请求/回复 DNS 的 tcpdump 输出的含义

请求/回复 DNS 的 tcpdump 输出的含义

以下是 tcpdump 的部分输出:

18:34:15.429373 IP (tos 0x0, ttl 64, id 56078, offset 0, flags [DF], proto UDP (17), length 92)
172.31.8.42.47412 > 172.31.0.2.53: 3383+ [1au] A? www.yahoo.com. (64)
18:34:15.431788 IP (tos 0x0, ttl 64, id 36898, offset 0, flags [none], proto UDP (17), length 129)
172.31.0.2.53 > 172.31.8.42.47412: 3383 3/0/1 www.yahoo.com. CNAME fd-fp3.wg1.b.yahoo.com., fd-fp3.wg1.b.yahoo.com. A 98.139.180.149, fd-fp3.wg1.b.yahoo.com. A 98.139.183.24 (101)

3383+3/0/1是什么意思[1au]

我查了很多文档tcpdump,但无法弄清楚。

答案1

分别(即按顺序):

id 是编号为 [eg] 17991 的查询的答案

  • a/ 答复记录数
  • /n 名称服务器记录数
  • au 附加记录数

http://nil.uniza.sk/linux-howto/using-tcpdump-diagnostic-dns-debian

(“tcpdump dns”的 Google 结果#2,也是“tcpdump dns format”的自动完成建议)。

输出格式

UDP 名称服务器请求

检查了一些异常情况,可能会导致方括号中包含额外的字段:如果查询包含答案、规范记录或附加记录部分,则 ancount、nscount 或 arcount 将打印为“[na]”、“[nn]”或“[nau]”,其中 n 是适当的计数。

man tcpdump  # a primary source document for tcpdump

“id”现在是其中之一随机字段,尽管在较旧的示例中您将看到连续的 ID。该字段可用于区分同一方之间的不同请求,即使数据包被重新排序。

我认为响应记录计数看起来是一致的。

我不确定为什么您的请求显示“异常”。

相关内容