奇怪的DNS请求包

shijiang1130

要不你抓包1个月存到数据库，应该所有都全了

shijiang1130

1. %%
   
2. %% %CopyrightBegin%
   
3. %%
   
4. %% Copyright Ericsson AB 1997-2009. All Rights Reserved.
   
5. %%
   
6. %% The contents of this file are subject to the Erlang Public License,
   
7. %% Version 1.1, (the "License"); you may not use this file except in
   
8. %% compliance with the License. You should have received a copy of the
   
9. %% Erlang Public License along with this software. If not, it can be
   
10. %% retrieved online at http://www.erlang.org/.
    
11. %%
    
12. %% Software distributed under the License is distributed on an "AS IS"
    
13. %% basis, WITHOUT WARRANTY OF ANY KIND, either express or implied. See
    
14. %% the License for the specific language governing rights and limitations
    
15. %% under the License.
    
16. %%
    
17. %% %CopyrightEnd%
    
18. %%
    
19. %%
    
20. %% Defintion for Domain Name System
    
21. %%
    
22. 
    
23. %%
    
24. %% Currently defined opcodes
    
25. %%
    
26. -define(QUERY,    16#0).          %% standard query
    
27. -define(IQUERY,   16#1).              %% inverse query
    
28. -define(STATUS,   16#2).              %% nameserver status query
    
29. %% -define(xxx,   16#3)  %% 16#3 reserved
    
30. %%  non standard
    
31. -define(UPDATEA,  16#9).               %% add resource record
    
32. -define(UPDATED,  16#a).               %% delete a specific resource record
    
33. -define(UPDATEDA, 16#b).               %% delete all nemed resource record
    
34. -define(UPDATEM,  16#c).               %% modify a specific resource record
    
35. -define(UPDATEMA, 16#d).               %% modify all named resource record
    
36. 
    
37. -define(ZONEINIT, 16#e).               %% initial zone transfer
    
38. -define(ZONEREF,  16#f).               %% incremental zone referesh
    
39. 
    
40. 
    
41. %%
    
42. %% Currently defined response codes
    
43. %%
    
44. -define(NOERROR,  0).                %% no error
    
45. -define(FORMERR,  1).                %% format error
    
46. -define(SERVFAIL, 2).                %% server failure
    
47. -define(NXDOMAIN, 3).                %% non existent domain
    
48. -define(NOTIMP,          4).                %% not implemented
    
49. -define(REFUSED,  5).                %% query refused
    
50. %%        non standard
    
51. -define(NOCHANGE, 16#f).                %% update failed to change db
    
52. -define(BADVERS,  16).
    
53. 
    
54. %%
    
55. %% Type values for resources and queries
    
56. %%
    
57. -define(T_A,                1).                %% host address
    
58. -define(T_NS,                2).                %% authoritative server
    
59. -define(T_MD,                3).                %% mail destination
    
60. -define(T_MF,                4).                %% mail forwarder
    
61. -define(T_CNAME,        5).                %% connonical name
    
62. -define(T_SOA,                6).                %% start of authority zone
    
63. -define(T_MB,                7).                %% mailbox domain name
    
64. -define(T_MG,                8).                %% mail group member
    
65. -define(T_MR,                9).                %% mail rename name
    
66. -define(T_NULL,                10).                %% null resource record
    
67. -define(T_WKS,                11).                %% well known service
    
68. -define(T_PTR,                12).                %% domain name pointer
    
69. -define(T_HINFO,        13).                %% host information
    
70. -define(T_MINFO,        14).                %% mailbox information
    
71. -define(T_MX,                15).                %% mail routing information
    
72. -define(T_TXT,                16).                %% text strings
    
73. -define(T_AAAA,         28).            %% ipv6 address
    
74. %% SRV (RFC 2052)
    
75. -define(T_SRV,          33).            %% services
    
76. %% NAPTR (RFC 2915)
    
77. -define(T_NAPTR,        35).            %% naming authority pointer
    
78. -define(T_OPT,          41).            %% EDNS pseudo-rr RFC2671(7)
    
79. %% SPF (RFC 4408)
    
80. -define(T_SPF,          99).            %% server policy framework
    
81. %%      non standard
    
82. -define(T_UINFO,        100).                %% user (finger) information
    
83. -define(T_UID,                101).                %% user ID
    
84. -define(T_GID,                102).                %% group ID
    
85. -define(T_UNSPEC,        103).                %% Unspecified format (binary data)
    
86. %%        Query type values which do not appear in resource records
    
87. -define(T_AXFR,                252).                %% transfer zone of authority
    
88. -define(T_MAILB,        253).                %% transfer mailbox records
    
89. -define(T_MAILA,        254).                %% transfer mail agent records
    
90. -define(T_ANY,                255).                %% wildcard match
    
91. 
    
92. %%
    
93. %% Symbolic Type values for resources and queries
    
94. %%
    
95. -define(S_A,                a).                %% host address
    
96. -define(S_NS,                ns).                %% authoritative server
    
97. -define(S_MD,                md).                %% mail destination
    
98. -define(S_MF,                mf).                %% mail forwarder
    
99. -define(S_CNAME,        cname).                %% connonical name
    
100. -define(S_SOA,                soa).                %% start of authority zone
     
101. -define(S_MB,                mb).                %% mailbox domain name
     
102. -define(S_MG,                mg).                %% mail group member
     
103. -define(S_MR,                mr).                %% mail rename name
     
104. -define(S_NULL,                null).                %% null resource record
     
