Dns區(qū)傳送監(jiān)測方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于DNS系統(tǒng)安全技術(shù)領(lǐng)域�����,涉及DNS區(qū)傳送監(jiān)測方法及系統(tǒng)���。
【背景技術(shù)】
[0002]作為互聯(lián)網(wǎng)的重要基礎(chǔ)設(shè)施��,域名系統(tǒng)(Domain Name System, DNS) 一直為全球互聯(lián)網(wǎng)的運行提供關(guān)鍵性的基礎(chǔ)服務(wù)�����。DNS系統(tǒng)的安全和穩(wěn)定��,對于互聯(lián)網(wǎng)是很重要的�����。
[0003]一個區(qū)有很多權(quán)威服務(wù)器��,包括主服務(wù)器和輔服務(wù)器���。這兩種服務(wù)器一般來說要在地理位置上有點距離���。如圖1所示,區(qū)數(shù)據(jù)從主服務(wù)器通過區(qū)傳送傳輸DNS數(shù)據(jù)����,DNS數(shù)據(jù)的安全和穩(wěn)定依賴區(qū)傳送�����。但是因為網(wǎng)絡(luò)故障或者網(wǎng)速過慢等原因�����,DNS數(shù)據(jù)的傳輸總會發(fā)生某些故障���,如不及時等��。區(qū)傳送的安全和穩(wěn)定對于DNS系統(tǒng)和DNS解析是至關(guān)重要的�����。
[0004]DNS主服務(wù)器更新某區(qū)的DNS數(shù)據(jù)的時候�,就會增大該區(qū)的SOA號。反過來說�,SOA號的增大意味著DNS數(shù)據(jù)的更新。通過對SOA號的更新變化可以一定程度上監(jiān)控DNS數(shù)據(jù)的更新情況��。但是SOA號的變化量和DNS數(shù)據(jù)變化量并不是線性變化的����,也就是說有的時候主服務(wù)器增加一個SOA號的時候,會更新了很多域名數(shù)據(jù)�,SOA號的差異閾值不能代表DNS數(shù)據(jù)的大小差異量和DNS記錄的條數(shù),所以通過這種方法是不太科學(xué)的��。
[0005]作為輔服務(wù)器的DNS服務(wù)器不斷地從主服務(wù)器那獲取數(shù)據(jù)的同時���,區(qū)傳送日志里就會記錄下傳輸情況��,區(qū)傳送日志記錄了區(qū)傳送的主服務(wù)器或(和)從服務(wù)器的地址�����、傳輸速度等��,這些信息從一個角度上在一定程度上反應(yīng)了 DNS服務(wù)器的工作狀態(tài)和工作環(huán)境�。通過對這些信息的分析、監(jiān)控和展現(xiàn)�����,可以及時地了解DNS權(quán)威服務(wù)器的數(shù)據(jù)傳輸狀態(tài)����。
【發(fā)明內(nèi)容】
[0006]針對上述問題,本發(fā)明的目的是提供DNS區(qū)傳送監(jiān)測方法及系統(tǒng)�,通過實時分析DNS區(qū)傳送的相關(guān)信息監(jiān)測DNS區(qū)傳送的安全和穩(wěn)定。
[0007]為了實現(xiàn)上述目的�,本發(fā)明采用以下技術(shù)方案:
[0008]DNS區(qū)傳送監(jiān)測方法,通過區(qū)傳送數(shù)據(jù)收集子系統(tǒng)和監(jiān)測分析子系統(tǒng)實現(xiàn)�����,具體包括以下步驟:
[0009](I)區(qū)傳送數(shù)據(jù)收集子系統(tǒng)(周期性地或?qū)崟r地)收集�、分析本機DNS權(quán)威服務(wù)器區(qū)傳送的相關(guān)信息�����,從中獲取對應(yīng)的區(qū)傳送統(tǒng)計數(shù)據(jù)��,如果有區(qū)傳送記錄,那么就將這些區(qū)傳送統(tǒng)計數(shù)據(jù)插入到一個隊列�;
