协议分析第12讲.pptVIP

* 计算机科学与工程学院 TCP/IP协议分析 （第十二讲） 主讲：李勇 第九章 DNS协议分析 TCP/IP协议分析 * 9.1 DNS协议概述 域名系统（DNS）是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换及有关电子邮件的选路信息。 RFC 1034 [Mockapetris 1987a] 说明了DNS的概念和功能，RFC 1035 [Mockapetris 1987b]详细说明了DNS 的规范和实现。 与其相关的还有RFC 1921和RFC 2136。 TCP/IP协议分析 * 1、DNS域名结构 因特网采用了层次树状结构的命名方法。 任何一个连接在因特网上的主机或路由器，都有一个唯一的层次结构的名字，即域名。 域名的结构由标号序列组成，各标号之间用点隔开： … . 三级域名 . 二级域名 . 顶级域名 各标号分别代表不同级别的域名。 TCP/IP协议分析 * 2、域名的解析过程 主机向本地域名服务器的查询一般都是采用递归查询。如果主机所询问的本地域名服务器不知道被查询域名的 IP 地址，那么本地域名服务器就以 DNS 客户的身份，向其他根域名服务器继续发出查询请求报文。 本地域名服务器向根域名服务器的查询通常是采用迭代查询。当根域名服务器收到本地域名服务器的迭代查询请求报文时，要么给出所要查询的 IP 地址，要么告诉本地域名服务器：“你下一步应当向哪一个域名服务器进行查询”。然后让本地域名服务器进行后续的查询。 TCP/IP协议分析 * 本地域名服务器采用迭代查询 顶级域名服务器 权限域名服务 本地域名服务器 根域名服务器 ? ? ? ? ? ? 迭代查询 ? 的 IP 地址 递归 查询 ? 需要查找 的 IP 地址 TCP/IP协议分析 * 本地域名服务器采用递归查询（比较少用） 顶级域名服务器 权限域名服务 本地域名服务器 根域名服务器 ? ? ? 递归查询 递归 查询 ? 的 IP 地址 ? ? ? ? 需要查找 的 IP 地址 TCP/IP协议分析 * 9.2 DNS报文结构 * * 标识字段由客户程序设置并由服务器返回结果。客户程序通过它来确定响应与查询是否匹配。 * 16 bit的标志字段被划分为若干子字段。 * ? QR 是1 bit字段：0表示查询报文，1表示响应报文。 ? opcode是一个4 bit字段：通常值为0（标准查询），其他值为1（反向查询）和2（服务器状态请求）。 ? AA是1 bit标志，表示“授权回答(authoritative answer)”。该名字服务器是授权于该域的。 ? TC是1 bit字段，表示“可截断的( t r u n c a t e d )”。使用U D P时，它表示当应答的总长度超过5 1 2字节时，只返回前5 1 2个字节。 ? RD是1 bit字段表示“期望递归（ recursion desired）”。该比特能在一个查询中设置，并在响应中返回。这个标志告诉名字服务器必须处理这个查询，也称为一个递归查询。如果该位为0，且被请求的名字服务器没有一个授权回答，它就返回一个能解答该查询的其他名字服务器列表，这称为迭代查询。 ? RA是1 bit字段，表示“可用递归”。如果名字服务器支持递归查询，则在响应中将该比特设置为1。在后面的例子中可看到大多数名字服务器都提供递归查询，除了某些根服务器。 * ? 随后的3 bit字段必须为0。 ? rcode是一个4 bit的返回码字段。通常的值为0（没有差错）和3（名字差错）。名字差错只有从一个授权名字服务器上返回，它表示在查询中制定的域名不存在。 * 随后的4个16 bit 字段说明最后4个变长字段中包含的条目数。对于查询报文，问题(question)数通常是1，而其他3项则均为0。类似地，对于应答报文，回答数至少是1，剩下的两项可以是0或非0。 TCP/IP协议分析 * 9.2.1 DNS查询报文中的问题部分 查询名是要查找的名字，它是一个或多个标识符的序列。每个标识符以首字节的计数值来说明随后标识符的字节长度，每个名字以最后字节为0结束，长度为0的标识符是根标识符。计数字节的值必须是0~63的数，因为标识符的最大长度仅为63。 TCP/IP协议分析 * 9.2.1 DNS查询报文中的问题部分 每个问题有一个查询类型，而每个响应（也称一个资源记录）也有一个类型。 TCP/IP协议分析 * 9.2.1 DNS查询报文中的问题部分 查询类：通常值为1，表示是互联网的地址，也就是IP协议族的地址。 TCP/IP协议分析 * 9.2.2 DNS响应报文中的资源记录部分 域名是记录中资源数据对应的名字。它的格式和前面介绍