中國(guó)科技論文在線 http://www.paper.edu.cn基于DNS 協(xié)議分析的流量監(jiān)測(cè)系統(tǒng)羅海峰北京郵電大學(xué)信息與通信工程學(xué)院，北京 (100876)E-mail ：摘 要：本文結(jié)合現(xiàn)有網(wǎng)絡(luò)

中國(guó)科技論文在線 http://www.paper.edu.cn

基于DNS 協(xié)議分析的流量監(jiān)測(cè)系統(tǒng)

羅海峰

北京郵電大學(xué)信息與通信工程學(xué)院，北京 (100876)

E-mail ：

摘 要：本文結(jié)合現(xiàn)有網(wǎng)絡(luò)協(xié)議分析與流量監(jiān)測(cè)技術(shù)，在廣域網(wǎng)環(huán)境下，設(shè)計(jì)出一個(gè)新的基于DNS 協(xié)議分析的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)，通過使用流量監(jiān)控設(shè)備可以將TCP/IP網(wǎng)絡(luò)中傳送的數(shù)據(jù)包完全截獲下來，并根據(jù)需求啟用數(shù)據(jù)包捕獲過濾機(jī)制，進(jìn)行過濾和協(xié)議分析，進(jìn)而解析還原得到我們所需要的DNS 相關(guān)信息，然后利用關(guān)鍵字過濾技術(shù)，結(jié)合DNS 服務(wù)提供商需求，達(dá)到對(duì)如DNS 部署效率、用戶行為分析等特定信息的快速獲取和跟蹤的目的，從而不僅可以方便DNS 服務(wù)提供商有針對(duì)性地部署DNS 服務(wù)器，同時(shí)也為其用戶業(yè)務(wù)策略提供了一個(gè)很好的手段。

關(guān)鍵詞：DNS ；協(xié)議分析；流量監(jiān)測(cè)；用戶行為分析

中圖分類號(hào)：TP393

1．引言

DNS 服務(wù)器作為用戶訪問因特網(wǎng)的必經(jīng)之路，其重要性不言而喻，因此對(duì)DNS 服務(wù)器的監(jiān)測(cè)和分析顯得格外重要，通過對(duì)DNS 服務(wù)器的流量監(jiān)測(cè)，可著重監(jiān)測(cè)和分析DNS 服務(wù)器流量數(shù)據(jù)，從而獲取DNS 服務(wù)提供的詳細(xì)情況以及用戶的上網(wǎng)行為規(guī)律和特點(diǎn)。了解DNS 服務(wù)器流量具有以下意義：

1. 網(wǎng)絡(luò)優(yōu)化的關(guān)鍵所在。詳細(xì)了解和分析DNS 服務(wù)器端流量，可以對(duì)網(wǎng)絡(luò)的提供和負(fù)載等進(jìn)行一個(gè)全面的了解，為網(wǎng)絡(luò)優(yōu)化可以提供第一手的分析和參考資料；

2. 方便了解服務(wù)提供。如何更好地為用戶提供更精美更完善的服務(wù)，單純靠市場(chǎng)調(diào)查僅僅是一個(gè)參照物，可以通過DNS 服務(wù)器的流量監(jiān)測(cè)和分析得出確定結(jié)果。

3. 了解用戶分布和服務(wù)需求情況對(duì)網(wǎng)絡(luò)規(guī)劃和網(wǎng)絡(luò)優(yōu)化具有重要意義。用戶的上網(wǎng)時(shí)間和流量直接影響著網(wǎng)絡(luò)的使用情況，針對(duì)不同時(shí)段不同地點(diǎn)的網(wǎng)絡(luò)情況進(jìn)行相應(yīng)地調(diào)整，能更充分地利用網(wǎng)絡(luò)資源，提供更良好的網(wǎng)絡(luò)通道；如獲取訪問服務(wù)器的用戶分布，獲取用戶地域信息，對(duì)于合理分布服務(wù)器地理位置，具有良好的指導(dǎo)作用，而獲取用戶停留時(shí)間和總流量，獲取用戶對(duì)網(wǎng)絡(luò)的使用率則對(duì)服務(wù)器的使用時(shí)段具有指導(dǎo)意義。