[0010](2)監(jiān)測分析子系統(tǒng)獲取到來自區(qū)傳送數(shù)據(jù)收集子系統(tǒng)的區(qū)傳送統(tǒng)計數(shù)據(jù),并分析接收到的區(qū)傳送統(tǒng)計數(shù)據(jù)是否存在異常情況��。
[0011 ] 進一步地��,所述區(qū)傳送的相關(guān)信息包括區(qū)傳送日志���,區(qū)傳送流量捕獲數(shù)據(jù)���,區(qū)數(shù)據(jù)的周期比對數(shù)據(jù)等。
[0012]進一步地�,所述區(qū)傳送統(tǒng)計數(shù)據(jù)包括過去一定時間內(nèi)區(qū)傳送的區(qū)名、消息數(shù)�����、資源記錄數(shù)�、字節(jié)數(shù)和傳輸用時等信息。
[0013]進一步地����,每個隊列元素里有兩個數(shù)字變量一一上次代號和當前代號,當前代號作為本次統(tǒng)計數(shù)據(jù)的代號���,上次代號是隊列隊尾元素的代號���,隊列里的所有元素的當前代號和上次代號形成一個首尾相連的“代號鏈”�����,每當區(qū)傳送數(shù)據(jù)收集子系統(tǒng)分析獲得了新的數(shù)據(jù)后���,就用比隊列當前最大代號大的數(shù)字作為該數(shù)據(jù)的當前代號,從這個隊列里的最小代號到最大代號所指定的數(shù)據(jù)是本地DNS服務(wù)器區(qū)傳送的完整統(tǒng)計數(shù)據(jù)�����;如果監(jiān)測分析子系統(tǒng)采用主動請求的方式從區(qū)傳送數(shù)據(jù)收集子系統(tǒng)獲取區(qū)傳送統(tǒng)計數(shù)據(jù)�,那么區(qū)傳送數(shù)據(jù)收集子系統(tǒng)在隊列中查詢是否有相應(yīng)的區(qū)傳送統(tǒng)計數(shù)據(jù),如果有就將其返回給監(jiān)測分析子系統(tǒng)���,如果沒有就返回空數(shù)據(jù)��;區(qū)傳送數(shù)據(jù)收集子系統(tǒng)可以主動將數(shù)據(jù)推送給監(jiān)測分析子系統(tǒng),當收集到新數(shù)據(jù)時就主動推送��。
[0014]進一步地���,監(jiān)測分析子系統(tǒng)發(fā)起查詢時�����,如果監(jiān)測分析子系統(tǒng)沒有給出查詢代號����,那么區(qū)傳送數(shù)據(jù)收集子系統(tǒng)就返回本次最大代號對應(yīng)的數(shù)據(jù);如果監(jiān)測分析子系統(tǒng)發(fā)送查詢代號��,區(qū)傳送數(shù)據(jù)收集子系統(tǒng)就會從隊列中查找當前代號大于等于查詢代號的新的隊列元素��,并分別將該隊列元素中的數(shù)據(jù)發(fā)送給監(jiān)測分析子系統(tǒng)�。
[0015]如果監(jiān)測分析子系統(tǒng)發(fā)送的查詢代號大于隊列中的任何元素的代號時,就將返回一個包含隊列中的最小代號和最大代號“空數(shù)據(jù)”����;如果查詢代號小于隊列的任何元素中的代號,就將隊列的所有數(shù)據(jù)傳送給監(jiān)測分析子系統(tǒng)�����;如果查詢代號并不與任何元素的代號相等���,但介于兩個相鄰元素的代號之間���,那么就返回前一個元素的代號與隊尾元素之間(包括隊尾元素)的數(shù)據(jù)��。
[0016]進一步地����,如果某個權(quán)威服務(wù)器的某個區(qū)的區(qū)傳送數(shù)據(jù)與其他服務(wù)器的差異超出一定的閾值��,就認為是異常情況����。
[0017]進一步地,如果分析發(fā)現(xiàn)有異常�,那么就通知其他系統(tǒng)或者DNS服務(wù)聯(lián)系人,如果通知的是其他系統(tǒng)���,那么就遵循其他系統(tǒng)的接口 ��;如果通知的是DNS服務(wù)聯(lián)系人�,那么可以以郵件或者彈出框等形式的方式告知���。
