DNS协议详解
foxmail新版中有一个《邮件特快专递》的功能。起先搞不懂如何用,后来知道要在 工具->系统选项 那边设置 本地DNS服务器的IP地址。
觉得这个新功能蛮好用的。不需要通过SMTP代理,可以直接通过本地往邮箱所在的邮件交换器发送邮件。在暑假一开始想在VC++中实现这个功能。用IRIS截包后,发现程序后mx8.263.net发送邮箱,不知道这个是什么东西所以作罢。 后来才想到这个就是263.net的MX记录主机,原来特快专递的原理就是往这个主机上发送数据就行。
运行nslookup程序:
set type=mx
263.net
有了,有了,得到结果:
Non-authoritative answer:
263.net MX preference = 10, mail exchanger = mx06.263.net
263.net MX preference = 10, mail exchanger = mx08.263.net
263.net MX preference = 10, mail exchanger = mx09.263.net
263.net MX preference = 10, mail exchanger = mx11.263.net
263.net MX preference = 10, mail exchanger = mx12.263.net
263.net MX preference = 40, mail exchanger = mx03.263.net
263.net MX preference = 10, mail exchanger = mx01.263.net
没有错了。就是这个了。后来因为不知道怎么实现nslookup的功能,就放弃了,学了半个多月的C#。后来偶然在网上查找到了一些相关的文档。几次实验。把我的开发过程拿过来分享,我第一次写教程性文档。所以不规范之处,请大家包涵。本文涉及的域名、邮箱及IP均为真实的。
二、DNS协议原理
我认为,要想成为一个好的网络软件程序员,必须得读懂RFC文档。因为本文是面向大多广泛程序爱好者,所以我尽量从细节上写,如果高手的话,可以跳过此部分。
DNS协议的相关RFC文档:
RFC1034-《DOMAIN NAMES - CONCEPTS AND FACILITIES》
RFC1035-《DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION》
网上的计算机用形如 220.162.75.1 这样称为IP地址的数字串来标识一台计算机。而如果每次访问一台计算机都是通过输入这样的东东来访问,那不就太可怕了?以是出了DNS这样的好东东,用要指示其绑定的IP地址,当我们在浏览器内输入 http://zzsy.com 时,浏览器不知道网页该到哪里取,于是就向设定好的DNS服务器查询zzsy.com这个域名。DNS服务器会先寻找自己的记录库,如果没有发现就转向上一级DNS服务器进行查询(转发请求)。把找到后的IP告知你的浏览器。这里边浏览器查询的记录类型是A记录。RFC1035文档第11页中定义有16种记录类型,而常见的有A(地址)记录、CNAME(别名)记录、MX(邮件交换)记录。我们本篇要关心的是MX记录。
查询的过程一般是:客户向DNS服务器的53端口发送UDP报文,DNS服务器收到后进行处理,并把结果记录仍以UDP报文的形式返回过来。
此UDP报文的一般格式:
+---------------------+
| 报文头 |
+---------------------+
| 问题 | 向服务器提出的查询部分
+---------------------+
| 回答 | 服务器回复的资源记录
+---------------------+
| 授权 | 权威的资源记录
+---------------------+
| 格外的 | 格外的资源记录
+---------------------+
除了报文头是固定的12字节外,其他每一部分的长度均为不定字节数。
我们在这边关心的是报文头、问题、回答这三个部分。
其中报文头的格式:
1 1 1 1 1 1
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| ID |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|QR| Opcode |AA|TC|RD|RA| Z | RCODE |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| QDCOUNT |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| ANCOUNT |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| NSCOUNT |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| ARCOUNT |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
好家伙,是什么鬼画符!
