Como o Wireshark resolve nomes DNS?

1

Você poderia explicar como o Wireshark faz uma consulta DNS para resolver o nome de um endereço IP?

Meu problema é sobre a incompatibilidade entre o nome de domínio resolvido pelo Wireshark e aquele retornado por nslookup . Além disso, nslookup às vezes falha para certos endereços IP onde o Wireshark é bem-sucedido.

Um exemplo para esclarecer:
Um caso que eu encontrei (um dos milhares) é sobre o endereço 54.230.45.185

O Wireshark resolve-o como: dwjgneh8ogcu1.cloudfront.net (54.230.45.185) (sim, parece ser um nome de domínio gerado aleatoriamente)

As outras ferramentas resolvem de forma diferente, algo como: server-54-230-45-185.fra6.r.cloudfront.net

Estou pensando em como ou onde o Wireshark encontra esse nome de domínio.

Outro exemplo é: installer.betterinstaller.com (78.138.127.15).

    
por G-Man 07.08.2015 / 15:49

3 respostas

2

Se você abrir a guia "Editar" e selecionar "Preferências", há uma seção chamada "Resolução de nomes".

De acordo com as dicas sobre o mouse, ele usa seu próprio arquivo host, seu arquivo hosts, pacotes DNS na captura e o servidor DNS configurado no seu sistema

    
por 07.08.2015 / 16:07
1

Da documentação do Wireshark que deve responder sua primeira pergunta:

"DNS / resolução de nomes DNS simultânea (sistema / serviço de biblioteca): o Wireshark pedirá ao sistema operacional (ou à biblioteca DNS concorrente) para converter um endereço IP no nome do host associado (por exemplo, 216.239.37.99 → www. 1.google.com) O serviço DNS está usando chamadas síncronas para o servidor DNS.Então, o Wireshark irá parar de responder até que uma resposta a uma solicitação DNS seja retornada.Se possível, você pode considerar o uso da biblioteca de DNS simultânea (que não aguarde uma resposta do servidor de nomes). "

Eu não tenho nenhuma experiência pessoal com o nslookup produzindo resultados diferentes da resolução de nomes do Wireshark. Você pode, por favor, produzir um exemplo específico e elaborar?

    
por 07.08.2015 / 16:04
1

Depende do sistema operacional:

Wireshark will ask the operating system (or the concurrent DNS library), to convert an IP address to the hostname associated with it (e.g. 216.239.37.99 → www.1.google.com). The DNS service is using synchronous calls to the DNS server. So Wireshark will stop responding until a response to a DNS request is returned. If possible, you might consider using the concurrent DNS library (which won’t wait for a name server response).

Por exemplo: Linux: host - Windows: nslookup ou mesmo ping

Fonte

    
por 07.08.2015 / 15:59

Tags