读林沛满大牛的2本wireshark有感

Posted by 跳跳龙 on August 20, 2019

(文章版权归笔者跳跳龙所有,谢绝转载,请勿拾人牙慧)

wireshark这东西我觉得应该都不怎么陌生,最起码对于我来说看看流量,理解理解数据包还是难度不大。林沛满写了2本关于wireshark的书,在我看来简直就像2本小说一样,充满了极客思维。我虽然达不到作者那般对于网络的理解,当然本身我也不是网络圈子里的人,但是工作中,你确确实实会遇到那种超级神奇的bug!就像在高中我们解那些奇奇怪怪的物理数学题一样,有的时候感觉答案看似很近,却总感觉少了一点什么。

之前帮我女票解决了一个bug问题,当然了,我也是用的wireshark。当时由于她是服务器上和其他机器交互存在一些问题,就不说了。最近在写扫描器的一个子域名爆破模块,子域名爆破的原理也很简单,就是查询DNS的A记录解析。然后在wireshark中我偶然发现,为什么我的域名存在了大量的DNS请求,几乎是160倍以上。也就是我请求一个DNS的A记录,正常也就2个数据包,response告诉你有没有A记录就可以了。然而我的需要320个数据包。

你看,这个是正常情况下的。正常我应该就是一来一回的请求就可以了。

然而现实总是跟理想差的比较远,我是这个样子:

统计了一下 足足160倍 经过了一番google我也没解决,一般这个时候我都会换换脑子,或者留给第二天在解决,后来不知道哪里一根筋,开始关注了DHCP,觉得应该是我的DHCP服务器的毒?于是打开了网络配置,我一眼就发现了其中的缘由:

尼玛!这里的搜索域怎么这么多重复的DHCP和HOST。 我把这里全部删掉,问题就解决了。 事后,我又想为什么我这里这么多的搜索域,这里是干嘛的? 看了一个解释,感觉差不多。

我理解就是比如你设定搜索域之后 比如你设定了baidu.com,当你在浏览器中输入wenku,那么就直接解析到百度文库wenku.baidu.com上。 我做了个小实验:

看见没 解析wenku直接就解析到baidu上去了。 估计这个应该是公司的网络帮我加上去的。但是问题来了。为毛要加这么多啊 重点是我删了之后,没几天发现搜索域又被自动添加上了!虽然这次添加的不是很多,但是DHCP添加这么多搜索域,真的是无语!

另外,文章的最后,给大家推荐一下林沛满的2本wireshark。很好看,而且引人入胜,绝不是在罗列知识点!