Como o Wireshark resolve os nomes DNS?

1

Você poderia explicar como o Wireshark faz uma consulta DNS para resolver o nome de um endereço IP?

Meu problema é sobre a incompatibilidade entre o nome de domínio resolvido pelo Wireshark e o retornado por nslookup. Além disso, nslookupàs vezes falha em determinados endereços IP nos quais o Wireshark é bem-sucedido.

Um exemplo para esclarecer:
Um caso que encontrei (um dos milhares) é sobre o endereço 54.230.45.185

O Wireshark resolve como: dwjgneh8ogcu1.cloudfront.net(54.230.45.185) (sim, parece ser um nome de domínio gerado aleatoriamente)

As outras ferramentas o resolvem de maneira diferente, algo como: server-54-230-45-185.fra6.r.cloudfront.net

Então, eu estou me perguntando como ou onde o Wireshark encontra esse nome de domínio.

Outro exemplo é: installer.betterinstaller.com(78.138.127.15).

dns  wireshark 
G-Man
fonte

Respostas:

2

Se você abrir a guia "Editar" e selecionar "Preferências", haverá uma seção chamada "Resolução de nomes".

De acordo com as dicas do mouse, ele usa seu próprio arquivo host, o arquivo hosts, os pacotes DNS na captura e o servidor DNS configurado do sistema

ztk
fonte
Guillaume Husta
1

Na documentação do Wireshark, que deve responder à sua primeira pergunta:

"Resolução de nomes DNS / DNS simultâneo (serviço de sistema / biblioteca): o Wireshark solicitará ao sistema operacional (ou a biblioteca DNS simultânea) que converta um endereço IP no nome de host associado a ele (por exemplo, 216.239.37.99 → www.1.google O serviço DNS está usando chamadas síncronas para o servidor DNS. Portanto, o Wireshark deixará de responder até que uma resposta a uma solicitação DNS seja retornada. Se possível, você pode considerar o uso da biblioteca DNS simultânea (que não espera por um resposta do servidor de nomes). "

Eu não tenho nenhuma experiência pessoal com o nslookup produzindo resultados diferentes da resolução de nomes do Wireshark. Você pode, por favor, produzir um exemplo específico e elaborado?

1

Depende do sistema operacional:

O Wireshark solicitará ao sistema operacional (ou à biblioteca DNS simultânea) que converta um endereço IP no nome do host associado a ele (por exemplo, 216.239.37.99 → www.1.google.com). O serviço DNS está usando chamadas síncronas para o servidor DNS. Portanto, o Wireshark deixará de responder até que uma resposta a uma solicitação DNS seja retornada. Se possível, considere o uso da biblioteca DNS simultânea (que não esperará pela resposta do servidor de nomes).

Por exemplo: Linux: host- Windows: nslookupou mesmoping

Fonte

Prumo
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.