中國科技論文在線 http://www.paper.edu.cn基于DNS 協議分析的流量監(jiān)測系統羅海峰北京郵電大學信息與通信工程學院，北京 (100876)E-mail ：摘 要：本文結合現有網絡

中國科技論文在線 http://www.paper.edu.cn

基于DNS 協議分析的流量監(jiān)測系統

羅海峰

北京郵電大學信息與通信工程學院，北京 (100876)

E-mail ：

摘 要：本文結合現有網絡協議分析與流量監(jiān)測技術，在廣域網環(huán)境下，設計出一個新的基于DNS 協議分析的網絡流量監(jiān)測系統，通過使用流量監(jiān)控設備可以將TCP/IP網絡中傳送的數據包完全截獲下來，并根據需求啟用數據包捕獲過濾機制，進行過濾和協議分析，進而解析還原得到我們所需要的DNS 相關信息，然后利用關鍵字過濾技術，結合DNS 服務提供商需求，達到對如DNS 部署效率、用戶行為分析等特定信息的快速獲取和跟蹤的目的，從而不僅可以方便DNS 服務提供商有針對性地部署DNS 服務器，同時也為其用戶業(yè)務策略提供了一個很好的手段。

關鍵詞：DNS ；協議分析；流量監(jiān)測；用戶行為分析

中圖分類號：TP393

1．引言

DNS 服務器作為用戶訪問因特網的必經之路，其重要性不言而喻，因此對DNS 服務器的監(jiān)測和分析顯得格外重要，通過對DNS 服務器的流量監(jiān)測，可著重監(jiān)測和分析DNS 服務器流量數據，從而獲取DNS 服務提供的詳細情況以及用戶的上網行為規(guī)律和特點。了解DNS 服務器流量具有以下意義：

1. 網絡優(yōu)化的關鍵所在。詳細了解和分析DNS 服務器端流量，可以對網絡的提供和負載等進行一個全面的了解，為網絡優(yōu)化可以提供第一手的分析和參考資料；

2. 方便了解服務提供。如何更好地為用戶提供更精美更完善的服務，單純靠市場調查僅僅是一個參照物，可以通過DNS 服務器的流量監(jiān)測和分析得出確定結果。

3. 了解用戶分布和服務需求情況對網絡規(guī)劃和網絡優(yōu)化具有重要意義。用戶的上網時間和流量直接影響著網絡的使用情況，針對不同時段不同地點的網絡情況進行相應地調整，能更充分地利用網絡資源，提供更良好的網絡通道；如獲取訪問服務器的用戶分布，獲取用戶地域信息，對于合理分布服務器地理位置，具有良好的指導作用，而獲取用戶停留時間和總流量，獲取用戶對網絡的使用率則對服務器的使用時段具有指導意義。

4. 了解用戶使用服務器的情況，有助于合理發(fā)展網絡業(yè)務，為網絡用戶提供更好的網絡服務。我們能夠獲取用戶的興趣點，增加相應的業(yè)務來吸引用戶，如通過監(jiān)測可以獲得某用戶群的訪問信息，獲取用戶群的共同興趣點；通過了解用戶和市場的差異和變化，促進有針對性地面向用戶的市場營銷活動[1]。

本文在第二部分描述DNS 協議的設計特點和鑒別方法；第三部分介紹DNS 網絡監(jiān)測系統設計的核心思想和總體架構，該系統使用JAVA 、Struts2框架、JSP 語言編寫，通過定時采集、監(jiān)測和分析DNS 服務器轄區(qū)的網絡參數，實現了對轄區(qū)用戶的流量分析和管理；第四部分介紹該系統的性能，通過部署該系統來統計DNS 請求數等衡量DNS 服務器的一些工作指標、用戶請求的域名統計TOP N排名等分析用戶行為的一系列指標；第五部分對全文進行總結。

