Goal
DNS 패킷 구조 분석
<그림1>
<그림 1> 을 보면 DNS가 4개의 기본 섹션으로 구성돼 있다는것을 알수있다.
Transaction ID 는 DNS 쿼리와 응답에 연관된다. 사용자는 이 필드에서 DNS에 관련된 모든 것을 보기 위한 값을 필터링 할수 있다. (dns.id==0xa77f)
쿼리 특성을 정의하는 수많은 필드로 구성돼 있다. Flags 의 필드에 대해서 살펴보도록 하겠다.
쿼리/응답 비트는 요청(0) 인지 응답(1)인지 표시한다. 위의 패킷은 0 이므로 패킷이 요청이라는것을 알수 있다.
이것을 이용하여 <그림 2>와 같이 dns.flags.response==1 (응답) dns.flags.response==0 (요청) 을 표시하는 필터를 작성할수 있다.
Opcode는 쿼리의 유형을 지정합니다. 일번적으로 일반적인 요청에 대해 0000을 포함한다.
도메인 이름에 대해 믿을 수 있는 서버로 부터의 응답임을 표시한다.
응답이 길어서 잘렸는지 에대해서 알려준다. 위의 패킷을 보면 잘리지 않았다라고 나오는것을 볼수있다.
패킷이 잘리는것은 자주 볼수 없는광경이다.

- 질문 (Questions)
- 응답 (Answer)
- 권한 (Authority)
- 추가 (Additional)
- Transaction ID
Transaction ID 는 DNS 쿼리와 응답에 연관된다. 사용자는 이 필드에서 DNS에 관련된 모든 것을 보기 위한 값을 필터링 할수 있다. (dns.id==0xa77f)
- Flags
쿼리 특성을 정의하는 수많은 필드로 구성돼 있다. Flags 의 필드에 대해서 살펴보도록 하겠다.
- Response(Query)
쿼리/응답 비트는 요청(0) 인지 응답(1)인지 표시한다. 위의 패킷은 0 이므로 패킷이 요청이라는것을 알수 있다.
이것을 이용하여 <그림 2>와 같이 dns.flags.response==1 (응답) dns.flags.response==0 (요청) 을 표시하는 필터를 작성할수 있다.
<그림 2>
- Opcode
Opcode는 쿼리의 유형을 지정합니다. 일번적으로 일반적인 요청에 대해 0000을 포함한다.
- Authoritative Answer
도메인 이름에 대해 믿을 수 있는 서버로 부터의 응답임을 표시한다.
- Truncation
응답이 길어서 잘렸는지 에대해서 알려준다. 위의 패킷을 보면 잘리지 않았다라고 나오는것을 볼수있다.
패킷이 잘리는것은 자주 볼수 없는광경이다.
- Recurison Desired
재귀쿼리의 사용을 알려주는 부분인것 같다. 대부분의 DNS는 재귀 쿼리를 사용한다.
- Recurison Available
응답에서 정의된 재귀가 사용가능 한지를 표시한다.
- Reserved
이 필드는 0으로 설정된다.
- Response Code
위에서는 패킷의 Flags 부분을 살펴보았습니다. 이제는 밑에 부분을 살펴보도록 하겠습니다.

Questions Count - 질문의 숫자를 표시합니다. 일반적으로 한 패킷당 한개의 질문을 볼수 있습니다.
Answer RRs - Answer RRs 수를 표시한다.
Authority RRs - Authority RRs 응답 수를 표시한다.
Additional RRs - Additional RRs 응답 수를 표시한다.
Questions Count - 질문의 숫자를 표시합니다. 일반적으로 한 패킷당 한개의 질문을 볼수 있습니다.
Answer RRs - Answer RRs 수를 표시한다.
Authority RRs - Authority RRs 응답 수를 표시한다.
Additional RRs - Additional RRs 응답 수를 표시한다.
이제 Queries 부분을 살펴보도록 하겠습니다.
- Name
- Type
- Class
TCP/IP 통신에 대한 인터넷 클래스 주소를 표시하기 위해 1로 설정된다.
마치며
와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크
'와이어 샤크 > 와이어 샤크 - 실전 패킷 분석' 카테고리의 다른 글
와이어샤크 - IPv4 분석 (0) | 2012.01.24 |
---|---|
와이어샤크 - ARP 분석 ② (0) | 2012.01.17 |
와이어샤크 - ARP 분석 ① (0) | 2012.01.12 |
와이어샤크 - DNS 분석 ② (0) | 2012.01.11 |
와이어샤크 - DNS 분석 ① (0) | 2012.01.10 |
와이어샤크 - TCP/IP 분석 (0) | 2012.01.04 |
댓글을 달아 주세요