Comment Wireshark résout-il les noms DNS?

1

Pouvez-vous expliquer comment Wireshark crée une requête DNS afin de résoudre le nom d'une adresse IP?

Mon problème concerne l'inadéquation entre le nom de domaine résolu par Wireshark et celui renvoyé par nslookup. De plus, nslookupparfois , certaines adresses IP échouent lorsque Wireshark réussit.

Un exemple afin de clarifier:
Un cas que j'ai trouvé (un parmi des milliers) concerne l'adresse 54.230.45.185

Wireshark le résout comme dwjgneh8ogcu1.cloudfront.netsuit : (54.230.45.185) (oui, cela semble être un nom de domaine généré aléatoirement)

Les autres outils le résolvent différemment, quelque chose comme: server-54-230-45-185.fra6.r.cloudfront.net

Je me demande donc comment et où Wireshark trouve ce nom de domaine.

Un autre exemple est: installer.betterinstaller.com(78.138.127.15).

G-Man
la source

Réponses:

2

Si vous ouvrez l'onglet "Edition" et sélectionnez "Préférences", une section intitulée "Résolution de nom" apparaît.

Selon les indications de la souris, il utilise son propre fichier hôte, votre fichier hôtes, les paquets DNS de la capture et le serveur DNS configuré de votre système.

ztk
la source
Voir aussi: ask.wireshark.org/questions/37680/…
Guillaume Husta
1

De la documentation Wireshark qui devrait répondre à votre première question:

"Résolution de noms DNS / DNS simultanés (service système / bibliothèque): Wireshark demandera au système d’exploitation (ou à la bibliothèque DNS concurrente) de convertir une adresse IP en un nom d’hôte associé (par exemple, 216.239.37.99 → www.1.google.) Le service DNS utilise des appels synchrones au serveur DNS. Par conséquent, Wireshark cessera de répondre jusqu'à ce qu'une réponse à une demande DNS soit renvoyée. Si possible, vous pouvez envisager d'utiliser la bibliothèque DNS simultanée (qui n'attendra pas une nom serveur réponse). "

Je n'ai aucune expérience personnelle avec nslookup produisant des résultats différents de la résolution de nom de Wireshark. Pouvez-vous s'il vous plaît produire un exemple spécifique et élaborer?


la source
1

Cela dépend du système d'exploitation:

Wireshark demandera au système d'exploitation (ou à la bibliothèque DNS simultanée) de convertir une adresse IP en un nom d'hôte associé (par exemple, 216.239.37.99 → www.1.google.com). Le service DNS utilise des appels synchrones au serveur DNS. Wireshark cessera donc de répondre jusqu'à ce qu'une réponse à une demande DNS soit renvoyée. Si possible, vous pouvez envisager d'utiliser la bibliothèque DNS simultanée (qui n'attendra pas une réponse du serveur de noms).

Par exemple: Linux: host- Windows: nslookupou mêmeping

La source

Bob
la source