如何从 tcp/udp 数据包中提取主机名？答案

【问题标题】：How to extract host name from a tcp/udp packet?如何从 tcp/udp 数据包中提取主机名？
【发布时间】：2019-06-29 04:13:57
【问题描述】：

我有一个tcp 数据包。从 tcp 标头中，我可以获得目标 IP 地址。我的目标是找到目的地的主机名。

我尝试使用下面的代码进行反向 dns 查找。

try {
    hostname = InetAddress.getByName(myIp).getHostName();
    Log.w("Host for ", myIp + " is " + hostname) ;
    }catch (UnknownHostException e){
        Log.w("Unknown Host for ", myIp);
}

上面的代码给出的输出为：

主机为：172.217.3.33 是 iad23s57-in-f1.1e100.net

W/Host for: 216.58.217.142 是 iad23s43-in-f14.1e100.net 。 . .

我希望主机名作为网站的名称。例子。 youtube.com、stackoverflow.com 等

我尝试为此使用MiniDNS 库。

ResolverResult<A> result = DnssecResolverApi.INSTANCE.resolve(hostname, A.class);

if (!result.wasSuccessful()) {
    DnsMessage.RESPONSE_CODE responseCode = result.getResponseCode();
    // Perform error handling.
    Log.d(TAG, “ Result Not successful");
    return;
}

if (!result.isAuthenticData()) {
    // Response was not secured with DNSSEC.
    Log.d(TAG, ”Result Not authentic");
    return;
}


Set<A> answers = result.getAnswers();
for (A a : answers) {
    InetAddress inetAddress = a.getInetAddress();
    // Do someting with the InetAddress, e.g. connect to.
    Log.d(TAG, InetAddress.toString());
}

上面的代码给出了以下错误：

访问被拒绝查找属性“net.dns1”

我能够解析tcp/udp 数据包以获取tcp/udp header 并获取目标地址。除了目标ip，还有什么方法可以从数据包中获取主机名？

【问题讨论】：

为什么您认为所有主机都有反向名称？这不是强制性的，因此来自 IP 的许多请求不会产生主机名。 TCP/IP 数据包中没有主机名，只有 IP 地址。除非您分析部分部分，例如如果它是 HTTP，那么您可能有一个 Host: 标头，因此有一个“目标”主机名。然而，在 TCP/IP 级别过滤类似的东西并不容易，而且使用 HTTPS 几乎是不可能的。
@PatrickMevzek 我尝试使用 MiniDNS 库从我从第一个代码中获得的规范主机名中获取实际主机名，但它只工作一次，然后显示访问被拒绝错误。在线文档显示它不适用于 Android 9 及更高版本。但它也显示以前版本的相同错误。我确实为所有查询得到了一次结果，但之后它就停止了工作。

标签： android dns vpn packet packet-sniffers

【解决方案1】：

简短的回答是，您收到了正确的主机名。要了解，您需要了解 DNS 的工作原理以及如何使用它来向本地主机分配流量。

DNS 有multiple types of records。一个特别的兴趣是：

A Record，存储主机名到 IPv4 的映射。
PTR Record，相反映射。

让我们来看一个示例并查询google.com IP：

$ dig +noall +answer google.com any

google.com.     38795   IN  NS  ns2.google.com.
google.com.     299 IN  A   172.217.16.14
google.com.     58  IN  SOA ns1.google.com. dns-admin.google.com. 281257231 900 900 1800 60
google.com.     277 IN  AAAA    2a00:1450:401b:804::200e
google.com.     38795   IN  NS  ns4.google.com.
google.com.     38795   IN  NS  ns1.google.com.
google.com.     38795   IN  NS  ns3.google.com.

标有 A 的记录是 A records。请注意，结果可能因时间和地点而异。可以应用 DNS 负载平衡。一个主机名可以解析为许多可能的其他 IP 地址或子域。

让我们进行反向查找，尝试从 IPv4 地址获取主机：

$ dig +noall +answer -x 172.217.16.14

14.16.217.172.in-addr.arpa. 85118 IN    PTR waw02s13-in-f14.1e100.net.
14.16.217.172.in-addr.arpa. 85118 IN    PTR mil02s06-in-f14.1e100.net.

返回的PTR Records 指向两个不同的主机名。这是anycast address 的示例。两台服务器具有相同的 IP 地址。这些都没有解析回 google.com 域。

它本质上是一对多映射，google.com 主机将请求的处理委托给许多不同的主机。但 DNS 不跟踪原始/主要主机。

您可以查找SOA record。

$ dig SOA mil02s06-in-f14.1e100.net

; <<>> DiG 9.10.6 <<>> SOA mil02s06-in-f14.1e100.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28298
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mil02s06-in-f14.1e100.net. IN  SOA

;; AUTHORITY SECTION:
1e100.net.      60  IN  SOA ns1.google.com. dns-admin.google.com. 281257231 900 900 1800 60

;; Query time: 38 msec
;; SERVER: 62.179.1.60#53(62.179.1.60)
;; WHEN: Wed Nov 20 14:25:16 CET 2019
;; MSG SIZE  rcvd: 114

所以你知道它属于谷歌。但是，我认为 Android SDK 没有办法进行 SOA 查询。

【讨论】：