Wireshark 發現 DNS 響應“拒絕”

我正在尋找一種方法來過濾wireshark中的數據包擷取，以應對我們的伺服器以“拒絕”響應遞歸DNS查詢的情況。

dns.resp.type==似乎沒有提供任何我認為與我的要求相匹配的東西，我是否需要完全看下其他地方dns.resp？

基於https://www.wireshark.org/docs/dfref/d/dns.html您需要使用dns.flags.rcode定義為：

dns.flags.rcode 回复碼 無符號整數，2字節1.0.0到3.4.9

“回复程式碼”在 §4.1.1 中定義。RFC 1035 作為“響應程式碼”，“拒絕”為值 5：

5 拒絕 - 名稱伺服器出於策略原因拒絕執行指定的操作。例如，名稱伺服器可能不希望向特定請求者提供資訊，或者名稱伺服器可能不希望對特定數據執行特定操作（例如，區域傳輸）。

由於 Wireshark 將其定義為 2 個字節，也許它是 RFC 中描述的整個結構：

                                   1  1  1  1  1  1
     0  1  2  3  4  5  6  7  8  9  0  1  2  3  4  5
   +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
   |                      ID                       |
   +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
   |QR|   Opcode  |AA|TC|RD|RA|   Z    |   RCODE   |
   +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

因此，要RCODE與值 5 進行比較，您可能必須屏蔽其他位。

引用自：https://serverfault.com/questions/1083193