[0018]DNS區(qū)傳送監(jiān)測系統(tǒng)�,包括區(qū)傳送數(shù)據(jù)收集子系統(tǒng)和監(jiān)測分析子系統(tǒng)��,其中:
[0019]所述區(qū)傳送數(shù)據(jù)收集子系統(tǒng)包括:
[0020]區(qū)傳送數(shù)據(jù)收集模塊�����,用于周期性地或?qū)崟r地收集����、分析本機DNS權(quán)威服務(wù)器區(qū)傳送的相關(guān)信息,并將其傳給監(jiān)控子系統(tǒng)的分析模塊�����;
[0021]所述監(jiān)測分析子系統(tǒng)部署在各級權(quán)威服務(wù)器上��,包括:
[0022]分析模塊�����,用于接收區(qū)傳送數(shù)據(jù)收集模塊發(fā)送過來的數(shù)據(jù)��,綜合分析各個權(quán)威服務(wù)器的區(qū)傳送統(tǒng)計數(shù)據(jù)���,并將異常報告給報警模塊�����;
[0023]報警模塊��,用于接收分析模塊發(fā)送來的異常報告��,并向其他系統(tǒng)或人員反饋��。
[0024]進一步地�����,所述區(qū)傳送的相關(guān)信息包括區(qū)傳送日志�,區(qū)傳送流量捕獲數(shù)據(jù),區(qū)數(shù)據(jù)的周期比對數(shù)據(jù)等��。
[0025]進一步地��,所述區(qū)傳送統(tǒng)計數(shù)據(jù)包括過去一定時間內(nèi)區(qū)傳送的區(qū)名����、消息數(shù)、資源記錄數(shù)��、字節(jié)數(shù)和傳輸用時等信息�。
[0026]進一步地�����,如果通知的是其他系統(tǒng),那么就遵循其他系統(tǒng)的接口 ���;如果通知的是DNS服務(wù)聯(lián)系人���,那么以郵件或者彈出框等形式的的方式告知。
[0027]由于采用了以上的方案�����,可實現(xiàn)以下優(yōu)點:
[0028](I)高擴展性��。本系統(tǒng)對任意數(shù)量的DNS服務(wù)器進行監(jiān)測���,而且監(jiān)測分析子系統(tǒng)可以隨時隨地加入或離開監(jiān)測點集群��。
[0029](2)高可靠性���。通過區(qū)傳送數(shù)據(jù)收集子系統(tǒng)和監(jiān)測分析子系統(tǒng)之間的一致性協(xié)議,保證了可以獲得完整的監(jiān)測數(shù)據(jù)��。相對通過SOA號變化監(jiān)控區(qū)傳送,通過區(qū)傳送的相關(guān)信息的分析���,獲得的監(jiān)測信息更全面����,能夠更加準確地監(jiān)測DNS服務(wù)器之間的區(qū)傳送�。
[0030](3)部署簡單。監(jiān)測分析子系統(tǒng)可以隨時隨地加入或離開監(jiān)測點集群���,使部署簡單易用O
【附圖說明】
[0031]圖1顯示現(xiàn)有技術(shù)中DNS權(quán)威服務(wù)器的層級架構(gòu)����。
[0032]圖2是本發(fā)明DNS區(qū)傳送監(jiān)測系統(tǒng)架構(gòu)圖����。
[0033]圖3是本發(fā)明DNS區(qū)傳送監(jiān)測系統(tǒng)模塊圖。
[0034]圖4是本發(fā)明DNS區(qū)傳送監(jiān)測方法流程圖�����。
【具體實施方式】
[0035]圖1展示的是DNS權(quán)威服務(wù)器的層級架構(gòu)�,也展示了區(qū)傳送的數(shù)據(jù)流。
