利用Java实现轻松解析DNS报文
前言
最近在做网络包分析的一个功能,其中有一点就是要判断抓包期间应用是否有存在异常的DNS解析行为,并且要写在一个使用Java语言的后端服务中,由于之前使用Go语言做过类似的事情,所以我第一反应就是这个应该实现起来比较简单,但是实际上手后,发现在Java中要拿到DNS报文还没那么容易,当然也有可能是我没有找到正确的工具,如果有方便的工具,欢迎在评论区留言。那么本文就结合我如何从网络包中拿到DNS报文,进行一个简单介绍。
一. DNS报文格式简析
DNS报文本质是UDP报文,UDP报文的格式如下所示。
而DNS相关内容,就体现在UDP报文载荷中。DNS报文分为DNS请求报文和DNS响应报文,两种报文结构一样,只是内容稍有差别,如下是DNS报文的格式。
DNS报文内容包含如下三个部分。
第一部分是基础结构部分,解释如下。
- Transaction ID。DNS报文的事务ID标识,DNS请求报文和DNS响应报文的Transaction ID是一样的,故可以通过这个ID关联DNS请求和响应报文;
- Flags。DNS报文的标志,标志由若干个含义不同的字段组成,较为常用的是第0位可以表示当前是请求DNS报文还是响应DNS报文,第12-15位可以表示响应DNS报文的Reply Code;
- Questions。问题数,表示后面Queries的数量;
- Answer RRs。回答资源记录数,表示后面Answers的数量;
- Authority RRs。授权资源记录数,表示后面Authoritative nameservers的数量;
- Additional RRs。附加资源记录数,表示后面Additional records的数量。
第二部分是问题部分,对应Queries,该部分表示DNS查询请求的问题信息,包含查询的域名Name,查询的类型Type和查询的类Class,解释如下。
Name。就是请求DNS解析的域名地址,这里的Name是一个不定长的字段,格式示意如下。
Type。表示DNS查询的资源类型,Name字段结束后的两个字节就是Type,通常关注较多的有0x0001,助记符是A,表示通过域名查询IPv4地址,以及0x001C,助记符是AAAA,表示通过域名查询IPv6地址;
Class。表示地址类型,通常为0x0001,表示互联网地址。
第三部分是资源记录部分,解释如下。
- Answers。记录域名解析出来的地址信息;
- Authoritative nameservers。记录解析该域名对应的权威名称服务器信息;
- Additional records。记录解析该域名对应的一些附加信息。
二. DNS报文解析实现
先回顾一下需求,就是需要得到应用是否存在异常的DNS解析,那么结合上面的DNS报文格式,我们的判断逻辑可以像下面这样。
- 先找到只有请求DNS报文但没有响应DNS报文的DNS解析,这是一种异常的DNS解析情况,即DNS服务器没有响应解析请求;
- 拿到响应DNS报文的Reply Code,然后根据Reply Code得到异常的DNS解析情况,Reply Code的枚举如下所示。
| Reply Code | 说明 |
|---|---|
| 0 | 正常 |
| 1 | 报文格式错误 |
| 2 | 域名服务器异常 |
| 3 | 域名不存在 |
| 4 | 解析类型Type不支持 |
| 5 | 域名服务器拒绝请求 |
计算DNS解析的请求和响应报文的时间差,得到解析耗时过长的异常情况。
那么其实我们需要的DNS报文的内容就很明确了,如下所示。
1. Transaction ID,事务ID;
2. Reply Code,响应码;
3. Name,域名;
4. Type,解析类型。
现在就开始本文的正题,如何使用Java语言来解析网络包并得到DNS报文。在Go语言中,可以使用google/gopacket来方便的拿到DNS报文,但是在Java中,要一步拿到DNS报文尚有点困难,但是可以基于如下步骤来操作。
- 基于io.pkts的工具包来解析网络包并拿到UDP报文;
- 过滤出源或目标端口号为53的UDP报文,这是因为通常DNS服务器会工作在53号端口上;
- 拿到过滤后的UDP报文的载荷,按照DNS报文的格式解析得到Transaction ID,Reply Code,Name和Type。
现在进行实操。先引入io.pkts的依赖,如下所示。
<dependency>
<groupId>io.pkts</groupId>
<artifactId>pkts-streams</artifactId>
<version>3.0.10</version>
</dependency>
<dependency>
<groupId>io.pkts</groupId>
<artifactId>pkts-core</artifactId>
<version>3.0.10</version>
</dependency>
然后基于Spring的MultipartFile来上传网络包并使用io.pkts工具解析出UDP报文,实现如下所示。
@RestController
public class FileUpload {
@PostMapping("/upload/udp")
public void uploadUdp(MultipartFile uploadFile) throws IOException {
try (InputStream inputStream = uploadFile.getInputStream()) {
GZIPInputStream gzipInputStream = new GZIPInputStream(inputStream);
Pcap pcap = Pcap.openStream(gzipInputStream);
pcap.loop(packet -> {
if (packet.hasProtocol(Protocol.UDP)) {
UDPPacket udpPacket = (UDPPacket) packet.getPacket(Protocol.UDP);
if (udpPacket.getSourcePort() == 53
|| udpPacket.getDestinationPort() == 53) {
final byte[] payloadByteArray = udpPacket.getPayload().getArray();
// 在这里根据DNS报文格式解析数据
......
