我正在使用wireshark从udp.port == 53捕获数据包。
当我做" ping Domain" name ..我可以在udp.port == 53上捕获2个数据包。
当我执行相同的ping时,我不会捕获任何我必须更改域名以捕获数据包的事情。
为什么会发生这种情况,或者实际发生了什么,为什么我会在第一时间捕获它们?
答案 0 :(得分:2)
第一次执行“ping {域名}”时,如果系统没有缓存{域名}的IP地址,它会发送DNS请求查找并获取DNS响应,第一个进入53号港口,第二个进入53号港口。
当第一次DNS查找完成后,解析器将缓存结果,以便后续尝试查找{域名} 不进行DNS查找 - 他们只会返回结果以前的DNS查找 - 因此会更快地发生,并减少网络流量和DNS服务器上的负载。它永远不会记住结果,因为该主机名的IP地址可能会改变;查找结果具有“生存时间”,并且在该时间到期后,将丢弃缓存的结果并执行新的DNS查找。
请参阅the "Record Caching" section of the Wikipedia page for DNS。