Стеження за dns пакетами за допомогою Wireshark
Тепер, після ознайомлення з nslookup та ipconfig, ми готові приступити до більш серйозних справ. Давайте спершу перехопимо DNS пакет, що генерується в процесі звичайного перегляду Web-сторінок:
Використайте ipconfig для того, щоб очистити DNS кеш вашого комп’ютера.
Відкрийте ваш браузер і очистіть кеш браузера.
Відкрийте Wireshark і введіть “ip.addr == your_IP_address” в поле для фільтру, де значення для your_IP_address (IP адреса хоста, на якому виконується Wireshark) ви берете з утиліти ipconfig. Цей фільтр усуває всі пакети, які не згенеровані вашим комп’ютером, чи не призначені йому.
За допомогою Wireshark почніть перехоплення пакетів.
Через ваш браузер зайдіть на Web-сторінку http://www.ietf.org .
Зупиніть перехоплення пакетів.
Дайте відповіді на наступні питання:
Відшукайте пакети запитів до DNS. Вони переслані за допомогою UDP чи TCP?
Який номер порту призначення у відправленому пакеті DNS запиту? Який номер порту пакету DNS відповіді?
На яку IP адресу DNS запит був відправлений? Використайте ipconfig утиліту для визначення IP адреси вашого локального DNS серверу. Чи отримані IP - адреси однакові?
Дослідіть пакет DNS запитів. Що означає поле “Type” в ньому? Чи повідомлення містить якесь поле “answers”?
Дослідіть повідомлення DNS відповіді. Скільки “відповідей” було отримано? Що кожна з цих відповідей містить?
Розгляньте послідовність TCP SYN пакетів відправлених вашим хостом. Чи IP адреса пункту призначення SYN пакета відповідає якійсь IP адресі, що прийшла у DNS відповіді?
Якщо на web сторінці містяться малюнки, чи ваш хост надсилає нові DNS запити перед завантаженням кожного з цих малюнків?
Тепер давайте пограємось з nslookup.
Почніть перехоплення пакетів.
Запустіть nslookup утиліту для www.mit.edu.
Зупиніть перехопення пакетів.
У результаті, ви маєте отримати картинку, схожу на наведену на Мал. :
Мал.
З цього знімку екрану видно, що nslookup фактично посилає три DNS запити і отримує три DNS відповіді.
8. Який номер порту призначення у пакеті DNS запиту? Який номер порту джерела DNS відповіді?
9. На яку IP адресу DNS запит був відправлений? Чи це IP адреса вашого локального DNS сервера?
Дослідіть пакет DNS запиту. Що означає поле “Type” в ньому? Чи повідомлення містить якесь поле “answers”?
Дослідіть повідомлення DNS відповіді. Скільки “відповідей” було отримано? Що кожна з цих відповідей містить?
Зробіть знімок екрану.
Тепер, проведіть той самий експеримент, але введіть іншу команду для дослідження:
nslookup –type=NS mit.edu
Дайте відповіді на наступні питання:
13. На яку IP адресу DNS запит був відправлений? Чи це IP адреса вашого локального DNS сервера?
Дослідіть пакет запита до DNS. Що означає поле “Type” в ньому? Чи повідомлення містить якесь поле “answers”?
Дослідіть пакети відповіді DNS. Скільки “відповідей” було отримано? Що кожна з цих відповідей містить?
Зробіть знімок екрану.
Знову повторіть експеримент з такою командою:
nslookup www.aiit.or.kr bitsy.mit.edu
Дайте відповіді на наступні питання:
17. На яку IP адресу DNS запит був відправлений? Чи це IP адреса вашого локального DNS сервера?
18. Дослідіть пакети запиту до DNS. Що означає поле “Type” в ньому? Чи повідомлення містить якесь поле “answers”?
19. Дослідіть пакет відповіді DNS. Скільки “відповідей” було отримано? Що кожна з цих відповідей містить?
Зробіть знімок екрану.