ai网络解读

发表于 分类于 本文字数: 4.3k 阅读时长 ≈ 4 分钟

昨天那个strace的结果,以前解读起来就是一个个去查对应的系统方法是干嘛的,各种不同flag参数到底是什么含义。

于是我把这段内容输给kimi试试

1
2
3
4
5
6
7
8
9
10
21:51:46.643879 socket(AF_INET, SOCK_DGRAM|SOCK_CLOEXEC|SOCK_NONBLOCK, IPPROTO_IP) = 5 <0.000017>
21:51:46.643914 setsockopt(5, SOL_IP, IP_RECVERR, [1], 4) = 0 <0.000006>
21:51:46.643947 connect(5, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("0.250.250.200")}, 16) = 0 <0.000042>
21:51:46.644065 ppoll([{fd=5, events=POLLOUT}], 1, {tv_sec=0, tv_nsec=0}, NULL, 0) = 1 ([{fd=5, revents=POLLOUT}], left {tv_sec=0, tv_nsec=0}) <0.000007>
21:51:46.644125 sendto(5, "_N\1\0\0\1\0\0\0\0\0\1\00223\0011\003168\003192\7in-addr\4arpa\0\0\f\0\1\0\0)\4\260\0\0\0\0\0\0", 55, MSG_NOSIGNAL, NULL, 0) = 55 <0.000095>
21:51:46.644278 ppoll([{fd=5, events=POLLIN}], 1, {tv_sec=5, tv_nsec=0}, NULL, 0) = 0 (Timeout) <5.009569>
21:51:51.653958 ppoll([{fd=5, events=POLLOUT}], 1, {tv_sec=0, tv_nsec=0}, NULL, 0) = 1 ([{fd=5, revents=POLLOUT}], left {tv_sec=0, tv_nsec=0}) <0.000010>
21:51:51.654105 sendto(5, "_N\1\0\0\1\0\0\0\0\0\1\00223\0011\003168\003192\7in-addr\4arpa\0\0\f\0\1\0\0)\4\260\0\0\0\0\0\0", 55, MSG_NOSIGNAL, NULL, 0) = 55 <0.000114>
21:51:51.654310 ppoll([{fd=5, events=POLLIN}], 1, {tv_sec=5, tv_nsec=0}, NULL, 0) = 0 (Timeout) <5.010178>
21:51:56.664628 close(5)                = 0 <0.000068>

kimi给我一个个反馈了

21:51:46.643879 socket(AF_INET, SOCK_DGRAM|SOCK_CLOEXEC|SOCK_NONBLOCK, IPPROTO_IP) = 5 <0.000017>

创建一个新的UDP套接字,设置为非阻塞模式,并指定SOCK_CLOEXEC以确保在执行exec系列函数时套接字会被关闭。

21:51:46.643914 setsockopt(5, SOL_IP, IP_RECVERR, [1], 4) = 0 <0.000006>

启用接收错误的IP数据包。

21:51:46.643947 connect(5, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr(“0.250.250.200”)}, 16) = 0 <0.000042>

将套接字连接到IP地址0.250.250.200和端口53(DNS端口)。注意,对于UDP套接字,connect调用实际上是可选的,因为UDP是无连接的协议,但在这里它被用来指定一个默认的目的地地址。

21:51:46.644065 ppoll([{fd=5, events=POLLOUT}], 1, {tv_sec=0, tv_nsec=0}, NULL, 0) = 1 ([{fd=5, revents=POLLOUT}], left {tv_sec=0, tv_nsec=0}) <0.000007

使用ppoll轮询文件描述符5,等待可写事件(POLLOUT),超时时间为0秒。

21:51:46.644125 sendto(5, “_N\1\0\0\1\0\0\0\0\0\1\00223\0011\003168\003192\7in-addr\4arpa\0\0\f\0\1\0\0)\4\260\0\0\0\0\0\0”, 55, MSG_NOSIGNAL, NULL, 0) = 55 <0.000095>

