คู่มือ Datacommunication

การทดลองท่ี 12 เรื่อง การใช้ Wireshark Software ตรวจจับ DNS Packet (Using Wireshark Software to Detect DNS Packet) วัตถปุ ระสงค์ 1. นักศึกษาสามารถแสดงวธิ ีการใช้งานคำสงั่ NSLOOKUP และ IPCONFIG ได้ 2. นักศกึ ษาสามารถแสดงวิธีการใช้งานซอฟต์แวร์ Wireshark ดกั จบั DNS แพคเกตบนเครือข่ายได้ 3. นักศกึ ษาสามารถเปรียบเทยี บผลการดกั จับ DNS แพคเกต กบั ทฤษฎีท่เี รียนได้ อธิบายการทดลอง DNS : Domain Name System เป็นระบบท่ีใช้เก็บขอ้ มูลของชอื่ โดเมน (โดเมนเนม) ซง่ึ ใชใ้ นเครอื ข่าย ขนาดใหญ่อยา่ งอนิ เทอรเ์ นต็ โดยขอ้ มลู ทเี่ ก็บมีหลายอยา่ ง แต่สง่ิ สำคญั คือความสัมพันธร์ ะหวา่ งชอ่ื โดเมนนัน้ ๆ กับ หมายเลขไอพีที่ใช้งานอยู่ คำว่า DNS สามารถแทนความหมายได้ทง้ั Domain Name Service (บรกิ ารชือ่ โดเมน) และ Domain Name Server (เครื่องบริการช่อื โดเมน) อีกดว้ ย ประโยชน์ทสี่ ำคัญของ DNS คือชว่ ยแปลง หมายเลขไอพีซ่งึ เป็นชุดตัวเลขทจี่ ดจำได้ยาก เชน่ 192.168.1.1 มาเปน็ ช่ือท่สี ามารถจดจำได้งา่ ยแทน รปู ที่ 1 แสดงโครงสรา้ งระบบฐานข้อมลู ในระบบ DNS ในการทดลองน้ีเป็นการทดลองใช้ซอฟแวร์ Wireshark ตรวจจบั DNS แพกเกต และทดลองใช้คำสั่ง nslookup และ ipconfig ผ่านทาง Command line เม่อื ใชผ้ า่ นระบบปฏิบตั ิการ Linux/Unix หรือ ผา่ นทาง Command Prompt ในกรณใี ชร้ ะบบปฏิบตั ิการ Microsoft Windows ส่วนการใชง้ านคำสัง่ เบอื้ งต้นมรี ูปแบบ ดังนี้ คำสัง่ nslookup www.mit.edu เป็นคำสัง่ ดูคา่ IP Address ของโฮสท์ www.mit.edu คำสง่ั nslookup –type=NS mit.edu เป็นคำสั่งดู Name Server ของโดเมน mit.edu คำสั่ง nslookup www.aiit.or.kr bitsy.mit.edu เปน็ คำสั่งดคู ่า IP Address ของโฮสท์ www.aiit.or.kr ผา่ น Name Server bitsy.mit.edu โดยรปู ที่ 2 แสดงตัวอยา่ งของการใชค้ ำสง่ั ดังกลา่ ว อุปกรณ์ท่ีใช้ในการทดลอง 1. เคร่อื งคอมพวิ เตอรท์ ีเ่ ชื่อมต่อเครอื ขา่ ยอินเทอรเ์ นต็ 1 เครื่อง 2. ซอฟตแ์ วรต์ รวจจบั แพคเกต Wireshark 1 ชุด

