21T43 DNS w Wireshark’u [Tego nie wiesz]

Analiza Pakietów DNS

Link do artykułu.

Transkrypcja:

0:00 Wprowadzenie

0:19 Środowisko

2:13 Szczegółowe pakiety

6:15 Podsumowanie

Transkrypcja

Cześć! Jesteś ciekaw, jak wygląda szczegółowo w Wiresharku zapytanie DNS-owe? Jeżeli tak, to dzisiaj omówię w szczegółach, jak można przeanalizować tę transakcję. Mamy tutaj bardzo proste środowisko, więc nie możemy tu mówić nawet za bardzo o architekturze. Mamy PC i na nim będziemy wykonywać zapytanie DNS-owe, czyli terminal.

Zaczynamy. Materiał przygotował Mateusz, tak że dziękujemy mu za to i patrzymy, co tu się będzie działo. Nslookup jako narzędzie do odpytywania DNS-ów. Sprawdzamy pierwszy lepszy adres: idg.com.pl. Zwraca nam tutaj adres IP. Zobaczmy, jaki rodzaj odpowiedzi tu jest, odpowiedź nieautorytatywna, czyli nie możemy zweryfikować, czy ten system DNS-owy, który nam odpowiedział, jest dla nas wiarygodny, krótko mówiąc. Tym się nie przyjmujemy w dzisiejszym ćwiczeniu i jedziemy dalej. Czyli serwer, który odpytaliśmy, to jest z końcówką 0.1, taki mamy DNS ustawiony na hoście
i dostaliśmy zwrotny adres IP dla tej domeny.

Spróbujmy inną domenę. Możemy reverse DNS również wykonać, więc dlatego adresu sprawdzamy, czy się zgadza domena, zgadza się. Sprawdźmy teraz jeszcze domenę, która daje nam opcję odpowiedzi IPv6, np. Wireshark. Zobaczmy, co nam tutaj pokazuje. Czyli mamy tutaj zwrócone dla zapytania wireshark.org adresy trzy dla IPv4, czyli widać, że tutaj jest już jakiś rodzaj balancingu dla tej nazwy domenowej, balancing na poziomie DNS-a -i mamy tutaj widać również adresy IPv6. To zajmijmy się teraz szczegółowymi pakietami, które będziemy obserwować w ramach protokołu DNS, czyli ograniczamy sobie w Whiresharku odpytania DNS-owe. I analizujemy dla wireshark.org, widzimy tutaj, że jest zapytanie. Jest zapytanie o rekord A,
czyli podstawowy rekord DNS-owy i mamy odpowiedź dla transakcji,
identyfikator transakcji 0002, tu jest ten sam identyfikator. Odpowiedź dla rekordu A, domeny i tutaj adresy IP i typy kodu. Możesz również zauważyć,
że mamy zapytanie dla IPv6 i odpowiedź. Mamy tu identyfikator sesji 0003. I mamy odpowiedź dla tej sesji i adresy IPv6. Skupmy się jednak na IPv4
i przeanalizujmy co konkretnie ten pakiet w poszczególnych warstwach nam prezentuje. Czyli mamy widać pakiet na poziomie warstwy czwartej DNS, czyli Domain Name System (response). Mamy UDP protocol. Tu możemy zobaczyć
Transaction ID, już wcześniej pokazywałem, w tym nagłówku było też widać, czyli 0002. Standardowy, typ flaga query response, no error.

Odpowiedzi: trzy odpowiedzi. Możemy się przyjrzeć, co mam jeszcze. Na poziomie pakietu UDP mamy Source Port 53, czyli na standardowym porcie
ten DNS nam odpowiedział, co jest przewidywalne. Destination Port jest naszym adresem tego hosta, z którego odpytywaliśmy i jest to wysoki port, który jest losowy.

Idźmy dalej. Na poziomie pakietu IP wersji 4 mamy tutaj informację, że w wyższej warstwie protokół to UDP i nic tutaj jakoś specjalnie ciekawszego nie będzie. Mamy jeszcze frame, czyli ramkę 2. To jest jakby ten cały zakres
naszych danych w tym pakiecie, ale możemy się teraz przyjrzeć bardziej odpowiedzi i tym tutaj odpowiedziom w tym pakiecie, które nam dały trzy adresy IP. To zobaczmy, otwórzmy sobie. Drugi adres: 104.26.10.240, jest. Trzeci adres w trzecim oktecie: 11-również jest. Okej, mamy jedno pytanie,
trzy odpowiedzi. Jak widać, możemy rozwinąć też te trzy odpowiedzi. Typ odpowiedzi, czy tego recordu, jest A dla wszystkich z nich. Z ciekawszych rzeczy to w zasadzie jest adres. Time to live to jest tylko zabezpieczenie, więc nic
tu specjalnego więcej nie widać. Co jeszcze możemy zobaczyć tutaj na poziomie tego pakietu DNS, tej odpowiedzi: że to jest kod zapytania Standard query. Tyle możemy tutaj odczytać. Nie było błędów-Reply code: No error. Tak że jest
wszystko zgodnie z oczekiwaniem.

Na dzisiaj to tyle. Jeżeli miałbyś jakieś inne, bardziej specyficzne pytanie,
to oczywiście zachęcam Cię do napisania w komentarzu. Jeżeli jesteś ciekaw bardziej rozwinięcia teoretycznego tych zapytań, to oczywiście zapraszam Cię
do mojego podcastu. A jeżeli byś chciał przeczytać sobie w formie artykułu na stronie, to oczywiście zapraszam Cię do mojego bloga. Na dzisiaj to tyle, dziękuję Ci za uwagę i do zobaczenia już za tydzień.