4. 了解用戶使用服務(wù)器的情況，有助于合理發(fā)展網(wǎng)絡(luò)業(yè)務(wù)，為網(wǎng)絡(luò)用戶提供更好的網(wǎng)絡(luò)服務(wù)。我們能夠獲取用戶的興趣點(diǎn)，增加相應(yīng)的業(yè)務(wù)來吸引用戶，如通過監(jiān)測(cè)可以獲得某用戶群的訪問信息，獲取用戶群的共同興趣點(diǎn)；通過了解用戶和市場(chǎng)的差異和變化，促進(jìn)有針對(duì)性地面向用戶的市場(chǎng)營(yíng)銷活動(dòng)[1]。

本文在第二部分描述DNS 協(xié)議的設(shè)計(jì)特點(diǎn)和鑒別方法；第三部分介紹DNS 網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)設(shè)計(jì)的核心思想和總體架構(gòu)，該系統(tǒng)使用JAVA 、Struts2框架、JSP 語言編寫，通過定時(shí)采集、監(jiān)測(cè)和分析DNS 服務(wù)器轄區(qū)的網(wǎng)絡(luò)參數(shù)，實(shí)現(xiàn)了對(duì)轄區(qū)用戶的流量分析和管理；第四部分介紹該系統(tǒng)的性能，通過部署該系統(tǒng)來統(tǒng)計(jì)DNS 請(qǐng)求數(shù)等衡量DNS 服務(wù)器的一些工作指標(biāo)、用戶請(qǐng)求的域名統(tǒng)計(jì)TOP N排名等分析用戶行為的一系列指標(biāo)；第五部分對(duì)全文進(jìn)行總結(jié)。

2．DNS 協(xié)議特點(diǎn)與鑒別方式

DNS 是域名系統(tǒng)(Domain Name System)的縮寫，該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)。域名是由圓點(diǎn)分開一串單詞或縮寫組成的，每一個(gè)域名都對(duì)應(yīng)一個(gè)惟一的IP 地址，在Internet 上域名與IP 地址之間是一一對(duì)應(yīng)的，DNS 就是進(jìn)行域名解析的服務(wù)器。-1-

中國(guó)科技論文在線 http://www.paper.edu.cn DNS 命名用于Internet 等TCP/IP網(wǎng)絡(luò)中，通過用戶友好的名稱查找計(jì)算機(jī)和服務(wù)。DNS 是因特網(wǎng)的一項(xiàng)核心服務(wù)，它作為可以將域名和IP 地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)而存在。 DNS 是一個(gè)分層級(jí)的分散式名稱對(duì)應(yīng)系統(tǒng)，有點(diǎn)像電腦的目錄樹結(jié)構(gòu)：在最頂端的是一個(gè)“root ”，然后其下分為好幾個(gè)基本類別名稱，如：com ﹑org ﹑edu 等；再下面是組織名稱，如：IBM ﹑Microsoft ﹑Intel 等；繼而是主機(jī)名稱，如：www ﹑mail ﹑ftp 等[2]。 一個(gè)具體的 DNS運(yùn)作過程如下：

1. 當(dāng)被詢問到有關(guān)本域名之內(nèi)的主機(jī)名稱的時(shí)候，DNS 服務(wù)器會(huì)直接做出回答；

2. 客戶端向服務(wù)器提出查詢項(xiàng)目；

3. 當(dāng)被詢問到有關(guān)本域名之內(nèi)的主機(jī)名稱的時(shí)候，DNS 服務(wù)器會(huì)直接做出回答；

4. 如果所查詢的主機(jī)名稱屬于其它域名的話，會(huì)檢查緩存(Cache)，看看有沒有相關(guān)資料；

5. 如果沒有發(fā)現(xiàn)，則會(huì)轉(zhuǎn)向 root 服務(wù)器查詢；

6. 然后 root 服務(wù)器會(huì)將該域名之下一層授權(quán)(authoritative)服務(wù)器的位置告知(可能會(huì)超過一臺(tái)) ；