向连接的地址发送55字节的DNS反向查询数据。

21:51:46.644278 ppoll([{fd=5, events=POLLIN}], 1, {tv_sec=5, tv_nsec=0}, NULL, 0) = 0 (Timeout) <5.009569>

使用ppoll轮询文件描述符5,等待可读事件(POLLIN),超时时间为5秒。由于没有数据到达,操作超时。

21:51:51.653958 ppoll([{fd=5, events=POLLOUT}], 1, {tv_sec=0, tv_nsec=0}, NULL, 0) = 1 ([{fd=5, revents=POLLOUT}], left {tv_sec=0, tv_nsec=0}) <0.000010

再次使用ppoll轮询文件描述符5,等待可写事件,超时时间为0秒。

21:51:51.654105 sendto(5, “_N\1\0\0\1\0\0\0\0\0\1\00223\0011\003168\003192\7in-addr\4arpa\0\0\f\0\1\0\0)\4\260\0\0\0\0\0\0”, 55, MSG_NOSIGNAL, NULL, 0) = 55 <0.000114>

再次向连接的地址发送55字节的DNS反向查询数据。

21:51:51.654310 ppoll([{fd=5, events=POLLIN}], 1, {tv_sec=5, tv_nsec=0}, NULL, 0) = 0 (Timeout) <5.010178>

再次使用ppoll轮询文件描述符5,等待可读事件,超时时间为5秒。由于没有数据到达,操作超时。

21:51:56.664628 close(5) = 0 <0.000068>

关闭文件描述符为5的套接字。

这个过程显示了UDP客户端尝试发送DNS反向查询并等待响应,但最终没有收到响应,导致两次轮询操作超时。这可能是由于网络问题、DNS服务器未响应或查询的IP地址不存在等原因。

然后这里有一段”_N\1\0\0\1\0\0\0\0\0\1\00223\0011\003168\003192\7in-addr\4arpa\0\0\f\0\1\0\0)\4\260\0\0\0\0\0\0”, 我还是想知道它到底要查询什么。

于是就继续追问一下

“_N\1\0\0\1\0\0\0\0\0\1\00223\0011\003168\003192\7in-addr\4arpa\0\0\f\0\1\0\0)\4\260\0\0\0\0\0\0” 这个显示成人类可读的。

这个字符串是一个DNS反向查询的请求数据包的十六进制表示。DNS反向查询用于根据IP地址查询对应的域名。下面是对这个请求数据包的人类可读的解释:

  • _N:这是DNS请求的交易ID的前两个字符,交易ID是查询的唯一标识。
  • \1:这是查询的flags字段,它指示查询的类型和响应的期望。
  • \0\0\1:这是查询的questions部分的数量,表示有一个查询。
  • \0\0\0\0\0\1:这是查询的答案部分的数量,表示期望一个回答。
  • \00223\0011\003168\003192:这是被查询的IP地址的反向表示,每个字节之间用\分隔,转换为点分十进制表示就是192.168.1.23
  • \7in-addr\4arpa:这是域名部分,in-addr是IP地址的DNS反向查找域,arpa是根域,合起来就是in-addr.arpa
  • \0\0\f:这是查询类型,0xf是PTR记录的代码,表示请求一个指向IP地址的指针记录。
  • \0\1:这是查询类,0x1是互联网的代码。
  • \0\0)\4\260\0\0\0\0\0\0:这部分是额外的DNS请求头部信息,包括查询的权限部分数量、额外部分数量和这些部分的长度。

将上述信息转换为人类可读的形式,这个DNS反向查询请求是在询问IP地址172.18.108.70对应的PTR记录,即请求查找这个IP地址所指向的域名。

这个其实查一下<tcp/ip详解卷一>里就有。

以前这种问题得放狗查好久,除非最近一直查一样的问题,不然还得翻资料。

那其实为什么慢的超时就是因为翻查ptr记录导致的。

ptr