Início / server / Perguntas / 1083193
Accepted
tink
Asked: 2021-11-11 14:01:09 +0800 CST

Wireshark encontra resposta DNS "Recusada"

  • 772

Estou procurando uma maneira de filtrar uma captura de pacote no wireshark para instâncias em que nosso servidor responde com "Recusado" a uma consulta DNS recursiva.

dns.resp.type==não parece oferecer nada que eu veja como compatível com o meu pedido, eu preciso procurar em algum lugar diferente de dns.resptudo?

domain-name-system reverse-dns wireshark

1 respostas

  1. Best Answer

    Com base em https://www.wireshark.org/docs/dfref/d/dns.html você precisa usar dns.flags.rcodedefinido como:

    dns.flags.rcode Código de resposta Inteiro sem sinal, 2 bytes 1.0.0 a 3.4.9

    "Código de resposta" é definido em §4.1.1. da RFC 1035 como "código de resposta" com "Recusado" sendo o valor 5:

    5 Recusado - O servidor de nomes se recusa a executar a operação especificada por motivos de política. Por exemplo, um servidor de nomes pode não desejar fornecer as informações ao solicitante específico, ou um servidor de nomes pode não desejar realizar uma operação específica (por exemplo, transferência de zona) para dados específicos.

    Como o Wireshark o define como 2 bytes, talvez seja toda a estrutura representada no RFC:

                                        1  1  1  1  1  1
      0  1  2  3  4  5  6  7  8  9  0  1  2  3  4  5
    +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
    |                      ID                       |
    +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
    |QR|   Opcode  |AA|TC|RD|RA|   Z    |   RCODE   |
    +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

    Então, para comparar RCODEcom o valor 5, você pode ter que mascarar outros bits.

    • 2

relate perguntas