tcpdump出力の見方メモ

sudo tcpdump -X -S -t -n -i wlan0 -s 1024 '(port 53)' > /tmp/hoge.txt

IPヘッダ

2桁目がIPヘッダの長さ。4Byteの倍数で数える。
最小 5 : IPヘッダ長は20Byte(= 5 * 4Byte)
最大15 : IPヘッダ長は60Byte(= 15 * 4Byte)

下の例では、「5」なので、IPヘッダ長が20Byteであることを示す。

f:id:ichou1:20170826100837p:plain

UDPヘッダ

8Byte
UDPの場合、IPヘッダのプロトコルは0x11(=10進数17)

最初の2バイトがsrcポート、次の2バイトがdestポート。
下の例では、宛先ポートが0x0035(=10進数53、DNS)

f:id:ichou1:20170826102003p:plain

DNSレコード

以下は、Aレコードの問い合わせ結果。
赤枠で囲った部分がIPアドレスで、「10.7.128.129」が返ってきていることが確認できる。

f:id:ichou1:20170826103110p:plain

以下は、digコマンドによる問い合わせ結果。

/% dig www.wifi-cloud.jp

; <<>> DiG 9.9.5-3ubuntu0.15-Ubuntu <<>> www.wifi-cloud.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26418
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.wifi-cloud.jp. IN A

;; ANSWER SECTION:
www.wifi-cloud.jp. 3600 IN A 10.7.128.129

;; AUTHORITY SECTION:
wifi-cloud.jp. 3600 IN NS ns1.wifi-cloud.jp.
wifi-cloud.jp. 3600 IN NS ns2.wifi-cloud.jp.

;; ADDITIONAL SECTION:
ns1.wifi-cloud.jp. 3600 IN A 10.7.128.252
ns2.wifi-cloud.jp. 3600 IN A 10.7.128.253

;; Query time: 55 msec
;; SERVER: 10.7.128.252#53(10.7.128.252)
;; WHEN: Sat Aug 26 10:29:06 JST 2017
;; MSG SIZE rcvd: 130

/%