nslookup www.mit.edu nslookup – type=NS mit.edu nslookup www.aiit.or.kr รปู ท่ี 2 ตัวอย่างการใช้คำสง่ั เพื่อใช้งานฐานขอ้ มลู ในระบบ DNS ขั้นตอนการทดลอง ขั้นตอนที่ 1 : การใช้งานคำสงั่ nslookup 1. ไปที่ Command line ปอ้ นคำส่งั nslookup เพอ่ื ใชห้ าคา่ IP address ของ www.kmitl.ac.th C:\\>nslookup www.kmitl.ac.th บนั ทึกผล C:\\Users\\Sukanya>nslookup www.kmitl.ac.th Server: ns1.portal.trueinternet.co.th Address: 10.42.254.5 Non-authoritative answer: Name: www.kmitl.ac.th Address: 161.246.34.11 IP Address ของ www.kmitl.ac.th คือ 161.246.34.11 2. ไปที่ Command line ป้อนคำสงั่ nslookup เพอ่ื ใชห้ า Authoritative DNS ของโดเมน kmitl.ac.th C:\\>nslookup -type=NS kmitl.ac.th

บันทกึ ผล Server: ns1.portal.trueinternet.co.th Address: 10.42.254.5 Non-authoritative answer: kmitl.ac.th nameserver = sun.net.kmitl.ac.th kmitl.ac.th nameserver = clarinet.asianet.co.th kmitl.ac.th nameserver = ns1.kmitl.ac.th kmitl.ac.th nameserver = moon.net.kmitl.ac.th โดเมน kmitl.ac.th มี Name Server จำนวน 4 ตัว IP Address 161.246.52.50 ชื่อของ Name Server ตัวท่ี 1 คือ sun.net.kmitl.ac.th IP Address 203.144.225.242 IP Address 161.246.52.21 ชอ่ื ของ Name Server ตวั ที่ 2 คอื clarinet.asianet.co.th IP Address 161.246.52.51 ชื่อของ Name Server ตัวที่ 3 คือ ns1.kmitl.ac.th ชอื่ ของ Name Server ตวั ท่ี 4 คือ moon.net.kmitl.ac.th 3. ไปท่ี Command line ปอ้ นคำสง่ั nslookup เพือ่ ใช้หาคา่ IP address ของ www.yahoo.com โดยใชฐ้ านข้อมูลของ Name Server ตวั ที่ 1 จากขอ้ 2 ในการคน้ หา C:\\>nslookup www.yahoo.com google-public-dns-a.google.com บันทึกผล C:\\Users\\Sukanya>nslookup www.yahoo.com google-public-dns-a.google.com Server: google-public-dns-a.google.com Address: 8.8.8.8 Non-authoritative answer: Name: atsv2-fp.wg1.b.yahoo.com Addresses: 2406:2000:e4:200::3006 2406:2000:e4:200::3007 106.10.178.37 106.10.178.36 Aliases: www.yahoo.com ชอ่ื เครื่องจรงิ ของ www.yahoo.com คือ atsv2-fp.wg1.b.yahoo.com IP Address ของ www.yahoo.com คือ 106.10.178.37, 106.10.178.36 ชอ่ื อ่ืนๆ ของ www.yahoo.com คือ ns3.yahoo.com,ns5.yahoo.com,ns4.yahoo.com,ns1.yahoo.com,ns2.yahoo.com ขน้ั ตอนที่ 2 : การใชง้ านคำสงั่ ipconfig 1. ไปท่ี Command line และใชค้ ำสงั่ ipconfig /all แล้วบนั ทกึ ผลทไ่ี ด้ C:\\>ipconfig /all

