summary: Praktikum 2 - Hinweis 6 id: hint_2_6 categories: Hinweise tags: Wireshark status: Draft authors: Rolf Winter analytics account: UA-50831568-1

Hinweise zum Praktikum 2

Hinweis 1

Duration: 1:00

Da muss man jetzt wirklich tief in die Pakete schauen. Es ist egal ob in den Anfragen oder Antworten, denn die Namen werden immer gleich kodiert. Die Antwort findet man in der Hex-Ansicht der Pakete, die widerspiegelt, was wirklich versendet wird.

Um mehr herauszufinden, kann man sich z.B. eine beliebige Anfrage heraussuchen, die z.B. einen A-Record oder einen AAAA-Record anfragt. Dort findet man in der Paketansicht direkt unter der Paketliste, innerhalb des DNS-Teils des Pakets den Queries-Abschnitt, in dem sich auch der angefragte Name findet. Hier als Beispiel nehmen wir www.spiegel.de. Wenn man den Namen in der Detailansicht anklickt, dann wird der entsprechende Teil auch in der Hex-Ansicht darunter hervorgehoben. Rechts in der ASCII-Darstellung sollte man gleich den DNS-Namen erkennen. Was aber auch ersichtlich sein sollte ist, dass der Name leicht anders aussieht im Vergleich zum www.spiegel.de in der Detailansicht.

Zum einen beginnt der Namen mit einem nicht druckbaren Zeichen und endet mit einem nicht druckbaren Zeichen (der ASCII-Darstellung zu entnehmen). Schaut man genau in die Hex-Ansicht, dann beginnt der Name mit einer 3 und endet mit einer 0. Auch die Punkte, die die Label des Namens trennen sind keine Punkte, sondern ebenfalls nicht druckbare Zeichen. Wofür stehen die wohl?

Hinweis 2

Duration: 1:00

Die Bytes vor den Labeln entsprechen der Anzahl an Bytes dieser Label. So kann der DNS-Name geparsed werden und die 0 schliesst den Namen ab. Also für das Beispiel www.spiegel.de ist der Name kodiert als:

3 www 7 spiegel 2 de 0 wobei die Buchstaben den Wert aus der ASCII-Tabelle in der Hex-Ansicht widerspiegeln.