7. 本地服務(wù)器然后會(huì)向其中的一臺(tái)服務(wù)器查詢，并將這些服務(wù)器名單存到緩存中，以備將來之需(省卻再向 root 查詢的步驟) ；

8. 遠(yuǎn)方服務(wù)器回應(yīng)查詢；

9. 若該回應(yīng)并非最后一層的答案，則繼續(xù)往下一層查詢，直到獲得客戶端所需的結(jié)果為止；

10. 將查詢結(jié)果回應(yīng)給客戶端，并同時(shí)將結(jié)果儲(chǔ)存一個(gè)備份在自己的緩存里面；

11. 如果在存放時(shí)間尚未過時(shí)之前再接到相同的查詢，則以存放于緩存里的資料來做回應(yīng)。 從這個(gè)過程我們可以看出，沒有任何一臺(tái) DNS 主機(jī)會(huì)包含所有域名的 DNS 資料，資料都是分散在全部的 DNS 服務(wù)器中[3]。

2.1 DNS協(xié)議報(bào)文結(jié)構(gòu)

通過研究發(fā)現(xiàn)，DNS 協(xié)議分成包頭和數(shù)據(jù)兩部分。如圖1所示，該報(bào)文由12字節(jié)的首部和4個(gè)長(zhǎng)度可變的字段組成。

圖1 DNS報(bào)文結(jié)構(gòu)

-2-

中國(guó)科技論文在線

以下會(huì)詳細(xì)介紹個(gè)字段：

1. 標(biāo)識(shí) http://www.paper.edu.cn

標(biāo)識(shí)字段由客戶程序設(shè)置并有服務(wù)器返回結(jié)果，16位，在對(duì)應(yīng)的query 和response 報(bào)文中有著相同的ID ，可以在抓到的包中配對(duì)請(qǐng)求和應(yīng)答報(bào)文，提取相關(guān)信息，同時(shí)也可以根據(jù)他們的時(shí)間戳大致估計(jì)DNS 的相應(yīng)時(shí)間。

2. 標(biāo)志

標(biāo)志字段長(zhǎng)16bit ，結(jié)構(gòu)如圖2所示：

圖2 標(biāo)志字段結(jié)構(gòu)

標(biāo)志字段各字段解釋：

QR （查詢/響應(yīng)）：這是定義報(bào)文類型的字段。若為0，就是查詢報(bào)文。若為1，就是響應(yīng)報(bào)文。

OpCode ：這是4位字節(jié)段，定義查詢或響應(yīng)的類型（若為0則表示是標(biāo)準(zhǔn)的，若為1則是反向的，若為2則是服務(wù)器狀態(tài)請(qǐng)求）。

AA （授權(quán)回答）：這是1位字節(jié)段。當(dāng)它置位時(shí)（值為1，下同），表示名字服務(wù)器是權(quán)限服務(wù)器。它只用在響應(yīng)報(bào)文中。

TC （截?cái)嗟模哼@是1位字段。當(dāng)它置位時(shí)，表示響應(yīng)已超過512字節(jié)并已截?cái)唷?RD （要求遞歸）：這是1位字段。當(dāng)它置位時(shí)，表示客戶希望得到遞歸回答。它在查詢報(bào)文中置位，在響應(yīng)報(bào)文中重復(fù)置位。

RA （遞歸可用）：這是1位字段。當(dāng)它在響應(yīng)中置位時(shí)，表示可得到遞歸響應(yīng)。它只能在響應(yīng)報(bào)文中置位。

未知1、未知2均為新增字段。

保留：這是1位字段，置為0。

RCode ：4位字段，表示在響應(yīng)中的差錯(cuò)狀態(tài)。當(dāng)然，只有權(quán)限服務(wù)器才能做出這個(gè)判斷。下表1是該字段的一些可能值：

表1 RCode的一些可能值 Tab.1 The possible values of RCode

意義值

無差錯(cuò)4格式差錯(cuò)5

問題在域名服務(wù)器上6-15

域參照問題值 0 1 2 3 意義查詢類型不支持在管理上被禁止保留

3. 問題數(shù)部分

問題部分報(bào)文格式如圖3所示。

圖3 問題部分報(bào)文格式

查詢名：為要查找的名字，它由一個(gè)或者多個(gè)標(biāo)示符序列組成。每個(gè)標(biāo)示符已首字節(jié)數(shù)

