맨위로
와이어 샤크/와이어 샤크 - 실전 패킷 분석2012. 1. 11. 12:01

와이어샤크 - DNS 분석 ②


Goal
이번 강의에서는 DNS의 목적,패킷 구조,원리 알아보고 이지식을 바탕으로 DNS를 분석을 할수있는 능력을 기르는것을 목표로 하겠습니다.

DNS 패킷 구조 분석
앞서 알아 본듯이 DNS는 단일 전송 메커니즘을 사용하는 다른 애플리케이션과는 다르게 UDP와 TCP를 모두 사용한다. 일반적인 응답/요청은 UDP를 사용하고 전송 대역이 큰 응답/요청에는 TCP를 사용한다. 이제 DNS 패킷구조에 대해서 살펴보도록하겠다.  다음 <그림1>이 우리가 살펴볼 패킷이다.


<그림1>


 

<그림 1> 을 보면 DNS가 4개의 기본 섹션으로 구성돼 있다는것을 알수있다.
  • 질문 (Questions)
  • 응답 (Answer)
  • 권한 (Authority)
  • 추가 (Additional)

이제 DNS 패킷을 위에서 부터 차례대로 살펴보도록 하겠습니다. 


  • Transaction ID 

Transaction ID 는 DNS 쿼리와 응답에 연관된다. 사용자는 이 필드에서 DNS에 관련된 모든 것을 보기 위한 값을 필터링 할수 있다. (dns.id==0xa77f)


  • Flags 

쿼리 특성을 정의하는 수많은 필드로 구성돼 있다. Flags 의 필드에 대해서 살펴보도록 하겠다.



  • Response(Query)

쿼리/응답 비트는 요청(0) 인지 응답(1)인지 표시한다. 위의 패킷은 0 이므로 패킷이 요청이라는것을 알수 있다.
이것을 이용하여 <그림 2>와 같이 dns.flags.response==1 (응답) dns.flags.response==0 (요청) 을 표시하는 필터를 작성할수 있다.

<그림 2>



  • Opcode

Opcode는 쿼리의 유형을 지정합니다. 일번적으로 일반적인 요청에 대해 0000을 포함한다.


  • Authoritative Answer

도메인 이름에 대해 믿을 수 있는 서버로 부터의 응답임을 표시한다.



  • Truncation

응답이 길어서 잘렸는지 에대해서 알려준다. 위의 패킷을 보면 잘리지 않았다라고 나오는것을 볼수있다.
패킷이 잘리는것은 자주 볼수 없는광경이다.



 

  • Recurison Desired


재귀쿼리의 사용을 알려주는 부분인것 같다. 대부분의 DNS는 재귀 쿼리를 사용한다.



  • Recurison Available

응답에서 정의된 재귀가 사용가능 한지를 표시한다.

 

  • Reserved


이 필드는 0으로 설정된다.


  • Response Code
응답에서 오류가 존재하는지 표시한다. 다음 표는 코드에따른 값이다. 밑에 표를 보면 알수 있듯이 위의 패킷은 오류없음 을 나타내고 있다.





위에서는 패킷의 Flags 부분을 살펴보았습니다. 이제는 밑에 부분을 살펴보도록 하겠습니다.


Questions Count - 질문의 숫자를 표시합니다. 일반적으로 한 패킷당 한개의 질문을 볼수 있습니다.
Answer RRs - Answer RRs 수를 표시한다.
Authority RRs - Authority RRs 응답 수를 표시한다.
Additional RRs - Additional RRs 응답 수를 표시한다.

 

 

 


이제 Queries 부분을 살펴보도록 하겠습니다.

 

  • Name
이 필드는 결정 중인 이름을 포함합니다. 형식은 이름에서 영문자 바이트의 숫자를 표시하기 위해 숫자 구분문자를 이용하는 가변길이이다.  (3www9naver3com0 )


  • Type
쿼리의 유형을 나타내는 필드입니다. 유형은 다음 표와 같습니다.

 

 


  • Class

TCP/IP 통신에 대한 인터넷 클래스 주소를 표시하기 위해 1로 설정된다.




마치며
다음 강의에서는 ARP 트래픽에 대해서 알아보겠습니다.

 

와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크


'와이어 샤크 > 와이어 샤크 - 실전 패킷 분석' 카테고리의 다른 글

와이어샤크 - IPv4 분석  (0) 2012.01.24
와이어샤크 - ARP 분석 ②  (0) 2012.01.17
와이어샤크 - ARP 분석 ①  (0) 2012.01.12
와이어샤크 - DNS 분석 ②  (0) 2012.01.11
와이어샤크 - DNS 분석 ①  (0) 2012.01.10
와이어샤크 - TCP/IP 분석  (0) 2012.01.04

Posted by STIH
TAG , , , , , , ,
Trackback 0 Comment 0

댓글을 달아 주세요