o significado da saída tcpdump para solicitação / resposta ao DNS

Navegue suas respostas
1

seguinte é parte da saída do tcpdump: 

18:34:15.429373 IP (tos 0x0, ttl 64, id 56078, offset 0, flags [DF], proto UDP (17), length 92)
172.31.8.42.47412 > 172.31.0.2.53: 3383+ [1au] A? www.yahoo.com. (64)
18:34:15.431788 IP (tos 0x0, ttl 64, id 36898, offset 0, flags [none], proto UDP (17), length 129)
172.31.0.2.53 > 172.31.8.42.47412: 3383 3/0/1 www.yahoo.com. CNAME fd-fp3.wg1.b.yahoo.com., fd-fp3.wg1.b.yahoo.com. A 98.139.180.149, fd-fp3.wg1.b.yahoo.com. A 98.139.183.24 (101)

qual é o significado de 3383+ , 3/0/1 e [1au] ?

Eu verifiquei muitos documentos para tcpdump , mas não consigo descobrir.

    
por sydridgm 18.03.2017 / 21:15

1 resposta

2

Respectivamente (ou seja, em ordem):

id is the answer on a query with number [e.g.] 17991

  • a/ the number of answer records
  • /n the number of name server records
  • au the number of additional records

link

(resultado # 2 do Google para "tcpdump dns", também para "tcpdump dns format", que era uma sugestão de autocompletar).

OUTPUT FORMAT

UDP Name Server Requests

A few anomalies are checked and may result in extra fields enclosed in square brackets: If a query contains an answer, authority records or additional records section, ancount, nscount, or arcount are printed as '[na]', '[nn]' or '[nau]' where n is the appropriate count.

man tcpdump  # a primary source document for tcpdump

"id" é atualmente um dos campos aleatórios , embora nos exemplos mais antigos você veja IDs sequenciais. Esse campo pode ser usado para distinguir solicitações diferentes entre as mesmas partes, mesmo quando os pacotes são reordenados.

As contagens de registros de resposta parecem consistentes para mim.

Não sei ao certo por que sua solicitação está mostrando a "anomalia".

    
por 18.03.2017 / 21:31

Tags

Execução de um programa dentro de um contêiner LXC com um usuário específico Transforming if statement in case