บันทึกผล (เฉพาะส่วนของการด์ เครือขา่ ยท่ีใชใ้ นการเชื่อมต่อ) Default Gateway . . . . . . . . . : 10.110.192.1 DHCP Server . . . . . . . . . . . : 10.110.192.1 Connection-specific DNS Suffix . : DHCPv6 IAID . . . . . . . . . . . : 65290918 Description . . . . . . . . . . . : Intel(R) Dual Band Wireless-AC 7265 DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-21-3E- Physical Address. . . . . . . . . : E4-42-A6-86-8E-A4 DHCP Enabled. . . . . . . . . . . : Yes A6-5E-E4-42-A6-86-8E-A4 Autoconfiguration Enabled . . . . : Yes DNS Servers . . . . . . . . . . . : 10.42.254.5 Link-local IPv6 Address . . . . . : fe80::b4e4:d3a7:a79a:a8a6%3(Preferred) 10.42.254.35 IPv4 Address. . . . . . . . . . . : 10.110.206.133(Preferred) NetBIOS over Tcpip. . . . . . . . : Enabled Subnet Mask . . . . . . . . . . . : 255.255.192.0 Lease Obtained. . . . . . . . . . : 21 พฤศจกิ ายน 2560 15:29:21 Lease Expires . . . . . . . . . . : 21 พฤศจกิ ายน 2560 21:49:13 C:\\>ipconfig /displaydns Time To Live . . . . : 7 บนั ทึกผล (บนั ทึกบางส่วน) Data Length . . . . . : 4 Section . . . . . . . : Answer clients1.google.com A (Host) Record . . . : 172.217.31.110 ---------------------------------------- Record Name . . . . . : clients1.google.com Record Type . . . . . : 5 Time To Live . . . . : 7 Data Length . . . . . : 8 Section . . . . . . . : Answer CNAME Record . . . . : clients.l.google.com Record Name . . . . . : clients.l.google.com Record Type . . . . . : 1 C:\\>ipconfig /flushdns C:\\>ipconfig /displaydns บนั ทกึ ผล (บนั ทกึ อกี ครงั้ สงั เกตผุ ลจากการทำ ipconfig /flushdns) Windows IP Configuration Successfully flushed the DNS Resolver Cache. ข้นั ตอนท่ี 3 : การตรวจจับ DNS Packet ดว้ ย Wireshark Software 1. กอ่ นเร่ิมทำการตรวจจบั DNS Packet จากการทอ่ งเว็บใหป้ ฏบิ ัตดิ งั นี้ - ทำการล้าง DNS Cache ของเครื่องคอมพิวเตอร์ โดยใช้คำสั่ง ipconfig /flushdns - เปิดโปรแกรมเว็บเบราเซอรแ์ ละลา้ งแคชของโปรแกรม - เปิดโปรแกรม Wireshark และใส่ข้อความ ip.addr == ip address ของเคร่อื ง && dns ในชอ่ งตัวกรอง (Filter) - เร่มิ ทำการดักจับแพกเกต - ทโี่ ปรแกรมเบราว์เซอรใ์ ส่ URL : http://www.ietf.org แล้วกด Enter เพ่อื เขา้ เว็บ - เมอื่ เบราว์เซอร์แสดงผลเรยี บรอ้ ยแลว้ หยดุ การดักจบั แพกเกต

บันทกึ ผล (รปู ภาพการ Capture frame ของ Wireshark ) ตอบคำถามตอ่ ไปน้ี และ Capture ภาพของซอฟตแ์ วร์ wireshark จากผลการทดลองเพอื่ แสดงถงึ คำ ตอบท่ตี อบ โปรโตคอลของการ query ไปยงั DNS ในช้นั Transport ใช้การเชือ่ มตอ่ แบบ UDP หรอื TCP UDP หมายเลขพอร์ตปลายทางที่ DNS สง่ query message ไปยงั DNS server 53 หมายเลขพอรต์ ต้นทางที่ DNS server ตอบ reply message กลับมา คอื 56281 IP Address ท่ี query message ไป ตรงกับ IP address ของ local DNS Server หรือไม่ ตรง ชนดิ (Type) ของ query message เป็นชนดิ อะไร (A, NS, CNAME, MX) A ใน reply message จาก DNS server มีคำตอบ ตอบกับมาก่คี ำตอบ 3 มีการสง่ query message เพื่อแปลงชอื่ www. ietf.org จำนวนกีค่ รง้ั 1 มกี ารเช่อื มตอ่ ด้วย TCP ไปยงั IP Address ทีไ่ ดจ้ ากการ reply message หรือไม่ ไม่มี

