如何使用Wireshark捕获DNS数据包？

为什么需要抓取DNS数据包？

DNS（域名系统）是互联网的“电话簿”，负责将域名转换为IP地址，当网站无法访问、解析异常或遭遇DNS劫持时，抓取DNS数据包可以帮助快速定位问题，Wireshark作为开源网络协议分析工具，能直观展示DNS请求与响应的细节，是排查故障的必备技能。

第一步：安装Wireshark并选择网卡

1、访问[Wireshark官网](https://www.wireshark.org/)下载安装包，按提示完成安装。

2、打开Wireshark，在首页的“接口列表”中选择当前活跃的网卡（如Wi-Fi或以太网）。

3、双击网卡名称，开始捕获数据包。

第二步：过滤DNS流量

Wireshark默认会捕获所有经过网卡的数据，需通过过滤器缩小范围：

- 在过滤栏输入dns 并回车，仅显示DNS协议相关的数据包。

- 若需特定域名的解析记录，可输入dns.qry.name contains "example.com"（替换为目标域名）。

第三步：触发DNS请求

打开浏览器或命令行工具，访问目标域名（如ping example.com），Wireshark将实时捕获DNS请求与响应数据包。

第四步：分析DNS数据包

1、请求包（Query）：

- 展开DNS协议的详情栏，查看Queries部分，确认请求的域名及查询类型（A记录、AAAA记录等）。

2、响应包（Response）：

- 检查Answers字段，查看返回的IP地址或CNAME记录。

- 注意Status Code（如NXDOMAIN表示域名不存在）。

关键字段解析

Transaction ID：匹配请求与响应的唯一标识。

Flags：包含是否递归查询（RD）、响应是否权威（AA）等信息。

TTL（Time to Live）：DNS记录的缓存有效期（单位：秒）。

实战技巧

1、排查DNS劫持：对比响应IP与权威DNS结果（如通过dig example.com @8.8.8.8），若不一致则可能被篡改。

2、优化解析速度：分析响应时间（Wireshark的时间戳），定位延迟高的DNS服务器。

3、捕获加密DNS（DoH/DoT）：需在客户端配置代理或解密TLS流量，复杂度较高，建议从标准DNS入手。

个人观点

Wireshark抓取DNS看似简单，但实际应用中需结合网络架构理解数据流向，企业内网可能部署私有DNS服务器，需抓取对应节点的流量；公共Wi-Fi下的DNS污染则可通过对比多个DNS响应快速验证，工具的价值不在于“看到数据”，而在于用数据驱动决策——无论是优化用户体验还是加固安全防护，最后提醒：抓包可能涉及隐私，务必遵守法律法规，仅在授权范围内使用。

文章摘自：https://idc.huochengrm.cn/dns/6488.html