-3-

中國(guó)科技論文在線

無需填充字節(jié)。如：gemini.tuc.noao.edu 。 http://www.paper.edu.cn 的計(jì)數(shù)值來說明該標(biāo)示符長(zhǎng)度，每個(gè)名字以0結(jié)束。計(jì)數(shù)字節(jié)數(shù)必須是0~63之間。該字段

查詢類型：每個(gè)問題有一個(gè)查詢類型，通常查詢類型為A （由名字獲得IP 地址）或者PTR （獲得IP 地址對(duì)應(yīng)的域名）。具體類型有如表2所示。

表2 查詢類型 Tab.2 Query types

類型 助記符 說明IPv4地址

名字服務(wù)器規(guī)范名稱。定義主機(jī)的正式名字的別名開始授權(quán)。標(biāo)記一個(gè)區(qū)的開始熟知服務(wù)。定義主機(jī)提供的網(wǎng)絡(luò)服務(wù)指針。把IP 地址轉(zhuǎn)化為域名主機(jī)信息。給出主機(jī)使用的硬件和操作系統(tǒng)的表述郵件交換。把郵件改變路由送到郵件服務(wù)器IPv6地址傳送整個(gè)區(qū)的請(qǐng)求對(duì)所有記錄的請(qǐng)求類域（class ）：置為0x0001即可。

4. 資源記錄部分

資源記錄部分是DNS 協(xié)議的最后3個(gè)字段，回答字段，授權(quán)字段和附加信息字段均采用資源記錄RR （Resource Record）的相同格式。報(bào)文格式如圖4所示。

圖4 資源部分格式

各字段解釋：

域名：是記錄中資源數(shù)據(jù)對(duì)應(yīng)的名字。它的格式和查詢名字段格式相同。 類型：說明R R的類型碼。類通常為1，指Internet 數(shù)據(jù)。

類域（class ）：這個(gè)字段與問題記錄的查詢類型字段相同。

生存時(shí)間：字段是客戶程序保留該資源記錄的秒數(shù)。

數(shù)據(jù)長(zhǎng)度：說明資源數(shù)據(jù)的數(shù)量。該數(shù)據(jù)的格式依賴于類型字段的值。對(duì)于類型1（A 記錄）資源數(shù)據(jù)是4字節(jié)的I P地址[4]。

2.2 DNS實(shí)例報(bào)文

通過報(bào)文捕獲工具捕獲DNS 報(bào)文，得到用戶請(qǐng)求DNS 報(bào)文和服務(wù)器返回DNS 報(bào)文兩種報(bào)文格式。分別如圖6和圖7所示。

-4-

中國(guó)科技論文在線 http://www.paper.edu.cn

圖6 用戶請(qǐng)求DNS 報(bào)文格式

圖7 服務(wù)器返回DNS 報(bào)文格式

3．DNS 監(jiān)測(cè)系統(tǒng)設(shè)計(jì)

3.1 DNS協(xié)議報(bào)文結(jié)構(gòu)

結(jié)合現(xiàn)有網(wǎng)絡(luò)協(xié)議分析與流量監(jiān)測(cè)技術(shù)，在廣域網(wǎng)環(huán)境下，設(shè)計(jì)一個(gè)基于協(xié)議分析的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)，通過使用流量監(jiān)控設(shè)備可以將TCP/IP網(wǎng)絡(luò)中傳送的數(shù)據(jù)包完全截獲下來，并根據(jù)需求啟用數(shù)據(jù)包捕獲過濾機(jī)制，進(jìn)行過濾和協(xié)議分析，進(jìn)而解析還原得到我們所需要的網(wǎng)絡(luò)信息，然后利用關(guān)鍵字過濾技術(shù)，結(jié)合DNS 服務(wù)器需求，達(dá)到對(duì)特定信息的快速獲取和跟蹤的目的。它可以作為一個(gè)實(shí)用工具使用于網(wǎng)絡(luò)管理、故障分析和入侵檢測(cè)等。對(duì)于DNS 服務(wù)器，系統(tǒng)主要提供對(duì)DNS 請(qǐng)求重定向、用戶黑白名單設(shè)定、DNS 服務(wù)器性能、流量趨勢(shì)分析、用戶請(qǐng)求流量統(tǒng)計(jì)分析等情況[5]。