2. กอ่ นเรมิ่ ทำการตรวจจบั DNS Packet ให้ปฏิบัติดงั น้ี - ทำการล้าง DNS Cache ของเครอ่ื งคอมพวิ เตอร์ โดยใช้คำส่ัง ipconfig /flushdns - เปดิ โปรแกรม Wireshark และใส่ข้อความ ip.addr == ip address ของเครอื่ ง && dns ในช่องตัวกรอง (Filter) - เร่มิ ทำการตรวจจบั แพคเกต - พิมพค์ ำสัง่ ใน Command Line ดังน้ี C:\\>nslookup www.mit.edu - หยดุ การทำงานการดกั จับแพคเกต บันทึกผล (รูปภาพการ Capture frame ของ Wireshark ) ตอบคำถามตอ่ ไปนี้ และ Capture ภาพรายละเอียดข้อมลู จาก Wireshark ที่ได้จากผลการทดลอง โปรโตคอลของการ query ไปยงั DNS ในชน้ั Transport ใช้การเชอ่ื มต่อแบบ UDP หรอื TCP UDP หมายเลขพอรต์ ปลายทางท่ี DNS ส่ง query message ไปยัง DNS server 53 หมายเลขพอรต์ ตน้ ทางที่ DNS server ตอบ reply message กลับมา คอื 57369 IP Address ที่ query message ไป ตรงกบั IP address ของ local DNS Server หรอื ไม่ ตรง ชนิด (Type) ของ query message เปน็ ชนิดอะไร (A, NS, CNAME, MX) A ใน reply message จาก DNS server มคี ำตอบ ตอบกับมากค่ี ำตอบ 1 ใน reply message จาก DNS server มีเปน็ ข้อมูลชนิดอะไร A

3. ก่อนเรม่ิ ทำการตรวจจับ DNS Packet ใหป้ ฏบิ ตั ิดังนี้ - ทำการลา้ ง DNS Cache ของเครือ่ งคอมพิวเตอร์ โดยใช้คำส่งั ipconfig /flushdns - เปิดโปรแกรม Wireshark และใส่ข้อความ ip.addr == ip address ของเครอ่ื ง && dns ในชอ่ งตัวกรอง (Filter) - เริ่มทำการตรวจจบั แพคเกต - พมิ พ์คำสัง่ ใน Command Line ดงั น้ี C:\\>nslookup -type=NS mit.edu - หยดุ การทำงานการดกั จับแพคเกต บนั ทกึ ผล (รูปภาพการ Capture frame ของ Wireshark ) ตอบคำถามตอ่ ไปน้ี และ Capture ภาพรายละเอียดข้อมูลจาก Wireshark ที่ได้จากผลการทดลอง โปรโตคอลของการ query ไปยัง DNS ในชั้น Transport ใชก้ ารเชือ่ มตอ่ แบบ UDP หรือ TCP UDP หมายเลขพอรต์ ปลายทางที่ DNS ส่ง query message ไปยัง DNS server 53 หมายเลขพอร์ตต้นทางที่ DNS server ตอบ reply message กลับมา คือ 62539 IP Address ที่ query message ไป ตรงกับ IP address ของ local DNS Server หรือไม่ ตรง ชนดิ (Type) ของ query message เป็นชนดิ อะไร (A, NS, CNAME, MX) NS ใน reply message จาก DNS server มีคำตอบ ตอบกับมากคี่ ำตอบ 1 ใน reply message จาก DNS server มเี ป็นขอ้ มูลชนิดอะไร PTR

