Salta el contingut

Activitat AC100 - Anàlisi del Protocol DNS

Objectiu

Analitzar el funcionament del protocol DNS i els apartats dels missatges query-answer que composen el protocol.

Instruccions

Utilitzeu el fitxer PCAP adjunt a l'exercici i el programa Wireshark per analitzar-lo.

Important Wireshark

Un cop ho hàgiu entès, us animo a fer captures DNS en temps real i analitzar-les. Saber treballar amb Wireshark és molt important per la gent que vulgui dedicar-se a Ciber o temes de xarxa

Introducció al Protocol DNS

Tal com hem vist a teoria, el DNS utilitza habitualment el protocol UDP, excepte en casos puntuals on utilitza el TCP, i sempre pel port 53. El sistema de funcionament és de consulta-resposta (query-answer) i cal que coneguem els diferents tipus de missatge DNS existents.

Estructura dels Missatges DNS

Els apartats que composen un missatge DNS són:

Formato de un mensaje DNS

  • HEADER: capçalera del missatge que indica si és consulta o resposta. Conté l'ID del missatge, els flags i un resum de quines seccions del missatge porten informació i quanta.

  • QUESTION: aquesta secció conté la consulta que s'ha efectuat.

  • ANSWER: secció que conté la resposta del servidor. Aquesta s'emplena quan la resposta és no-autoritativa.

  • AUTHORITY: aquesta secció conté la resposta del servidor quan és autoritativa.

  • ADDITIONAL: conté informació addicional per completar la resposta.

Anàlisi amb Wireshark

Per entendre-ho de forma general, podem utilitzar la captura de Wireshark adjunta en aquest exercici, i analitzar-la. Si l'obrim, i apliquem un filtre de tipus 'dns' veurem els 3 missatges que conté l'adjunt.

Captura DNS

Observacions de la Captura

Si us hi fixeu, la núm. 15 i 19 estan relacionades, ja que una és la consulta i l'altra la resposta.

La trama 16 és un reintent de la 15, ja que és UDP i no esperem confirmació del destinatari per decidir reenviar-la o no.

Anàlisi del Primer Paquet (Consulta)

Si anem a la finestra del mig i analitzem el primer paquet, a banda de la informació de IPs i ports que sovint és important, en aquest cas ens interessa veure la informació vinculada directament al DNS, de forma que podem anar a l'apartat de Domain Name System:

Anàlisi consulta DNS

En detall, a Queries, veiem el contingut, i wireshark ja ens indica que la resposta es troba a la captura núm. 19.

Anàlisi de la Resposta

Si analitzem el mateix apartat de la captura 19 trobem el següent:

Anàlisi resposta DNS

En aquest cas, tenim que el servidor DNS ens ha tornat resposta, però aquesta no és autoritativa.

Exercici Pràctic

A partir d'aquí, podeu anar jugant fent visites a webs, i veureu com amb una petita visita a una única web, a partir dels enllaços que conté, etc., es generen múltiples consultes DNS.

Recursos Addicionals

Si voleu, podeu anar a https://www.zeppelinux.es/formato-de-un-mensaje-dns/ i obtenir una mica més d'informació sobre els missatges del protocol DNS.