tink Asked: 2021-11-11 14:01:09 +0800 CST2021-11-11 14:01:09 +0800 CST 2021-11-11 14:01:09 +0800 CST Wireshark 发现 DNS 响应“拒绝” 772 我正在寻找一种方法来过滤wireshark中的数据包捕获,以应对我们的服务器以“拒绝”响应递归DNS查询的情况。 dns.resp.type==似乎没有提供任何我认为与我的要求相匹配的东西,我是否需要完全看下其他地方dns.resp? domain-name-system reverse-dns wireshark 1 个回答 Voted Best Answer Patrick Mevzek 2021-11-11T14:24:51+08:002021-11-11T14:24:51+08:00 基于https://www.wireshark.org/docs/dfref/d/dns.html您需要使用dns.flags.rcode定义为: dns.flags.rcode 回复码 无符号整数,2字节1.0.0到3.4.9 “回复代码”在 §4.1.1 中定义。RFC 1035 作为“响应代码”,“拒绝”为值 5: 5 拒绝 - 名称服务器出于策略原因拒绝执行指定的操作。例如,名称服务器可能不希望向特定请求者提供信息,或者名称服务器可能不希望对特定数据执行特定操作(例如,区域传输)。 由于 Wireshark 将其定义为 2 个字节,也许它是 RFC 中描述的整个结构: 1 1 1 1 1 1 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ | ID | +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ |QR| Opcode |AA|TC|RD|RA| Z | RCODE | +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ 因此,要RCODE与值 5 进行比较,您可能必须屏蔽其他位。
基于https://www.wireshark.org/docs/dfref/d/dns.html您需要使用
dns.flags.rcode定义为:“回复代码”在 §4.1.1 中定义。RFC 1035 作为“响应代码”,“拒绝”为值 5:
由于 Wireshark 将其定义为 2 个字节,也许它是 RFC 中描述的整个结构:
因此,要
RCODE与值 5 进行比较,您可能必须屏蔽其他位。