DNS (Domain Name System) to usługa, która zamienia nazwy domenowe (np. nazwa hosta) na adresy IP i odwrotnie. W przechwyconym ruchu z Wiresharka komunikaty DNS zwykle mają bardzo charakterystyczną strukturę: pojawiają się jako zapytania (query) oraz odpowiedzi (response), a w szczegółach pakietu widoczne są pola typowe dla DNS, takie jak identyfikator transakcji, flagi oraz sekcje Questions, Answers, Authority i Additional.
W praktyce diagnostycznej technik informatyk często potwierdza DNS także przez warstwę transportową: DNS najczęściej korzysta z UDP/53 (czasem z TCP/53, np. przy większych odpowiedziach lub transferze stref). W Wiresharku pomocne są filtry wyświetlania typu dns lub warunki na port 53, a także obserwacja, czy pakiet zawiera nazwę domeny i typ zapytania (np. A/AAAA/CNAME/MX).
Dlaczego pozostałe odpowiedzi są niepasujące w tego typu identyfikacji? HTTP zwykle niesie dane aplikacyjne w postaci nagłówków i metod (GET/POST) oraz działa na portach 80/443, a nie ma sekcji "Questions/Answers" typowej dla DNS. FTP jest protokołem sesyjnym z komendami (USER, PASS, LIST) i typowo wykorzystuje port 21 (oraz dodatkowe połączenia danych), więc jego ruch wygląda inaczej niż krótkie zapytania/odpowiedzi DNS. DHCP działa zwykle na UDP 67/68 i zawiera pola takie jak transakcja DHCP, adresy oferowane oraz opcje (np. lease time, router, DNS server), a nie zapytania o rekordy domenowe.
Wskazówka egzaminacyjna: jeśli w Wiresharku widzisz ruch związany z nazwami domen, rekordami i krótkimi odpowiedziami z adresami IP, w pierwszej kolejności sprawdź, czy analizator rozpoznał warstwę aplikacyjną jako DNS i czy port/filtr potwierdzają ten trop.
