IT评测·应用市场-qidao123.com技术社区

标题: 学习 Wireshark 分析 Android Netlog [打印本页]

---

作者: 惊雷无声    时间: 2025-3-6 07:49
标题: 学习 Wireshark 分析 Android Netlog
Android 设备抓取的日志中，netlog 文件夹包罗.cap文件可以使用Wireshark工具检察网络日志。

Wireshark 分析 DNS 步骤

在使用Wireshark分析网路日志时，要检查DNS解析是否正常，可以按照以下步骤利用：
识别DNS查询和回应

• 使用过滤器 udp.port == 53 来检察所有DNS相关的流量，因为DNS通常基于UDP协议的53端口（除非有特殊设置使用TCP）。
  

检查DNS相应

• 检察DNS相应包，确保状态码（Status Code）为NoError（0）。这意味着查询乐成，没有错误。
  
• 在相应中，你应该能看到对应的Answer部分，列出解析出的A记录（IPv4地点）或其他记录范例（如AAAA、CNAME等）。
  

测试域名解析

• 如果需要检察特定域名的解析环境，可以使用过滤器。比方：
  1. dns.qry.name contains "example.com"

  复制代码
  这样可以过滤出包罗特定域名查询与应答的数据包。
  

分析相应时间

• 在Wireshark数据中，注意观察哀求与相应之间的时间差。若相应过慢，可能暗示网络耽误或DNS服务器性能问题。
  

结果验证

• 对比应答中的IP地点与预期值，确保解析结果正确。
  
• 若发现某些查询无应答或状态码不为NoError，需要查明是解析失败、拒绝，还是超时等原因。
  

其他信息

• CNAME跟随：若有CNAME记录，应确保CNAME能正确转换到终极A或AAAA记录。
  
• 缓存检查：若一开始没有看到DNS流量，可以检查是否存在当地缓存效应。
  

通过这些步骤，你可以判断DNS解析是否正常，并找出潜在的解析问题。如发现持续失败，可能需要检查网络毗连、确认使用的DNS服务器是否可用，或调整DNS设置（比方，更换为公共DNS）。
DNS知识

在DNS协议中，Opcode和Status Code（通常称为Response Code或Rcode）是两个不同的概念。
Opcode

• 定义：Opcode字段表现DNS消息的利用码，其值为0表现这是一个标准查询（QUERY）。
  
• 作用：指示哀求的范例，比方标准查询、反向查询等。在大多数环境下，Opcode为0就是标准查询。
  

Rcode（Response Code）

• 定义：Rcode字段在DNS相应中，指示查询的结果状态。常见的Rcode包括：
  
     
  
  • 0 (NoError)：表现无错误，查询乐成。   
    
  • 3 (NXDOMAIN)：表现域名不存在。   
    
  • 5 (Refused)：表现服务器拒绝执行查询利用。  
    
    
  
• 位置：Rcode通常是在相应消息的Flags中。
  

   

     Wireshark-Netlog-一个DNS标准查询    如上显示一个DNS标准查询，而不是查询，因此没有Rcode字段，

Answer RRs

以下是可能导致Answer RRs为0的原因：

• 未接收到相应的相应：你所截图的只是DNS查询，非相应。如果没有对应的相应显示在捕获数据中，意味着可能相应未返回或被丢弃了。
  
  
• 相应中无答案：如果你检察到的相应包内的Answer RRs为0，而Rcode为0（NoError），则表现查询可以或许乐成执行，但是哀求的记录不在服务器的DNS数据库中（比方，查询的子域可能没有设置，结果为空）。
  

分组解读

   

     DNS 信息    DNS 分组重要信息分类        分类   详情          Frame
     包罗捕获的字节数量和帧在链接层上的完整信息。这部分一般用于识别数据包在物理/数据链路层的传输细节，比方时间戳之类的信息。
        Linux cooked capture v2   描述了数据包的封装方式，用于非以太网接口的捕获，显示链路层协议范例、接口索引、链路层地点范例等。       Internet Protocol Version 4 (IPv4)    提供IP相关信息，包括源IP地点（Src: 10.89.31.165）和目标IP地点（Dst: 120.196.165.7）。检查源和目标地点是否符合预期是判断数据包路由正确的重要步骤。
eg：Internet Protocol Version 4, Src：10.89.31.165, Dst：120.196.165.7
        User Datagram Protocol (UDP)    显示UDP源端口和目标端口（Src Port: 35148, Dst Port: 53）。端口53是DNS的默认端口。
eg：User Datagram Protocol, Src Port: 35148, Dst Port: 53
        Domain Name System(DNS)    - Transaction ID: 识别哀求与相应的唯一ID（0xeb8b）。
- Flags: 显示利用码（Opcode: Standard query）和此消息是否为哀求或相应。
- Queries: 列出查询信息，包括哀求的域名和范例（如A记录），比方查询 connectivitycheck.gstatic.com 的A记录（IPv4地点）。
    怎样找到相应数据

• 数据包交互
  
     
  
  • 在Wireshark中，可以通过Transaction ID追踪到相应的DNS相应包。通常在相应的数据包列表中按这一ID进行过滤或检察。   
    
  • 点击[Response In: 7]  
    
  
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 IT评测·应用市场-qidao123.com技术社区 (https://dis.qidao123.com/)

Powered by Discuz! X3.4