这部分主要做的事情是使用Ethereal跟踪DNS的活动

一、实验内容

要做的事情与之前的区别在于筛选的条件是ip.addr == 当前的ip地址，这个地址的获取可以通过度娘（虽然听起来有点low的感觉，可以直接测出来），然后访问一个给定的网址，完成抓包

二、关于问题

1.定位到DNS的抓包记录，确认是采用了UDP还是TCP

从抓取内容可以很容易看到使用了UDP协议

2.DNS查询消息的目标端口是什么?DNS响应消息的源端口是什么?

从图中看出源端端口是63465，目的端口是53

3.DNS查询消息发送到哪个ip，使用ipconfig来确定

相同

4.DNS查询的类型，记录了应答的数量：

 

5.回复的dns包中关于类型和应答数量：

6.在这之后发送的TCP的包的目的地址和我们之前DNS查询到的地址是一样的吗：

DNS查询到的地址在上图可以看到，在这之后的TCP的抓包记录中，我们发现了这样的地址记录：

红框的地址就是前面DNS查询到的地址

7.网页中包含图片，在显示每个图片之前是不是都进行了DNS查询

查看了一下与DNS和我们这个网址相关的抓包记录，没有发现除了为网址寻找IP之外的其他记录，也就是对于图片来说，没有进行DNS查询

 

在命令行中运行nslookup mit.edu，查看DNS的抓包记录，发现共有几组查询和响应，这里查看最后一组。

1.查询记录中的目标端口和回复记录中的源端口

2.DNS查询信息要发送到的ip是本机上的DNS的默认地址吗

在本机上的ipconfig查找记录中没有找到，但是看到有的资料说这里应该是一致的，留个疑问吧

/*更正：查询到了DNS记录

*/

3.查询信息中的类别是什么？有没有相关应答的信息

也没有看到与应答相关的信息

4.在回复的信息中，可以看到多少应答，这些应答都包括什么？

 

重新执行指令：nslookup -type=NS mit.edu，使用Ethereal抓包，观察结果

1.查询指令发送到哪个ip地址，这个地址是默认的DNS地址吗

是我们查询到的DNS默认IP地址

2.检查查询信息中的类型，并查看是否有应答信息

可以看到这里的类型是PTR类型，没有与应答相关的信息

3.检查DNS响应消息。响应消息提供了什么MIT名称服务器?此响应消息是否还提供麻省理工学院namesers吗?

将其中两个应答展开，发现并没有提供相应的IP地址

重新输入指令 nslookup www.aiit.or.kr ip_address_of_bitsy.mit.edu并使用Ethereal，观察抓包结果

1.查询信息的目的ip是否是DNS的默认ip地址

是的

2.查询信息的类型和是否含有应答信息

3.查看回复信息中的应答有多少，都包含哪些信息

可以看到这里提供了nameservers的比较齐全的信息，只有这一个，而且仍然没有ip信息

4.刷新dns缓存之后重新执行指令nslookup www.aiit.or.kr，是否还能通过相同的nameserver得到答案

首先使用nslookup www.aiit.or.kr，效果如下

然后刷新缓存

嗯内容并没有变化