[0036]如圖2所示����,DNS區(qū)傳送監(jiān)測系統(tǒng)包括區(qū)傳送數(shù)據(jù)收集子系統(tǒng)和監(jiān)測分析子系統(tǒng)��。區(qū)傳送數(shù)據(jù)收集子系統(tǒng)不斷地分析本地DNS服務(wù)器產(chǎn)生的區(qū)傳送相關(guān)信息(例如區(qū)傳送日志)�����,并將分析結(jié)果存儲起來�;監(jiān)測分析子系統(tǒng)周期性地或?qū)崟r地請求區(qū)傳送數(shù)據(jù)收集子系統(tǒng)存儲的數(shù)據(jù)�,并根據(jù)獲得的所有數(shù)據(jù)分析判斷區(qū)傳送的情況�����,如果有異常就報警�����。
[0037]如圖3所示�����,區(qū)傳送數(shù)據(jù)收集子系統(tǒng)被部署在一個任意相關(guān)的機器上�,包括區(qū)傳送數(shù)據(jù)收集模塊;監(jiān)測子系統(tǒng)包括分析模塊和報警模塊�����。
[0038]區(qū)傳送數(shù)據(jù)收集子系統(tǒng)的功能模塊的具體功能如下所述。
[0039]區(qū)傳送數(shù)據(jù)收集模塊
[0040]區(qū)傳送數(shù)據(jù)收集模塊周期性地或?qū)崟r地分析本機DNS權(quán)威服務(wù)器區(qū)傳送的相關(guān)信息�����,以產(chǎn)生的區(qū)傳送日志(包括傳入日志文件和傳出日志文件)為例���,從日志中獲取在過去一定時間內(nèi)區(qū)傳送的區(qū)名���、消息數(shù)、資源記錄數(shù)���、字節(jié)數(shù)和傳輸用時等統(tǒng)計信息����。例如��,BIND服務(wù)器的一行區(qū)傳送日志如下所示���,從該行中�����,可以獲取cn區(qū)的一次區(qū)傳送記錄數(shù)據(jù)��,傳輸了一條信息�����,10條資源記錄����,945字節(jié)的數(shù)據(jù),共耗時0.073秒�。如果有區(qū)傳送記錄�����,那么就這些數(shù)據(jù)整體作為一個元素存到一個隊列里��;否則���,不將空數(shù)據(jù)存到隊列里面����。服務(wù)器端要維護一定分析次數(shù)(如X次)的數(shù)據(jù)�����。
[0041]08-Sep-2014 16: 26: 17.631 xfer-1n:1nfo: transfer of' cn/IN' from10.10.4.6#5353:Transfer completed:lmessages, 1records, 945bytes, 0.073secs(12945bytes/sec)
[0042]每個隊列元素里有兩個數(shù)字變量一一上次代號和當前代號,當前代號是本次分析的數(shù)據(jù)的代號���,上次代號是隊列里最后一個元素的本次代號���。隊列里的所有元素的當前代號和上次代號形成一個首尾相連的“代號鏈”,從這個鏈條里的最小代號到最大代號所指定的數(shù)據(jù)是本地DNS服務(wù)器區(qū)傳送的完整統(tǒng)計數(shù)據(jù)����。換句話說,代號鏈保證了區(qū)傳送數(shù)據(jù)收集子系統(tǒng)區(qū)傳送統(tǒng)計數(shù)據(jù)的完整性���,也為后來區(qū)傳送數(shù)據(jù)收集子系統(tǒng)和監(jiān)測分析子系統(tǒng)之間傳輸數(shù)據(jù)的完整性做好了準備���。
[0043]區(qū)傳送數(shù)據(jù)收集模塊每次分析都從區(qū)傳送文件的上次分析結(jié)束的地方開始分析,并記錄本次結(jié)束的位置�����。注意��,被探測的DNS權(quán)威服務(wù)器可以是一個或者一個以上的服務(wù)器。
[0044]當接收到監(jiān)測分析子系統(tǒng)的查詢請求�����,就查詢數(shù)據(jù)隊列中搜索是否有最新的數(shù)據(jù)����。如果有,就將獲取的數(shù)據(jù)返回給監(jiān)測分析子系統(tǒng)��。監(jiān)測分析子系統(tǒng)會發(fā)送查詢代號����,區(qū)傳送數(shù)據(jù)收集模塊就會從隊列中查