Activitat AC100 - Anàlisi del Protocol DNS
Objectiu
Analitzar el funcionament del protocol DNS i els apartats dels missatges query-answer que composen el protocol.
Instruccions
Utilitzeu el fitxer PCAP adjunt a l'exercici i el programa Wireshark per analitzar-lo.
Important Wireshark
Un cop ho hàgiu entès, us animo a fer captures DNS en temps real i analitzar-les. Saber treballar amb Wireshark és molt important per la gent que vulgui dedicar-se a Ciber o temes de xarxa
Introducció al Protocol DNS
Tal com hem vist a teoria, el DNS utilitza habitualment el protocol UDP, excepte en casos puntuals on utilitza el TCP, i sempre pel port 53. El sistema de funcionament és de consulta-resposta (query-answer) i cal que coneguem els diferents tipus de missatge DNS existents.
Estructura dels Missatges DNS
Els apartats que composen un missatge DNS són:

-
HEADER: capçalera del missatge que indica si és consulta o resposta. Conté l'ID del missatge, els flags i un resum de quines seccions del missatge porten informació i quanta.
-
QUESTION: aquesta secció conté la consulta que s'ha efectuat.
-
ANSWER: secció que conté la resposta del servidor. Aquesta s'emplena quan la resposta és no-autoritativa.
-
AUTHORITY: aquesta secció conté la resposta del servidor quan és autoritativa.
-
ADDITIONAL: conté informació addicional per completar la resposta.
Anàlisi amb Wireshark
Per entendre-ho de forma general, podem utilitzar la captura de Wireshark adjunta en aquest exercici, i analitzar-la. Si l'obrim, i apliquem un filtre de tipus 'dns' veurem els 3 missatges que conté l'adjunt.

Observacions de la Captura
Si us hi fixeu, la núm. 15 i 19 estan relacionades, ja que una és la consulta i l'altra la resposta.
La trama 16 és un reintent de la 15, ja que és UDP i no esperem confirmació del destinatari per decidir reenviar-la o no.
Anàlisi del Primer Paquet (Consulta)
Si anem a la finestra del mig i analitzem el primer paquet, a banda de la informació de IPs i ports que sovint és important, en aquest cas ens interessa veure la informació vinculada directament al DNS, de forma que podem anar a l'apartat de Domain Name System:

En detall, a Queries, veiem el contingut, i wireshark ja ens indica que la resposta es troba a la captura núm. 19.
Anàlisi de la Resposta
Si analitzem el mateix apartat de la captura 19 trobem el següent:

En aquest cas, tenim que el servidor DNS ens ha tornat resposta, però aquesta no és autoritativa.
Exercici Pràctic
A partir d'aquí, podeu anar jugant fent visites a webs, i veureu com amb una petita visita a una única web, a partir dels enllaços que conté, etc., es generen múltiples consultes DNS.
Recursos Addicionals
Si voleu, podeu anar a https://www.zeppelinux.es/formato-de-un-mensaje-dns/ i obtenir una mica més d'informació sobre els missatges del protocol DNS.