DNS抓包及檢視（tcpdump）

1. 抓包，抓包時過濾出dns服務的埠53即可。

2. 根據抓到的包檢視dns伺服器：

jva82ugigc9hva8是一台連線在路由器下的電腦，192.168.100.1是電腦的閘道器及dns伺服器，192.168.225.37是路由器的wan介面位址，路由器的wan介面已配置公用dns伺服器8.8.8.8、114.114.114.114，192.168.225.1是路由器的上級。

15:56:16.777840 ip jva82ugigc9hva8.lan.52705 > 192.168.100.1.53: 4510+ a? blog.sina.com.cn. (34)

15:56:16.778647 ip 192.168.225.37.23588 > 192.168.225.1.53: 13737+ a? blog.sina.com.cn. (34)

15:56:16.812663 ip 192.168.225.1.53 > 192.168.225.37.23588: 13737 2/0/0 cname blogx.sina.com.cn., a 123.126.45.92 (70)

15:56:16.813141 ip 192.168.100.1.53 > jva82ugigc9hva8.lan.52705: 4510 2/0/0 cname blogx.sina.com.cn., a 123.126.45.92 (70)

15:56:16.813192 ip 192.168.100.1.53 > jva82ugigc9hva8.lan.52705: 4510 2/0/0 cname blogx.sina.com.cn., a 123.126.45.92 (70)

這裡可以看出解析出ip的dns伺服器是192.168.225.1，53是其埠。

15:56:49.431590 ip jva82ugigc9hva8.lan.60251 > 192.168.100.1.53: 56569+ a? www.booking.com. (33)

15:56:49.432969 ip 192.168.225.37.59478 > public1.114dns.com.53: 20018+ a? www.booking.com. (33)

15:56:49.464038 ip public1.114dns.com.53 > 192.168.225.37.59478: 20018 2/0/0 cname www.c.booking.com., a 185.28.220.2 (69)

15:56:49.464882 ip 192.168.100.1.53 > jva82ugigc9hva8.lan.60251: 56569 2/0/0 cname www.c.booking.com., a 185.28.220.2 (69)

15:56:49.464944 ip 192.168.100.1.53 > jva82ugigc9hva8.lan.60251: 56569 2/0/0 cname www.c.booking.com., a 185.28.220.2 (69)

這裡可以看出解析出ip的dns伺服器是public1.114dns.com（114.114.114.114），53是其埠。