2．DNS 協議特點與鑒別方式

DNS 是域名系統(Domain Name System)的縮寫，該系統用于命名組織到域層次結構中的計算機和網絡服務。域名是由圓點分開一串單詞或縮寫組成的，每一個域名都對應一個惟一的IP 地址，在Internet 上域名與IP 地址之間是一一對應的，DNS 就是進行域名解析的服務器。-1-

中國科技論文在線 http://www.paper.edu.cn DNS 命名用于Internet 等TCP/IP網絡中，通過用戶友好的名稱查找計算機和服務。DNS 是因特網的一項核心服務，它作為可以將域名和IP 地址相互映射的一個分布式數據庫而存在。 DNS 是一個分層級的分散式名稱對應系統，有點像電腦的目錄樹結構：在最頂端的是一個“root ”，然后其下分為好幾個基本類別名稱，如：com ﹑org ﹑edu 等；再下面是組織名稱，如：IBM ﹑Microsoft ﹑Intel 等；繼而是主機名稱，如：www ﹑mail ﹑ftp 等[2]。 一個具體的 DNS運作過程如下：

1. 當被詢問到有關本域名之內的主機名稱的時候，DNS 服務器會直接做出回答；

2. 客戶端向服務器提出查詢項目；

3. 當被詢問到有關本域名之內的主機名稱的時候，DNS 服務器會直接做出回答；

4. 如果所查詢的主機名稱屬于其它域名的話，會檢查緩存(Cache)，看看有沒有相關資料；

5. 如果沒有發(fā)現，則會轉向 root 服務器查詢；

6. 然后 root 服務器會將該域名之下一層授權(authoritative)服務器的位置告知(可能會超過一臺) ；

7. 本地服務器然后會向其中的一臺服務器查詢，并將這些服務器名單存到緩存中，以備將來之需(省卻再向 root 查詢的步驟) ；

8. 遠方服務器回應查詢；

9. 若該回應并非最后一層的答案，則繼續(xù)往下一層查詢，直到獲得客戶端所需的結果為止；

10. 將查詢結果回應給客戶端，并同時將結果儲存一個備份在自己的緩存里面；

11. 如果在存放時間尚未過時之前再接到相同的查詢，則以存放于緩存里的資料來做回應。 從這個過程我們可以看出，沒有任何一臺 DNS 主機會包含所有域名的 DNS 資料，資料都是分散在全部的 DNS 服務器中[3]。

2.1 DNS協議報文結構

通過研究發(fā)現，DNS 協議分成包頭和數據兩部分。如圖1所示，該報文由12字節(jié)的首部和4個長度可變的字段組成。

圖1 DNS報文結構

-2-

中國科技論文在線

以下會詳細介紹個字段：

1. 標識 http://www.paper.edu.cn

標識字段由客戶程序設置并有服務器返回結果，16位，在對應的query 和response 報文中有著相同的ID ，可以在抓到的包中配對請求和應答報文，提取相關信息，同時也可以根據他們的時間戳大致估計DNS 的相應時間。

2. 標志

標志字段長16bit ，結構如圖2所示：

圖2 標志字段結構

標志字段各字段解釋：

QR （查詢/響應）：這是定義報文類型的字段。若為0，就是查詢報文。若為1，就是響應報文。

OpCode ：這是4位字節(jié)段，定義查詢或響應的類型（若為0則表示是標準的，若為1則是反向的，若為2則是服務器狀態(tài)請求）。

AA （授權回答）：這是1位字節(jié)段。當它置位時（值為1，下同），表示名字服務器是權限服務器。它只用在響應報文中。

TC （截斷的）：這是1位字段。當它置位時，表示響應已超過512字節(jié)并已截斷。 RD （要求遞歸）：這是1位字段。當它置位時，表示客戶希望得到遞歸回答。它在查詢報文中置位，在響應報文中重復置位。

