다음은 tcpdump 출력의 일부입니다.
18:34:15.429373 IP (tos 0x0, ttl 64, id 56078, offset 0, flags [DF], proto UDP (17), length 92)
172.31.8.42.47412 > 172.31.0.2.53: 3383+ [1au] A? www.yahoo.com. (64)
18:34:15.431788 IP (tos 0x0, ttl 64, id 36898, offset 0, flags [none], proto UDP (17), length 129)
172.31.0.2.53 > 172.31.8.42.47412: 3383 3/0/1 www.yahoo.com. CNAME fd-fp3.wg1.b.yahoo.com., fd-fp3.wg1.b.yahoo.com. A 98.139.180.149, fd-fp3.wg1.b.yahoo.com. A 98.139.183.24 (101)
3383+은 무슨 3/0/1뜻 인가요 [1au]?
많은 문서를 확인했지만 tcpdump알아낼 수 없습니다.
답변1
각각(즉, 순서대로):
id는 쿼리 번호 [예: 17991]에 대한 답변입니다.
- a/응답 레코드 수
- /n 네임서버 레코드 수
- 추가 레코드 수
http://nil.uniza.sk/linux-howto/using-tcpdump-diagnostic-dns-debian
("tcpdump dns"에 대한 Google 결과 #2이자 "tcpdump dns 형식"에 대한 자동 완성 제안이기도 함).
출력 형식
UDP 네임서버 요청
추가 필드가 대괄호 안에 포함될 수 있는 몇 가지 예외를 확인했습니다. 쿼리에 답변, 전거 레코드 또는 추가 레코드 섹션이 포함된 경우 ancount, nscount 또는 arcount가 "[na]", "[nn ]" 또는 "[nau]", 여기서 n은 적절한 개수입니다.
man tcpdump # a primary source document for tcpdump
"id"는 이제 다음 중 하나입니다.무작위 필드, 이전 예에서는 연속된 ID를 볼 수 있었지만. 이 필드는 패킷이 재정렬되더라도 동일한 당사자 간의 서로 다른 요청을 구별하는 데 사용할 수 있습니다.
응답 기록 개수가 일관되게 나타나는 것 같아요.
귀하의 요청에 "예외"가 표시되는 이유를 잘 모르겠습니다.