3.2系統(tǒng)總體架構(gòu)模型系統(tǒng)主要功能模塊 -5-

中國(guó)科技論文在線 http://www.paper.edu.cn

圖8 DNS服務(wù)器監(jiān)測(cè)系統(tǒng)架構(gòu)

3.3系統(tǒng)主要功能模塊 -6-

中國(guó)科技論文在線 http://www.paper.edu.cn

圖9 DNS服務(wù)器監(jiān)測(cè)系統(tǒng)主要功能模塊

3.4 流量報(bào)文捕獲模塊實(shí)現(xiàn)

流量報(bào)文捕獲模塊主要通過TMA 流量監(jiān)測(cè)平臺(tái)來實(shí)現(xiàn)。TMA （Traffic Monitoring & Administrator ）是北京寬廣電信高技術(shù)發(fā)展有限公司積多年開發(fā)寬帶交換設(shè)備的經(jīng)驗(yàn)，結(jié)合長(zhǎng)期寬帶網(wǎng)絡(luò)基礎(chǔ)技術(shù)的研究成果，針對(duì)以互聯(lián)網(wǎng)IP 技術(shù)為核心的各級(jí)網(wǎng)絡(luò)實(shí)際運(yùn)行過程中出現(xiàn)的流量監(jiān)控和管理問題，開發(fā)的具有完全自主知識(shí)產(chǎn)權(quán)的新一代網(wǎng)絡(luò)流量監(jiān)控管理系統(tǒng)，由硬件探針（TMA 1100）、光分路合路器（OptiSwap ）和流量監(jiān)控中心服務(wù)器（TMA Server ）構(gòu)成。TMA 流量監(jiān)測(cè)平臺(tái)能實(shí)現(xiàn)對(duì)流量的監(jiān)視、多協(xié)議的業(yè)務(wù)識(shí)別、以及流量控制[6]。

3.5網(wǎng)絡(luò)協(xié)議分析模塊實(shí)現(xiàn)

網(wǎng)絡(luò)協(xié)議分析模塊主要是對(duì)捕獲的報(bào)文（DNS 協(xié)議）進(jìn)行解封裝，提取相應(yīng)信息。本模塊的功能為：

1. 解析捕獲報(bào)文，提取DNS 協(xié)議段。

2. 實(shí)時(shí)分析DNS 報(bào)文數(shù)據(jù)，得到響應(yīng)時(shí)間、用戶請(qǐng)求時(shí)間、請(qǐng)求域名、用戶和DNS 服務(wù)器的IP 地址等信息。

3. 將分析數(shù)據(jù)傳遞給數(shù)據(jù)存儲(chǔ)模塊，數(shù)據(jù)存儲(chǔ)模塊將數(shù)據(jù)存入數(shù)據(jù)庫(kù)，供上層應(yīng)用分析和調(diào)用。

3.6 數(shù)據(jù)存儲(chǔ)設(shè)計(jì)實(shí)現(xiàn)

監(jiān)測(cè)流量經(jīng)分析后以數(shù)據(jù)表的形式存在于數(shù)據(jù)庫(kù)中。針對(duì)每一種形式的流量，數(shù)據(jù)庫(kù)提供一種形式的數(shù)據(jù)庫(kù)表對(duì)其進(jìn)行存儲(chǔ)，供讀取、分析、使用。由于抓取時(shí)間是連續(xù)的，所以每一個(gè)數(shù)據(jù)庫(kù)表的數(shù)據(jù)時(shí)間均是連續(xù)的。一個(gè)普通的流量分析數(shù)據(jù)表格設(shè)計(jì)大致如下表3。 -7-

中國(guó)科技論文在線

表3 數(shù)據(jù)庫(kù)表的設(shè)計(jì) Tab.3 Design of Database table

字段名 類型

，6)