4. กอ่ นเรมิ่ ทำการตรวจจับ DNS Packet ให้ปฏบิ ัติดงั น้ี - ทำการล้าง DNS Cache ของเครอื่ งคอมพวิ เตอร์ โดยใชค้ ำสั่ง ipconfig /flushdns - เปิดโปรแกรม Wireshark และใส่ขอ้ ความ ip.addr == ip address ของเครื่อง && dns ในช่องตวั กรอง (Filter) - เริม่ ทำการตรวจจบั แพคเกต - พิมพ์คำส่ังใน Command Line ดงั น้ี C:\\>nslookup www.ku.ac.th google-public-dns-a.google.com - หยุดการทำงานการดกั จับแพกเกต บันทกึ ผล (รปู ภาพการ Capture frame ของ Wireshark ) ตอบคำถามตอ่ ไปน้ี และ Capture ภาพรายละเอียดข้อมูลจาก Wireshark ทีไ่ ดจ้ ากผลการทดลอง โปรโตคอลของการ query ไปยงั DNS ในช้นั Transport ใชก้ ารเช่อื มต่อแบบ UDP หรอื TCP UDP หมายเลขพอร์ตปลายทางท่ี DNS สง่ query message ไปยงั DNS server 53 หมายเลขพอรต์ ตน้ ทางที่ DNS server ตอบ reply message กลับมา คอื 64387 IP Address ท่ี query message ไป ตรงกบั IP address ของ local DNS Server หรอื ไม่ ตรง ชนิด (Type) ของ query message เป็นชนดิ อะไร (A, NS, CNAME, MX) A ใน reply message จาก DNS server มคี ำตอบ ตอบกบั มากีค่ ำตอบ 2 ใน reply message จาก DNS server มีเปน็ ขอ้ มูลชนดิ อะไร A

สรปุ ผลการทดลอง จากผลการทดลองจะพบวา่ เม�อื ใช้คาํ สั�ง nslookup ในโหมด Command Prompt เพ�อื ตรวจสอบ ip ปลายทางและ ip ทเ�ี ก�ยี วข้องกัน และคาํ ส�ังตา่ งๆในการตรวจสอบช�ือ และการลา้ ง DNS cache ดว้ ยคาํ สั�ง ipconfig/flushdns คำถามทา้ ยการทดลอง 1. จงอธบิ ายการใช้งานคำสั่ง nslookup แตล่ ะแบบที่ใชใ้ นการทดลองน้ี nslookup www........ เป็ นคาํ ส�ังเพ�อื ใช้หาคา่ IP Address ของ www นั�นๆ nslookup -type=NS ......... เป็ นคาํ สั�งท�ีใช้หา Authoritative DNS ของโดเมนนั�นๆ 2. จงอธบิ ายการใช้งานคำสัง่ ipconfig แตล่ ะแบบทใ่ี ชใ้ นการทดลองนี้ เป็ นการตรวจสอบ Windows IP Configuration วา่ มกี ารเช�ือมตอ่ กับอะไร และมี IP อะไรบ้าง 3. จงอธบิ ายความหมายของ Local DNS Server เป็ นเคร�อื งบรกิ ารแปลงชื�อเป็ นหมายเลข IP ซึ�งการแปลงชื�อนีอ� าจเกิดในเคร�อื ง Local เอง จากCache ในเครอ� ื ง Local หรอื จากเคร�อื งบรกิ ารของผู้ ใหบ้ รกิ าร

4. จาก Reply message ท่ีได้ จงอธิบายความหมายของ Name ,Type , Class ,Time to live ,Data length และ Address/Name Server 5. จงอธบิ ายความหมายของ Authoritative Name Server Name Server ทม�ี ีขอ้ มลู ของส่วนโดเมนแสดงวา่ Server นั�นเป็ นเจา้ ของโดเมน โดย Name Servers เป็ นคอมพิวเตอรท์ ี�รนั โปรแกรมจดั การฐานข้อมูลบางส่วนของ DNS โดย Name Server จะตอบการรอ้ งขอทันที โดยการหาข้อมลู ตวั เอง หรอื ส่งตอ่ การรอ้ งขอ ไปยัง Name Server อ�นื