实验三

实验三、DNS （域名解析系统），数据封装和帧测试学习目标：1. 使用Wireshark 来获取和分析的DNS 消息2. 了解DNS 如何工作3. 使用nslookup 和ipconfig 命令4.

实验三、DNS （域名解析系统），数据封装和帧测试

学习目标：

1. 使用Wireshark 来获取和分析的DNS 消息

2. 了解DNS 如何工作

3. 使用nslookup 和ipconfig 命令

4. 说明在以太网II 帧格式中的报头

5. 了解数据的封装

背景

当上层协议互相通信，主机向下发送数据到TCP / IP协议层，并在下层封装成一个协议数据单元，并最终封装在第2层帧。例如，DNS 的消息通常通过第4层UDP 协议。因此，发送主机的DNS 消息被封装在UDP 段; 该UDP 段随后被封装在IP 分组中，并且IP 包最后被封装在第2层帧。帧的组成是取决于媒介访问类型或网络。例如，如果媒介接入是以太网，那么第2层帧封装将是以太网II 帧格式。当学习数据封装和协议操作时，分析协议数据单元中的报头信息，是有帮助的。 该实验将研究DNS 协议操作，ipconfig 命令和以太网II 帧格式的报头。以太网II 帧可支持多种上层协议。

任务0 协议层和数据封装

问题1. 在TCP/ IP参考模型中，第4层，第3层和第2层的协议数据单元（PDU ）分别是：

答：

第4层的PDU ：应用层的PDU 是数据

第3层的PDU ：传输层的PDU 是数据段

第2层的PDU ：网络层的PDU 是数据包

任务1 DNS和nslookup

正如我们所讨论的，IP 地址被用于唯一地标识网络上的主机。但是IP 地址不方便记忆，这就是为什么要介绍域名。域名系统（DNS ）将主机名称转换为IP 地址，在互联网中起到关键性作用。

在此任务中，我们练习使用nslookup 工具，它在Linux / Unix和MS Windows环境下都可用。在MS Windows 中运行nslookup ，则需要通过启动命令“cmd.exe ”，打开命令行窗口。用nslookup ，你可以查询任何指定的DNS 服务器（默认情况下，本地配置的DNS 服务器）的DNS 记录。为了完成这个任务，nslookup 将发送DNS 查询指定的DNS 服务器，接收相同的DNS 服务器的DNS 答复，并显示结果。

键入命令“nslookup www.MIT.edu ” ，并获取输出，显示如下：

问题2 ：什么是用于查询并找到IP 地址为www.MIT.edu 的DNS 服务器的IP 地址？ www.MIT.edu 的IP 地址？

答：

键入命令

“nslookup -type= NS hdu.edu.cn ” ，并获取输出，显示如下：

问题3 ：什么是hdu.edu.cn 的域名服务器和IP 地址？

键入命令“ nslookup www.hdu.edu.cn dns2.hdu.edu.cn ” ，并获取输出，显示如下：

问题4：哪个DNS 服务器是用来查询和进行域名解析？

答：离该主机IP 最近的一个DNS 服务器

还可以使用nslookup

来查看IP 地址映射的主机名。键入命令“nslookup 192.168.156.101”和“nslookup course.comm.hdu.edu.cn ”，并获取输出，显示如下：

问题5 ：能否一台主机有多个主机名？moodle.tec.hkr.se 的IP 地址是多少？对于这个IP 地址有多少个域名？

答：不可以。moodle.tec.hkr.se 的IP 地址是194.47.35.25。一个域名，

任务2 DNS和ipconfig

ipconfig （适用于Windows ）和ifconfig （适用于Linux/ Unix，接口配置）是调试网络问题的最有用的工具之一。

ipconfig 可以用来显示你当前的TCP/ IP信息，包括您的地址，DNS 服务器地址，适配器（网络接口卡）类型等。例如，如果你想找到你的主机所有这些信息，只需在命令行中输入命令“ipconfig /all”。

