權(quán)資源資源記錄數(shù)2字節(jié)0000查詢報(bào)文中該字段通常為0。額外資源記錄數(shù)2字節(jié)0000查詢報(bào)文中該字段通常為0。查詢問(wèn)題（無(wú)須以32bit邊界結(jié)束）17字節(jié)03 77 77 77 03 31 36 33 03 63 6f 6d 00 00 01 00 0103 77 77 77 03 31 36 33 03 63 6f 6d 00這13個(gè)字節(jié)表示域名 ；00 01表示查詢類型A，即表示這是一個(gè)IP查詢；之后的00 01表示查詢類為IN，即表示這是一個(gè)Internet數(shù)據(jù)。3.2 響應(yīng)報(bào)文圖8 DNS應(yīng)答報(bào)文圖8中藍(lán)色覆蓋的部分即為DNS響應(yīng)報(bào)文，其中各字段的名稱、長(zhǎng)度、值以及作用如表4所示：表4 應(yīng)答報(bào)文字段名稱長(zhǎng)度值（十六進(jìn)制）作用標(biāo)識(shí)2字節(jié)ee0f該字段的值與表1中標(biāo)識(shí)字段的值一致，說(shuō)明該響應(yīng)報(bào)文是3.1中所示查詢報(bào)文的響應(yīng)。標(biāo)志2字節(jié)8180該字段的OR字段取值為1，說(shuō)明該報(bào)文是一個(gè)響應(yīng)報(bào)文；opcode字段取值為0，說(shuō)明這是一個(gè)標(biāo)準(zhǔn)查詢；RD字段取值為1，表示期望遞歸查詢；RA字段取值為1，表示名字服務(wù)器支持遞歸查詢。問(wèn)題數(shù)2字節(jié)0001表明查詢的問(wèn)題個(gè)數(shù)，通常該字段的值為1。資源記錄數(shù)2字節(jié)0007表明響應(yīng)中攜帶的資源記錄數(shù)為7。授權(quán)資源資源記錄數(shù)2字節(jié)0002表明響應(yīng)中攜帶的授權(quán)資源記錄數(shù)為2。額外資源記錄數(shù)2字節(jié)0002表明響應(yīng)中攜帶的額外資源記錄數(shù)為2。查詢問(wèn)題17字節(jié)03 77 77 77 03 31 36 33 03 63 6f 6d 00 00 01 00 0103 77 77 77 03 31 36 33 03 63 6f 6d 00這13個(gè)字節(jié)即為域名 ；00 01表示查詢類型A，即表示這是一個(gè)IP查詢；之后的00 01表示查詢類為IN，即表示這是一個(gè)Internet數(shù)據(jù)?；?