Entre rfc1035 e wireshark , tenho uma boa ideia de como é uma consulta. Para uma consulta padrão, basicamente os campos Resposta / Autoridade / Adicional ficarão em branco. O cabeçalho contém informações gerais, incluindo quantas seções da pergunta estão incluídas.
+---------------------+
| Header |
+---------------------+
| Question | the question for the name server
+---------------------+
| Answer | RRs answering the question
+---------------------+
| Authority | RRs pointing toward an authority
+---------------------+
| Additional | RRs holding additional information
+---------------------+
O Wireshark oferece os bits e a visualização hexadecimal da consulta DNS. É uma ferramenta muito legal que eu gostaria de saber mais cedo.