RA （遞歸可用）：這是1位字段。當它在響應中置位時，表示可得到遞歸響應。它只能在響應報文中置位。

未知1、未知2均為新增字段。

保留：這是1位字段，置為0。

RCode ：4位字段，表示在響應中的差錯狀態(tài)。當然，只有權限服務器才能做出這個判斷。下表1是該字段的一些可能值：

表1 RCode的一些可能值 Tab.1 The possible values of RCode

意義值

無差錯4格式差錯5

問題在域名服務器上6-15

域參照問題值 0 1 2 3 意義查詢類型不支持在管理上被禁止保留

3. 問題數部分

問題部分報文格式如圖3所示。

圖3 問題部分報文格式

查詢名：為要查找的名字，它由一個或者多個標示符序列組成。每個標示符已首字節(jié)數

-3-

中國科技論文在線

無需填充字節(jié)。如：gemini.tuc.noao.edu 。 http://www.paper.edu.cn 的計數值來說明該標示符長度，每個名字以0結束。計數字節(jié)數必須是0~63之間。該字段

查詢類型：每個問題有一個查詢類型，通常查詢類型為A （由名字獲得IP 地址）或者PTR （獲得IP 地址對應的域名）。具體類型有如表2所示。

表2 查詢類型 Tab.2 Query types

類型 助記符 說明IPv4地址

名字服務器規(guī)范名稱。定義主機的正式名字的別名開始授權。標記一個區(qū)的開始熟知服務。定義主機提供的網絡服務指針。把IP 地址轉化為域名主機信息。給出主機使用的硬件和操作系統的表述郵件交換。把郵件改變路由送到郵件服務器IPv6地址傳送整個區(qū)的請求對所有記錄的請求類域（class ）：置為0x0001即可。

4. 資源記錄部分

資源記錄部分是DNS 協議的最后3個字段，回答字段，授權字段和附加信息字段均采用資源記錄RR （Resource Record）的相同格式。報文格式如圖4所示。

圖4 資源部分格式

各字段解釋：

域名：是記錄中資源數據對應的名字。它的格式和查詢名字段格式相同。 類型：說明R R的類型碼。類通常為1，指Internet 數據。

類域（class ）：這個字段與問題記錄的查詢類型字段相同。

生存時間：字段是客戶程序保留該資源記錄的秒數。

數據長度：說明資源數據的數量。該數據的格式依賴于類型字段的值。對于類型1（A 記錄）資源數據是4字節(jié)的I P地址[4]。

2.2 DNS實例報文

通過報文捕獲工具捕獲DNS 報文，得到用戶請求DNS 報文和服務器返回DNS 報文兩種報文格式。分別如圖6和圖7所示。

-4-

中國科技論文在線 http://www.paper.edu.cn

圖6 用戶請求DNS 報文格式

圖7 服務器返回DNS 報文格式

3．DNS 監(jiān)測系統設計

3.1 DNS協議報文結構

結合現有網絡協議分析與流量監(jiān)測技術，在廣域網環(huán)境下，設計一個基于協議分析的網絡流量監(jiān)測系統，通過使用流量監(jiān)控設備可以將TCP/IP網絡中傳送的數據包完全截獲下來，并根據需求啟用數據包捕獲過濾機制，進行過濾和協議分析，進而解析還原得到我們所需要的網絡信息，然后利用關鍵字過濾技術，結合DNS 服務器需求，達到對特定信息的快速獲取和跟蹤的目的。它可以作為一個實用工具使用于網絡管理、故障分析和入侵檢測等。對于DNS 服務器，系統主要提供對DNS 請求重定向、用戶黑白名單設定、DNS 服務器性能、流量趨勢分析、用戶請求流量統計分析等情況[5]。

