以下是 tcpdump 的部分输出:
18:34:15.429373 IP (tos 0x0, ttl 64, id 56078, offset 0, flags [DF], proto UDP (17), length 92)
172.31.8.42.47412 > 172.31.0.2.53: 3383+ [1au] A? www.yahoo.com. (64)
18:34:15.431788 IP (tos 0x0, ttl 64, id 36898, offset 0, flags [none], proto UDP (17), length 129)
172.31.0.2.53 > 172.31.8.42.47412: 3383 3/0/1 www.yahoo.com. CNAME fd-fp3.wg1.b.yahoo.com., fd-fp3.wg1.b.yahoo.com. A 98.139.180.149, fd-fp3.wg1.b.yahoo.com. A 98.139.183.24 (101)
3383+和3/0/1是什么意思[1au]?
我查了很多文档tcpdump,但无法弄清楚。
答案1
分别(即按顺序):
id 是编号为 [eg] 17991 的查询的答案
- a/ 答复记录数
- /n 名称服务器记录数
- au 附加记录数
http://nil.uniza.sk/linux-howto/using-tcpdump-diagnostic-dns-debian
(“tcpdump dns”的 Google 结果#2,也是“tcpdump dns format”的自动完成建议)。
输出格式
UDP 名称服务器请求
检查了一些异常情况,可能会导致方括号中包含额外的字段:如果查询包含答案、规范记录或附加记录部分,则 ancount、nscount 或 arcount 将打印为“[na]”、“[nn]”或“[nau]”,其中 n 是适当的计数。
man tcpdump # a primary source document for tcpdump
“id”现在是其中之一随机字段,尽管在较旧的示例中您将看到连续的 ID。该字段可用于区分同一方之间的不同请求,即使数据包被重新排序。
我认为响应记录计数看起来是一致的。
我不确定为什么您的请求显示“异常”。