}
}
return true;
});
}
}
}
解析Transaction ID的逻辑如下所示。
private String parseTransactionId(byte[] array) {
// 前两字节是Transaction ID,表示会话标识
// DNS请求报文和响应报文通过Transaction ID进行匹配
return HexUtils.toHexString(Arrays.copyOfRange(array, 0, 2));
}
解析请求或响应报文类型的逻辑如下所示。
private int parseDnsPackageType(byte[] array) {
// 第3和第4字节是Flags,表示标志
// Flags的第0位代表请求或响应的类型
// 0表示DNS请求报文,1表示DNS响应报文
String binaryString = String.format("%08d", Integer.parseInt(Integer.toBinaryString(array[2] & 0xFF)));
return Integer.parseInt(binaryString.substring(0, 1), 2);
}
解析Reply Code的逻辑如下所示。
private int parseDnsRcode(byte[] array) {
// 第3和第4字节是Flags,表示标志
// Flags的最后四位表示Reply Code
String binaryString = String.format("%08d", Integer.parseInt(Integer.toBinaryString(array[3] & 0xFF)));
return Integer.parseInt(binaryString.substring(4, 8), 2);
}
解析Type的逻辑如下所示。
private int parseDnsQueryType(byte[] array) {
// 第13字节开始,是域名,域名以0x00结尾
// 域名结束后的两个字节就代表DNS查询类型
int domainEndIndex = -1;
for (int i = 12; i < array.length; i++) {
if ((array[i] & 0xFF) == 0) {
domainEndIndex = i;
break;
}
}
String s = HexUtils.toHexString(Arrays.copyOfRange(array, domainEndIndex + 1, domainEndIndex + 3));
return Integer.parseInt(s, 16);
}
解析Name的逻辑如下所示。
private String parseDnsQueryDomain(byte[] array) {
// 从第13字节开始,遵循[域名长度][域名][域名长度][域名]...0x00的规律
// 故按照上述规律,从第13字节开始,将域名的所有组成部分获取出来并拼接
List<String> domainParts = new ArrayList<>();
int lengthIndex = 12;
do {
int partLength = array[lengthIndex] & 0xFF;
String s = new String(Arrays.copyOfRange(array, lengthIndex + 1, lengthIndex + partLength + 2)).trim();
domainParts.add(s);
lengthIndex = lengthIndex + partLength + 1;
} while ((array[lengthIndex] & 0xFF) != 0);
return String.join(".", domainParts);
}
那么至此我们期望得到的DNS报文的数据,我们就拿到了,后续就是将这些数据组装为一个Entity来方便我们在程序中使用和处理,这里就不再演示了。
总结
我使用Java语言从网络包中解析出DNS报文的步骤总结如下。
- 使用io.pkts解开网络包并过滤得到UDP报文;
- 过滤出源或目标端口号为53的UDP报文;
- 拿到过滤后的UDP报文的载荷,按照DNS报文的格式解析得到想要的DNS数据。
以上就是利用Java实现轻松解析DNS报文的详细内容,更多关于Java解析DNS报文的资料请关注脚本之家其它相关文章!
相关文章
Rest Assured 是一个基于 Java 的流行的用于测试 RESTful API 的库。这篇文章主要介绍了Java如何基于Rest Assured实现自动化测试接口,需要的可以参考一下2023-03-03
这篇文章主要介绍了Spring Gateway自定义请求参数封装的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-09-09
TreeSet是一个有序的集合,它的作用是提供有序的Set集合。这篇文章主要介绍了TreeSet使用示例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-05-05
这篇文章主要给大家介绍了SpringBoot中yml多环境配置的3种方法,文中有详细的代码示例供大家参考,对大家的学习或工作有一定的帮助,需要的朋友可以参考下2023-10-10
在本篇内容里小编给大家分享的是关于Thread线程的基础知识及常见疑惑点,对此有学习需求的朋友们可以学习参考下。2019-05-05
在我们实际工作中,总会遇到这样需求,在项目启动的时候需要做一些初始化的操作,比如初始化线程池,提前加载好加密证书等,本文主要介绍了Springboot 启动之后初始化资源的几种方法,感兴趣的可以了解一下2024-01-01
Java中java.lang.ClassCastException异常原因及解决方法
大家好,本篇文章主要讲的是Java中java.lang.ClassCastException异常原因及解决方法,感兴趣的同学赶快来看一看吧,对你有帮助的话记得收藏一下2022-01-01
不久前发现有一个java第三方库可以在一定程度上帮助我们从体力劳动中解救出来,它就是lombok。它提供了一些简单的注解,并以此来消除java中臃肿的模版代码。本文对于一些常用到的注解做了一个简要的记录,希望有更多的人enjoy it2022-07-07
这篇文章主要为大家详细介绍了Java实现简单班级管理系统,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2022-02-02
这篇文章主要介绍了Springboot如何集成knife4j实现风格化API文档,帮助大家更好的使用springboot框架,感兴趣的朋友可以了解下2020-12-12
最新评论