其中最上边是位的数字标识,0-15(注意,后边的10-15写成上下的形式了,一开始我楞没看懂)。
接下来是:
ID:占16位,2个字节。此报文的编号,由客户端指定。DNS回复时带上此标识,以指示处理的对应请应请求。
QR:占1位,1/8字节。0代表查询,1代表DNS回复
Opcode:占4位,1/2字节。指示查询种类:0:标准查询;1:反向查询;2:服务器状态查询;3-15:未使用。
AA:占1位,1/8字节。是否权威回复。
TC:占1位,1/8字节。因为一个UDP报文为512字节,所以该位指示是否截掉超过的部分。
RD:占1位,1/8字节。此位在查询中指定,回复时相同。设置为1指示服务器进行递归查询。
RA:占1位,1/8字节。由DNS回复返回指定,说明DNS服务器是否支持递归查询。
Z:占3位,3/8字节。保留字段,必须设置为0。
RCODE:占4位,1/2字节。由回复时指定的返回码:0:无差错;1:格式错;2:DNS出错;3:域名不存在;4:DNS不支持这类查询;5:DNS拒绝查询;6-15:保留字段。
QDCOUNT:占16位,2字节。一个无符号数指示查询记录的个数。
ANCOUNT:占16位,2字节。一个无符号数指明回复记录的个数。
NSCOUNT:占16位,2字节。一个无符号数指明权威记录的个数。
ARCOUNT:占16位,2字节。一个无符号数指明格外记录的个数。
其中每个查询的资源记录格式:
1 1 1 1 1 1
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| |
/ QNAME /
/ /
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| QTYPE |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| QCLASS |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
QNAME:不定长,表示要查询的域名。(两边的方框用 / 来表示不定长)
QTYPE:2字节,根据RFC1035及nslookup的帮助文档,我定义以下枚举类型:
enum QueryType //查询的资源记录类型。
{
A=0x01, //指定计算机 IP 地址。
NS=0x02, //指定用于命名区域的 DNS 名称服务器。
MD=0x03, //指定邮件接收站(此类型已经过时了,使用MX代替)
MF=0x04, //指定邮件中转站(此类型已经过时了,使用MX代替)
CNAME=0x05, //指定用于别名的规范名称。
SOA=0x06, //指定用于 DNS 区域的“起始授权机构”。
MB=0x07, //指定邮箱域名。
MG=0x08, //指定邮件组成员。
MR=0x09, //指定邮件重命名域名。
NULL=0x0A, //指定空的资源记录
WKS=0x0B, //描述已知服务。
PTR=0x0C, //如果查询是 IP 地址,则指定计算机名;否则指定指向其它信息的指针。
HINFO=0x0D, //指定计算机 CPU 以及操作系统类型。
MINFO=0x0E, //指定邮箱或邮件列表信息。
MX=0x0F, //指定邮件交换器。
TXT=0x10, //指定文本信息。
AAAA=0x1c,//IPV6资源记录。
UINFO=0x64, //指定用户信息。
UID=0x65, //指定用户标识符。
GID=0x66, //指定组名的组标识符。
ANY=0xFF //指定所有数据类型。
};
QTYPE:2字节。 根据RFC1035及nslookup的帮助文档,我定义以下枚举类型:
enum QueryClass //指定信息的协议组。
{
IN=0x01, //指定 Internet 类别。
CSNET=0x02, //指定 CSNET 类别。(已过时)
CHAOS=0x03, //指定 Chaos 类别。
HESIOD=0x04,//指定 MIT Athena Hesiod 类别。
ANY=0xFF //指定任何以前列出的通配符。
};
QTYPE中的A,MX,CNAME为常用,QCLASS中的IN为常用。
其中每个回复的记录格式:
1 1 1 1 1 1
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| |
/ /
/ NAME /
| |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| TYPE |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| CLASS |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| TTL |
| |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
| RDLENGTH |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--|
/ RDATA /
/ /
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
NAME:回复查询的域名,不定长。
TYPE:回复的类型。2字节,与查询同义。指示RDATA中的资源记录类型。
CLASS:回复的类。2字节,与查询同义。指示RDATA中的资源记录类。
TTL:生存时间。4字节,指示RDATA中的资源记录在缓存的生存时间。
RDLENGTH:长度。2字节,指示RDATA块的长度。
RDATA:资源记录。不定义,依TYPE的不同,此记录的格示不同,通常一个MX记录是由一个2字节的指示该邮件交换器的优先级值及不定长的邮件交换器名组成的。
这边述说一下名称的组合形式。名称由多个标识序列组成,每一个标识序列的首字节说明该标识符的长度,接着用是ASCII码表示字符,多个序列之后由字节0表示名字结束。其中某一个标识序列的首字符的长度若是0xC0的话,表示下一字节指示不是标识符序列,而是指示接下部分在本接收包内的偏移位置。
比如 bbs.zzsy.com 以.分开bbs、zzsy、com三个部分。每个部分的长度为3、4、3
在DNS报文中的形式就如 3 b b s 4 z z s y 3 c o m 0
假如在包内的第12个字节位置存在有 4 z z s y 3 c o m 0 这样的名称了。
那此时有可能为:3 b b s 4 z z s y 0xC0 0x0C 这样的形式。
三、DNS协议实例讲解
说了这么多理论屁话,可能头都有两个大了吧。还是用一个实例的方法来说明吧。
我选用著名的网络截包及协议分析工具IRIS 4.05,您可以从我的站点上下载:
http://itboy.cn/data/Iris405Full.rar
运行Iris,点击菜单的Filters 选 Port标签页 运用 53 端口后点确定。
点击Iris工具栏上的绿色运行图标进行监听。
在windows中运行nslookup程序。
输入以下命令:
set type=mx
然后返回nslookup程序。
再输入命令:
yahoo.com.cn
会得到
yahoo.com.cn MX preference = 20, mail exchanger = mx5.mail.yahoo.com
yahoo.com.cn MX preference = 10, mail exchanger = mta-v1.mail.