105. -define(S_WKS,                wks).                %% well known service
     
106. -define(S_PTR,                ptr).                %% domain name pointer
     
107. -define(S_HINFO,        hinfo).                %% host information
     
108. -define(S_MINFO,        minfo).                %% mailbox information
     
109. -define(S_MX,                mx).                %% mail routing information
     
110. -define(S_TXT,                txt).                %% text strings
     
111. -define(S_AAAA,         aaaa).          %% ipv6 address
     
112. %% SRV (RFC 2052)
     
113. -define(S_SRV,          srv).           %% services
     
114. %% NAPTR (RFC 2915)
     
115. -define(S_NAPTR,        naptr).         %% naming authority pointer
     
116. -define(S_OPT,          opt).           %% EDNS pseudo-rr RFC2671(7)
     
117. %% SPF (RFC 4408)
     
118. -define(S_SPF,          spf).           %% server policy framework
     
119. %%      non standard
     
120. -define(S_UINFO,        uinfo).                %% user (finger) information
     
121. -define(S_UID,                uid).                %% user ID
     
122. -define(S_GID,                gid).                %% group ID
     
123. -define(S_UNSPEC,        unspec).        %% Unspecified format (binary data)
     
124. %%        Query type values which do not appear in resource records
     
125. -define(S_AXFR,                axfr).                %% transfer zone of authority
     
126. -define(S_MAILB,        mailb).                %% transfer mailbox records
     
127. -define(S_MAILA,        maila).                %% transfer mail agent records
     
128. -define(S_ANY,                any).                %% wildcard match
     
129. 
     
130. %%
     
131. %% Values for class field
     
132. %%
     
133. 
     
134. -define(C_IN,                1).              %% the arpa internet
     
135. -define(C_CHAOS,        3).                %% for chaos net at MIT
     
136. -define(C_HS,                4).                %% for Hesiod name server at MIT
     
137. %%  Query class values which do not appear in resource records
     
138. -define(C_ANY,                255).                %% wildcard match
     
139. 
     
140. 
     
141. %% indirection mask for compressed domain names
     
142. -define(INDIR_MASK, 16#c0).
     
143. 
     
144. %%
     
145. %% Structure for query header, the order of the fields is machine and
     
146. %% compiler dependent, in our case, the bits within a byte are assignd
     
147. %% least significant first, while the order of transmition is most
     
148. %% significant first.  This requires a somewhat confusing rearrangement.
     
149. %%
     
150. -record(dns_header,
     
151.         {
     
152.          id = 0,       %% ushort query identification number
     
153.          %% byte F0
     
154.          qr = 0,       %% :1   response flag
     
155.          opcode = 0,   %% :4   purpose of message
     
156.          aa = 0,       %% :1   authoritive answer
     
157.          tc = 0,       %% :1   truncated message
     
158.          rd = 0,       %% :1   recursion desired
     
159.          %% byte F1
     
160.          ra = 0,       %% :1   recursion available
     
161.          pr = 0,       %% :1   primary server required (non standard)
     
162.                        %% :2   unused bits
     
163.          rcode = 0     %% :4   response code
     
164.         }).
     
165. 
     
166. -record(dns_rec,
     
167.         {
     
168.          header,       %% dns_header record
     
169.          qdlist = [],  %% list of question entries
     
170.          anlist = [],  %% list of answer entries
     
171.          nslist = [],  %% list of authority entries
     
172.          arlist = []   %% list of resource entries
     
173.         }).
     
174. 
     
175. %% DNS resource record
     
176. -record(dns_rr,
     
177.         {
     
178.          domain = "",   %% resource domain
     
179.          type = any,    %% resource type
     
180.          class = in,    %% reource class
     
181.          cnt = 0,       %% access count
     
182.          ttl = 0,       %% time to live
     
183.          data = [],     %% raw data
     
184.           %%
     
185.          tm,            %% creation time
     
186.          bm = [],       %% Bitmap storing domain character case information.
     
187.          func = false   %% Optional function calculating the data field.
     
188.         }).
     
189. 
     
190. -define(DNS_UDP_PAYLOAD_SIZE, 1280).
     
191. 
     
192. -record(dns_rr_opt,           %% EDNS RR OPT (RFC2671), dns_rr{type=opt}
     
193.         {
     
194.           domain = "",        %% should be the root domain
     
195.           type = opt,
     
196.           udp_payload_size = ?DNS_UDP_PAYLOAD_SIZE, %% RFC2671(4.5 CLASS)
     
197.           ext_rcode = 0,      %% RFC2671(4.6 EXTENDED-RCODE)
     
198.           version = 0,        %% RFC2671(4.6 VERSION)
     
199.           z = 0,              %% RFC2671(4.6 Z)
     
200.           data = []           %% RFC2671(4.4)
     
201.          }).
     
202. 
     
203. -record(dns_query,
     
204.         {
     
205.          domain,     %% query domain
     
206.          type,        %% query type
     
207.          class      %% query class
     
208.          }).
     

复制代码

回复 19# lsstarboy


   

lsstarboy

回复 21# shijiang1130

不可能存留太长时间，我这儿一天光dns请求记录就接近2G。

抓了几分钟的包，仔细分析了一下，wireshark用的diply filter：udp && !(udp[10:2]== 01:00 || udp[10:2] == 81:80)

用的最多的就是：
请求包： 0x0100
响应包： 0x8180

还有几个：
请求失败：0x8182
未找到记录： 0x8183

还出现几个正常返回的记录：

0x8580   

再核实一下看看，如果仅有这几个的话，还是可以做个acl规则的。

polter

声明一下，我是外行。刚看到用53端口，突然想到了会不会是dnscrypt？

lsstarboy

回复 23# polter

看起来好像有可能，不知道它走的哪个协议，找个时间抓包对比一下看看。