長(zhǎng)度88<64http://www.paper.edu.cn 為空 x

字段解釋：

Time ：流量報(bào)文抓取的時(shí)間。

SrcIP ：源IP 地址。

DestIP ：目的IP 地址。

Destination ：目的類型、URL 等。

3.7 查詢模塊設(shè)計(jì)實(shí)現(xiàn)

查詢模塊主要是負(fù)責(zé)數(shù)據(jù)顯示。主要包括服務(wù)器端模塊、服務(wù)器端客戶端交互模塊、以及客戶端顯示模塊。

服務(wù)器端模塊主要由struts2框架實(shí)現(xiàn)。包括了權(quán)限管理模塊、數(shù)據(jù)庫(kù)連接池模塊、系統(tǒng)配置模塊、定時(shí)器任務(wù)管理模塊、圖表繪制模塊。從整體上對(duì)系統(tǒng)起到了一個(gè)支撐作用，負(fù)責(zé)了系統(tǒng)的管理配置、數(shù)據(jù)庫(kù)連接、一些定時(shí)任務(wù)的執(zhí)行、頁(yè)面圖表的繪制等功能。 服務(wù)器客戶端交互模塊主要是采用了ajax 技術(shù)來方便客戶端頁(yè)面異步地和服務(wù)器進(jìn)行通信，主要用于一些動(dòng)態(tài)圖表的更新，如DNS 服務(wù)器的CPU 占用率等，還用于異常通知管理。當(dāng)配置系統(tǒng)時(shí)，由于系統(tǒng)的實(shí)時(shí)實(shí)施性，配置不一定成功，這時(shí)需要通過客戶端服務(wù)器端交互模塊，在不占用當(dāng)前客戶端訪問線程的情況下將通知記錄并反饋給用戶。 客戶端顯示模塊主要是頁(yè)面的顯示，顯示數(shù)據(jù)列表、圖標(biāo)、配置文件等[7]。

4．DNS 網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)的實(shí)現(xiàn)

4.1 系統(tǒng)運(yùn)行環(huán)境

本系統(tǒng)以寬廣電信TMA 為監(jiān)測(cè)設(shè)備，編程語言采用JAVA 語言，數(shù)據(jù)庫(kù)采用PostgreSQL 數(shù)據(jù)庫(kù)，開發(fā)工具采用Eclipse 。本系統(tǒng)采用標(biāo)準(zhǔn)的DNS 協(xié)議和純JAVA 語言，這樣有利于保證系統(tǒng)的通用性和平臺(tái)無關(guān)性。

4.2 系統(tǒng)性能

系統(tǒng)的性能顯示就是將采集到的性能數(shù)據(jù)系統(tǒng)的性能顯示就是將采集到的性能數(shù)據(jù)以用戶需要的方式表現(xiàn)出來，以供用戶監(jiān)測(cè)網(wǎng)絡(luò)的性能制定性能管理的策略。性能顯示可以是實(shí)時(shí)的或歷史的，通過性能監(jiān)測(cè)實(shí)時(shí)顯示圖(如圖10、圖11所示) ，我們可以看出DNS 服務(wù)器的工作狀態(tài)和用戶訪問網(wǎng)絡(luò)的一些行為，以便網(wǎng)絡(luò)管理員能更好的調(diào)控網(wǎng)絡(luò)流量，使網(wǎng)絡(luò)整體流量趨于合理，從而提高網(wǎng)絡(luò)的整體性能。通過圖表，可以方便地對(duì)當(dāng)前DNS 服務(wù)器的運(yùn)行情況進(jìn)行一個(gè)良好的檢測(cè)效果，得到DNS 服務(wù)器的服務(wù)的一個(gè)趨勢(shì)圖。如圖10所示，這是一個(gè)DNS 服務(wù)器運(yùn)行趨勢(shì)的圖表。

-8-

中國(guó)科技論文在線 http://www.paper.edu.cn

圖10 DNS服務(wù)器監(jiān)測(cè)系統(tǒng)得出的DNS 服務(wù)趨勢(shì)圖

同時(shí)，也可以對(duì)用戶行為進(jìn)行一個(gè)詳細(xì)的分析，對(duì)用戶請(qǐng)求的域名網(wǎng)站進(jìn)行一個(gè)全面的分析和排名，從而可以得知用戶群的上網(wǎng)特征。如圖11所示，這是用戶請(qǐng)求域名的一個(gè)TOP 10排名圖。