● DNS报文格式:
该报文由12字节的首部和4个长度可变的字段组成。
标识字段由客户程序设置并有服务器返回结果。
16bit的标志字段 如下:
QR:0表示查询报文,1表示响应报文
Opcode:通常值为0(标准查询),其他值为1(反向查询)和2(服务器状态请求)。
AA:表示授权回答(authoritative answer).
TC:表示可截断的(truncated)
RD:表示期望递归
RA:表示可用递归
随后3bit必须为0
Rcode:返回码,通常为0(没有差错)和3(名字差错)
后面4个16bit字段说明最后4个变长字段中包含的条目数。
问题部分:
报文格式:
查询名为要查找的名字,它由一个或者多个标示符序列组成。每个标示符已首字节数的计数值来说明该标示符长度,每个名字以0结束。计数字节数必须是0~63之间。该字段无需填充字节。如:gemini.tuc.noao.edu
每个问题有一个查询类型,通常查询类型为A(由名字获得IP地址)或者PTR(获得IP地址对应的域名)
资源记录部分:
报文格式:
DNS最后3个字段,回答字段,授权字段和附加信息字段均采用资源记录RR(Resource Record)的相同格式。
域名是记录中资源数据对应的名字。它的格式和查询名字段格式相同。
类型说明R R的类型码。类通常为1,指I n t e r n e t数据。
生存时间字段是客户程序保留该资源记录的秒数。
资源数据长度说明资源数据的数量。该数据的格式依赖于类型字段的值。对于类型1(A记录)资源数据是4字节的I P地址。
● 数据包DNS 查询:(DNS query)
0000 00 19 56 6e 19 bf 00 17 a4 1a b2 e0 08 00 45 00 ..Vn.... ......E.
0010 00 3b ed c6 00 00 80 11 e3 c3 ac 15 0f 04 ac 15 .;...... ........
0020 01 f9 04 a9 00 35 00 27 2f bd 3e 3a 01 00 00 01 .....5.' /.>:....
0030 00 00 00 00 00 00 03 77 77 77 06 67 6f 6f 67 6c .......w ww.googl
0040 65 02 63 6e 00 00 01 00 01 e.cn.... .
说明:
前面三段分别为以太网包头,ip包头和UDP包头。
从0020行后面开始为DNS数据包.
3e 3a 为标识字段
01 00 为标志字段,该字段设置了TC表示该报文是可截断的。
00 01 查询报文数量为1。
00 00 00 00 00 00 表示回答,授权和额外信息都为0。
03 77 77 77 06 67 6f 6f 67 6c 65 02 63 6e 00 表示查询的名字为
www.google.com
00 01 为类型,1表示A查询
00 01 为类,1表示Internet数据。
数据包 DNS response (DNS response)
0000 00 17 a4 1a b2 e0 00 19 56 6e 19 bf 08 00 45 00 ........ Vn....E.
0010 00 78 48 af 00 00 7d 11 8b 9e ac 15 01 f9 ac 15 .xH...}. ........
0020 0f 04 00 35 04 a9 00 64 75 db 3e 3a 81 80 00 01 ...5...d u.>:....
0030 00 03 00 00 00 00 03 77 77 77 06 67 6f 6f 67 6c .......w ww.googl
0040 65 02 63 6e 00 00 01 00 01 c0 0c 00 05 00 01 00 e.cn.... ........
0050 00 05 42 00 11 02 63 6e 01 6c 06 67 6f 6f 67 6c ..B...cn .l.googl
0060 65 03 63 6f 6d 00 c0 2b 00 01 00 01 00 00 00 5f e.com..+ ......._
0070 00 04 cb d0 21 65 c0 2b 00 01 00 01 00 00 00 5f ....!e.+ ......._
0080 00 04 cb d0 21 64 ....!d
说明:
前面三段分别为以太网包头,ip包头和UDP包头。
3e 3a 为标识字段
81 80 为标志字段,其中设置了QR = 1,RD = 1,RA = 1
00 01 问题数1,00 03 回答数3,其余两个为0。
03 77 77 77 06 67 6f 6f 67 6c 65 02 63 6e 00 表示查询的名字为
www.google.com
00 01 为类型,1表示A查询
00 01 为类,1表示Internet数据。
接下来为回答报文,
c0 0c 为域名指针
00 05 表示CNAME(规范名称)
00 01 类,表示为Internet数据
00 00 05 42 生存时间
00 11 数据长度
02 63 6e 01 6c 06 67 6f 6f 67 6c 65 03 63 6f 6d 00 为数据 cn.l.google.cn