问题6 ：您的计算机的IP 地址是什么，什么是本地DNS 服务器的IP 地址？ 答：IP Address----------- 192.168.156.34。DNS Servers----------210.32.32.10

ipconfig 也用于管理存储在主机的DNS 信息。为了提高网络性能，主机可以缓存它最近获得DNS 记录。要查看这些缓存的记录，你可以使用命令“ipconfig /displaydns”。每个条目显示剩余的生存时间（TTL ）以秒为单位。要清除高速缓存，输入命令“ipconfig /flushdns”。刷新DNS 缓存并清除所有条目，重新加载主机中的条目。

任务3 使用Wireshark 分析DNS 协议

现在是时候开始抓取DNS 协议数据，使用Wireshark 分析 。按照步骤来抓取DNS 数据包：

（1）关闭所有其他的互联网应用，以减少捕获的数据

（2）启动网络浏览器

（3）使用ipconfig 清空计算机的DNS 缓存

（4）启动Wireshark 的程序，并输入显示过滤器“ip.addr==192.168.0.100 and dns”，其中的IP 地址192.168.0.100是您的计算机的IP 地址，在问题6中找到

（5）开始在Wireshark 中抓包

（6）输入URL 地址http://www.ietf.org到Web 浏览器来查看该页面

（7）停止抓包

得到进行此操作的以下截图：

回答下列问题：

问题7：查找www.ietf.org 的DNS 查询和响应，发送的是UDP 还是TCP ？ 答：

UDP

问题8： DNS 查询消息的目的端口号是多少？DNS 响应消息的源端口号是多少？ 答：

问题9：DNS 查询消息向哪个IP 地址发送请求？利用ipconfig 来确定你的本地DNS 服务器的IP 地址, 这两个IP 地址相同吗？

答：210.32.32.10 相同

问题10：检查DNS 查询消息, 这个DNS 查询是什么类型？这个查询消息期望什么回答？

答：A 类型

问题11：检查DNS 响应消息, 这个消息提供了多少回答？每一个回答包括了什么 答：3个

任务4以太网帧测试

以太网帧的格式如下所示：

在Wireshark 中在最后的任务完成抓取的DNS 数据包，展开帧信息，

它表明，包含在以太网帧的数据是IP 分组；包含在IP 包中的数据是一个UDP

段，且在UDP 段数据是DNS 消息！总的帧长度是72字节（不包括CRC 奇偶校验位）。

对于包含DNS 查询消息的以太网帧www.ietf.org ，回答下列问题：

问题12：什么是目标MAC 地址？什么是它的NIC 制造商，什么是NIC 序列号？ 答：目标MAC 地址即接受信息主机的硬件地址，MAC(Medium/Media Access Control)地址，用来表示互联网上每一个站点的标识符，采用十六进制数表示，共六个字节（48位）。其中，前三个字节是由IEEE 的注册管理机构RA 负责给不同厂家分配的代码(高位24位) ，也称为“编制上唯一的标识符”（Organizationally Unique Identifier) ，后三个字节(低位24位) 由各厂家自行指派给生产的适配器接口，称为扩展标识符（唯一性）。前24位叫做组织唯一标志符（Organizationally Unique Identifier,即OUI ），是识别LAN （局域网）节点的标识。后24位是由厂家自己分配。

问题13：什么是源MAC 地址？什么是它的NIC 制造商，什么是NIC 序列号？ 答：源MAC 地址即发送消息主机的硬件地址，即生产网络接口卡NIC 的制造商，NIC 序列号记录的是NIC 的出厂信息。

问题14：什么是类型字段中的值？这个值什么意思？

答：A 类型，指的是IPv4

现在，将Wireshark 中改为“arp ”，这样只有ARP 报文显示，例如，得到显示过滤器：

找到一个广播ARP 报文，并检查以太网帧头，回答以下问题：

问题15：什么是目标MAC 地址？这个地址有什么特别的？这是什么意思？ 答：目标MAC 地址即接收信息方的硬件地址，MAC 地址是唯一的，标记该主机的标志

问题16：什么是源MAC 地址？什么是它的NIC 制造商，什么是NIC 序列号？它是一个单播地址吗？为什么呢？

答：源MAC 地址即发送方的硬件地址，NIC 制造商即适配器的制造厂家，NIC 序列号记录NIC 出厂信息，不是，广播形式，

问题17：什么是类型字段中的值？这个值有什么意思？

答：

ARP 指的是用的是地址解析协议