网络协议与攻击模拟-17-DNS协议-报文格式

二、DNS 查询

客户机想要访问www.baidu.com，根据自己的 TCP / IP 参数，向自己的首选 DNS 服务器发送 DNS 请求

首选 DNS 收到客户机的请求后，会去查询自己的区域文件，找不到www.baidu.com的 IP 地址信息（将请求转发到根域服务器，需要配置根提示）；直接可以找到www.baidu.com的 IP 地址信息（直接响应给客户机）

根域服务器收到请求后，由于根域服务器只维护顶级域服务器信息，会响应顶级域服务器 IP ( com )，首选 DNS 根据根域服务器响应的信息，将请求转发到 com 顶级域

com 顶级域服务器收到请求，由于 com 定级域服务器只维护二级域信息，会二级域服务器 IP (baidu.com)，首选 DNS 根据顶级域相应的信息，将请求转发到baidu.com二级域

baidu.com二级域收到请求，baidu.com DNS 服务器里面维护的是baidu.com区域的所有主机信息，包含了www.baidu.com的信息，直接将www.baidu.com的 IP 地址响应给首选 DNS

首选 DNS 再响应给客户机

1、查询方式

递归查询

当客户机请求自己的首选 DNS 服务器，首选 DNS 服务器上有域名记录信息，直接响应给客户机（根据上图所示，第1步和第8步就是递归查询）

迭代查询

首选 DNS 服务器没有域名记录信息，通过一步一步去请求根域服务器、顶级域服务器、二级域服务器，最终找到对应的域名记录信息

2、查询内容

正向：通过域名查 IP
反向：通过 IP 查域名

三、使用 Windows 部署 DNS 服务器

1、使用 Linux ( bind 服务）

2、 DNS 服务器分类

主要名称服务器：存放区域（二级区域）中相关的设置，存放的区域文件的正本数据

辅助名称服务器：存放的副本数据，是从主要名称服务器复制过来的，不能修改

主控名称服务器：提供数据复制（可以简单的理解成是 DNS 服务器中的某一个角色）

缓存（ cache - only ）域名服务器：里面没有区域文件，需要配置转发器

3、 DNS 记录

A ：主机记录，域名和 IP 地址的映射

CNAME ：别名记录

SOA ：权威名称服务器

NS ：名称服务器

MX ：邮件交换记录，一般有邮件服务器时使用

SRV ：正在提供特定服务的服务器

PTR ：反向指针记录

4、区域传送

将主要名称服务器的区域文件传送到辅助名称服务器上

区域传送使用的 TCP 的协议

四、分析 DNS 流量

1、 DNS 报文字段

ID 字段

flags ：标志

第1位：标识消息类型（0是请求，1是响应）
第2~5位： opcode 查询种类
第6位：标识是否是一个权威应答
第7位：一个 UDP 报文为512字节，指示是否截断超过的部分
第8位：是否请求递归
第9位：允许递归标识
第10~12位：保留位
第13-16位：应答码（0没有错误，1格式错误，2服务器错误，3名字错误，4服务器不支持，5拒绝，6~15保留）

Questions :请求段的问题记录数

Answer RRs ：回答段中的应答记录数
Authority RRs :授权段中的授权记录数
Additional RRs :附加段中的附加记录数