圖11 DNS服務(wù)器監(jiān)測(cè)系統(tǒng)得出的用戶請(qǐng)求域名排名

圖12 DNS服務(wù)器監(jiān)測(cè)系統(tǒng)得出的域名訪問分析

圖12則完整的顯示了一個(gè)域名在各個(gè)采集時(shí)間點(diǎn)的請(qǐng)求情況。通過該圖表可以清晰地了解到該域名的訪問熱門程度、該域名所在DNS 服務(wù)器的性能情況。通過該類分析可以精-9-

中國(guó)科技論文在線

準(zhǔn)定位用戶的訪問歷史，從而可以指定完善的商業(yè)推送策略。 http://www.paper.edu.cn

5．總結(jié)

本系統(tǒng)采用JAVA 語言編寫，通用性好，可擴(kuò)展性強(qiáng)，能有效的在該系統(tǒng)所設(shè)計(jì)的接口上進(jìn)一步進(jìn)行業(yè)務(wù)開發(fā)，使用簡(jiǎn)捷、直觀、方便，并在大型骨干網(wǎng)上進(jìn)行了試運(yùn)行，實(shí)現(xiàn)了實(shí)時(shí)監(jiān)控DNS 網(wǎng)絡(luò)設(shè)備和鏈路并利用歷史性能數(shù)據(jù)分析和預(yù)測(cè)網(wǎng)絡(luò)趨勢(shì)等基本功能。但是如何應(yīng)增強(qiáng)網(wǎng)絡(luò)性能管理中的主動(dòng)性、智能性，使網(wǎng)絡(luò)可以自動(dòng)及時(shí)地調(diào)整自身狀態(tài)，減少人工參與，這些都是我們亟待解決的問題。

參考文獻(xiàn)

[1] 鄭人杰等． 《實(shí)用軟件工程》（第二版） ［M ］ ． 北京：清華大學(xué)出版社， 2003年．

[2] 互動(dòng)百科． DNS協(xié)議 ［OL ］ ． http://www.hudong.com/wiki/DNS協(xié)議， 2004年．

[3] Wikipedia． Domain Name System ［OL ］ ． ， 2006年．

[4] 謝希仁． 《計(jì)算機(jī)網(wǎng)絡(luò)》（第四版） ［M ］ ． 北京：電子工業(yè)出版社， 2005年．

[5] 劉芳． 《網(wǎng)絡(luò)流量監(jiān)測(cè)與控制》（第一版） ［M ］ ． 北京：北京郵電大學(xué)出版社， 2009年．

[6] 張瑋． 基于協(xié)議分析的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)研究與開發(fā) ［D ］ ． 長(zhǎng)沙：中南大學(xué)， 2008年4月．

[7] Bruce Eckel ． 《Thinking in JAVA》（The 4th Edition） ［M ］ ．北京：機(jī)械工業(yè)出版社， 2007年．

A Traffic Monitoring System Based on DNS Analysis

Luo Haifeng

Department of Information and Communication engineering of Beijing University of Posts and

Telecommunications, Beijing, PRC, (100876)

Abstract

In this paper, a new network traffic monitoring system which is based on DNS protocol analysis is designed, combined with network protocol analysis and network flow monitoring technology. Data packages of TCP/IP network can be captured by network traffic monitoring equipment, and it can be analyzed through data package filtering mechanism according to requirement, then the information we care about which is related to DNS will be resolved and be retrieved from the complicated protocols. The key word filtering technology will also be used and combined with the requirement of DNS service provider, the goal of DNS servers' deployment and the behavioral analysis of the whole users all can be captured and tracked quickly and completely. So this system is not only make DNS server's deploying more convenient, but also a better way to make policy for user's business service pushing. Keywords: DNS; Protocol analysis; Traffic monitoring; User’s behavioral analysis

作者簡(jiǎn)介：羅海峰，男，1985年生，碩士研究生，主要研究方向是寬帶IP 網(wǎng)絡(luò)。

-10-