Domain-Name-System
Wireshark 發現 DNS 響應“拒絕”
我正在尋找一種方法來過濾wireshark中的數據包擷取,以應對我們的伺服器以“拒絕”響應遞歸DNS查詢的情況。
dns.resp.type==
似乎沒有提供任何我認為與我的要求相匹配的東西,我是否需要完全看下其他地方dns.resp
?
基於https://www.wireshark.org/docs/dfref/d/dns.html您需要使用
dns.flags.rcode
定義為:dns.flags.rcode 回复碼 無符號整數,2字節1.0.0到3.4.9
“回复程式碼”在 §4.1.1 中定義。RFC 1035 作為“響應程式碼”,“拒絕”為值 5:
5 拒絕 - 名稱伺服器出於策略原因拒絕執行指定的操作。例如,名稱伺服器可能不希望向特定請求者提供資訊,或者名稱伺服器可能不希望對特定數據執行特定操作(例如,區域傳輸)。
由於 Wireshark 將其定義為 2 個字節,也許它是 RFC 中描述的整個結構:
1 1 1 1 1 1 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ | ID | +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ |QR| Opcode |AA|TC|RD|RA| Z | RCODE | +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
因此,要
RCODE
與值 5 進行比較,您可能必須屏蔽其他位。