3.2系統總體架構模型系統主要功能模塊 -5-

中國科技論文在線 http://www.paper.edu.cn

圖8 DNS服務器監(jiān)測系統架構

3.3系統主要功能模塊 -6-

中國科技論文在線 http://www.paper.edu.cn

圖9 DNS服務器監(jiān)測系統主要功能模塊

3.4 流量報文捕獲模塊實現

流量報文捕獲模塊主要通過TMA 流量監(jiān)測平臺來實現。TMA （Traffic Monitoring & Administrator ）是北京寬廣電信高技術發(fā)展有限公司積多年開發(fā)寬帶交換設備的經驗，結合長期寬帶網絡基礎技術的研究成果，針對以互聯網IP 技術為核心的各級網絡實際運行過程中出現的流量監(jiān)控和管理問題，開發(fā)的具有完全自主知識產權的新一代網絡流量監(jiān)控管理系統，由硬件探針（TMA 1100）、光分路合路器（OptiSwap ）和流量監(jiān)控中心服務器（TMA Server ）構成。TMA 流量監(jiān)測平臺能實現對流量的監(jiān)視、多協議的業(yè)務識別、以及流量控制[6]。

3.5網絡協議分析模塊實現

網絡協議分析模塊主要是對捕獲的報文（DNS 協議）進行解封裝，提取相應信息。本模塊的功能為：

1. 解析捕獲報文，提取DNS 協議段。

2. 實時分析DNS 報文數據，得到響應時間、用戶請求時間、請求域名、用戶和DNS 服務器的IP 地址等信息。

3. 將分析數據傳遞給數據存儲模塊，數據存儲模塊將數據存入數據庫，供上層應用分析和調用。

3.6 數據存儲設計實現

監(jiān)測流量經分析后以數據表的形式存在于數據庫中。針對每一種形式的流量，數據庫提供一種形式的數據庫表對其進行存儲，供讀取、分析、使用。由于抓取時間是連續(xù)的，所以每一個數據庫表的數據時間均是連續(xù)的。一個普通的流量分析數據表格設計大致如下表3。 -7-

中國科技論文在線

表3 數據庫表的設計 Tab.3 Design of Database table

字段名 類型

，6)

長度88<64http://www.paper.edu.cn 為空 x

字段解釋：

Time ：流量報文抓取的時間。

SrcIP ：源IP 地址。

DestIP ：目的IP 地址。

Destination ：目的類型、URL 等。

3.7 查詢模塊設計實現

查詢模塊主要是負責數據顯示。主要包括服務器端模塊、服務器端客戶端交互模塊、以及客戶端顯示模塊。

服務器端模塊主要由struts2框架實現。包括了權限管理模塊、數據庫連接池模塊、系統配置模塊、定時器任務管理模塊、圖表繪制模塊。從整體上對系統起到了一個支撐作用，負責了系統的管理配置、數據庫連接、一些定時任務的執(zhí)行、頁面圖表的繪制等功能。 服務器客戶端交互模塊主要是采用了ajax 技術來方便客戶端頁面異步地和服務器進行通信，主要用于一些動態(tài)圖表的更新，如DNS 服務器的CPU 占用率等，還用于異常通知管理。當配置系統時，由于系統的實時實施性，配置不一定成功，這時需要通過客戶端服務器端交互模塊，在不占用當前客戶端訪問線程的情況下將通知記錄并反饋給用戶。 客戶端顯示模塊主要是頁面的顯示，顯示數據列表、圖標、配置文件等[7]。

4．DNS 網絡監(jiān)測系統的實現

4.1 系統運行環(huán)境

本系統以寬廣電信TMA 為監(jiān)測設備，編程語言采用JAVA 語言，數據庫采用PostgreSQL 數據庫，開發(fā)工具采用Eclipse 。本系統采用標準的DNS 協議和純JAVA 語言，這樣有利于保證系統的通用性和平臺無關性。

