Domain-Name-System

Wireshark 發現 DNS 響應“拒絕”

  • November 10, 2021

我正在尋找一種方法來過濾wireshark中的數據包擷取,以應對我們的伺服器以“拒絕”響應遞歸DNS查詢的情況。

dns.resp.type==似乎沒有提供任何我認為與我的要求相匹配的東西,我是否需要完全看下其他地方dns.resp

基於https://www.wireshark.org/docs/dfref/d/dns.html您需要使用dns.flags.rcode定義為:

dns.flags.rcode 回复碼 無符號整數,2字節1.0.0到3.4.9

“回复程式碼”在 §4.1.1 中定義。RFC 1035 作為“響應程式碼”,“拒絕”為值 5:

5 拒絕 - 名稱伺服器出於策略原因拒絕執行指定的操作。例如,名稱伺服器可能不希望向特定請求者提供資訊,或者名稱伺服器可能不希望對特定數據執行特定操作(例如,區域傳輸)。

由於 Wireshark 將其定義為 2 個字節,也許它是 RFC 中描述的整個結構:

                                   1  1  1  1  1  1
     0  1  2  3  4  5  6  7  8  9  0  1  2  3  4  5
   +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
   |                      ID                       |
   +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
   |QR|   Opcode  |AA|TC|RD|RA|   Z    |   RCODE   |
   +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

因此,要RCODE與值 5 進行比較,您可能必須屏蔽其他位。

引用自:https://serverfault.com/questions/1083193