4.2 系統性能

系統的性能顯示就是將采集到的性能數據系統的性能顯示就是將采集到的性能數據以用戶需要的方式表現出來，以供用戶監(jiān)測網絡的性能制定性能管理的策略。性能顯示可以是實時的或歷史的，通過性能監(jiān)測實時顯示圖(如圖10、圖11所示) ，我們可以看出DNS 服務器的工作狀態(tài)和用戶訪問網絡的一些行為，以便網絡管理員能更好的調控網絡流量，使網絡整體流量趨于合理，從而提高網絡的整體性能。通過圖表，可以方便地對當前DNS 服務器的運行情況進行一個良好的檢測效果，得到DNS 服務器的服務的一個趨勢圖。如圖10所示，這是一個DNS 服務器運行趨勢的圖表。

-8-

中國科技論文在線 http://www.paper.edu.cn

圖10 DNS服務器監(jiān)測系統得出的DNS 服務趨勢圖

同時，也可以對用戶行為進行一個詳細的分析，對用戶請求的域名網站進行一個全面的分析和排名，從而可以得知用戶群的上網特征。如圖11所示，這是用戶請求域名的一個TOP 10排名圖。

圖11 DNS服務器監(jiān)測系統得出的用戶請求域名排名

圖12 DNS服務器監(jiān)測系統得出的域名訪問分析

圖12則完整的顯示了一個域名在各個采集時間點的請求情況。通過該圖表可以清晰地了解到該域名的訪問熱門程度、該域名所在DNS 服務器的性能情況。通過該類分析可以精-9-

中國科技論文在線

準定位用戶的訪問歷史，從而可以指定完善的商業(yè)推送策略。 http://www.paper.edu.cn

5．總結

本系統采用JAVA 語言編寫，通用性好，可擴展性強，能有效的在該系統所設計的接口上進一步進行業(yè)務開發(fā)，使用簡捷、直觀、方便，并在大型骨干網上進行了試運行，實現了實時監(jiān)控DNS 網絡設備和鏈路并利用歷史性能數據分析和預測網絡趨勢等基本功能。但是如何應增強網絡性能管理中的主動性、智能性，使網絡可以自動及時地調整自身狀態(tài)，減少人工參與，這些都是我們亟待解決的問題。

參考文獻

[1] 鄭人杰等． 《實用軟件工程》（第二版） ［M ］ ． 北京：清華大學出版社， 2003年．

[2] 互動百科． DNS協議 ［OL ］ ． http://www.hudong.com/wiki/DNS協議， 2004年．

[3] Wikipedia． Domain Name System ［OL ］ ． ， 2006年．

[4] 謝希仁． 《計算機網絡》（第四版） ［M ］ ． 北京：電子工業(yè)出版社， 2005年．

[5] 劉芳． 《網絡流量監(jiān)測與控制》（第一版） ［M ］ ． 北京：北京郵電大學出版社， 2009年．

[6] 張瑋． 基于協議分析的網絡流量監(jiān)測系統研究與開發(fā) ［D ］ ． 長沙：中南大學， 2008年4月．

[7] Bruce Eckel ． 《Thinking in JAVA》（The 4th Edition） ［M ］ ．北京：機械工業(yè)出版社， 2007年．

A Traffic Monitoring System Based on DNS Analysis

Luo Haifeng

Department of Information and Communication engineering of Beijing University of Posts and

Telecommunications, Beijing, PRC, (100876)

Abstract

In this paper, a new network traffic monitoring system which is based on DNS protocol analysis is designed, combined with network protocol analysis and network flow monitoring technology. Data packages of TCP/IP network can be captured by network traffic monitoring equipment, and it can be analyzed through data package filtering mechanism according to requirement, then the information we care about which is related to DNS will be resolved and be retrieved from the complicated protocols. The key word filtering technology will also be used and combined with the requirement of DNS service provider, the goal of DNS servers' deployment and the behavioral analysis of the whole users all can be captured and tracked quickly and completely. So this system is not only make DNS server's deploying more convenient, but also a better way to make policy for user's business service pushing. Keywords: DNS; Protocol analysis; Traffic monitoring; User’s behavioral analysis

作者簡介：羅海峰，男，1985年生，碩士研究生，主要研究方向是寬帶IP 網絡。

-10-