论文研究-基于DNS协议分析的流量监测系统 .pdf

所需积分/C币:18 2019-08-20 20:53:44 506KB .PDF

基于DNS协议分析的流量监测系统,罗海峰,,本文结合现有网络协议分析与流量监测技术,在广域网环境下,设计出一个新的基于DNS协议分析的网络流量监测系统,通过使用流量监控
中国科花论义在 以卜会详细介绍个字段: 标识 标识字段由客户程序设置并有服务器返回结果,位,在对应的和 报文 中有着相同的,可以在抓到的包中配对请求和应答报文,提取相关信息,同时也可以根 据他们的时间戳大致估计的相应时间。 标志 标志字段长,结构如图所示: R OpCode Aa TC RDRA保留未知1未知12| RCode 图标志字段结构 标志字段各字段解释: (查询响应):这是定义报文类型的宇段。若为,就是耷询报文。若为,就是 响应报文 这是位字节段,定义查询或响应的类型(若为则表示是标准的,若为 则是反向的,若为则是服务器状态请求)。 (授权回答):这是位字节段。当它置位时(值为,下同),表示名字服务器 是权限服务器。它只用在响应报文中 (截断的):这是位字段。当它冒位时,表示响应已超过字节并已截断。 (要求递归):这是位宇段。当它置位时,表示客户希望得到递归回答。它在查 询报文中置位,在响应报文中重复置位 (递归可用):这是位子段。当它在响应中置位吋,衣示可得到递归响应。它只 能在响应报文中置位 未知、未知均为新增字段。 保留:这是位宇段,置为。 位字段,表示在响应中的差错状态。当然,只有权限服务器才能做出这个判 断ε下表是该字段的一些可能值: 表 的一些可能值 意义 值 意义 无差错 查询类型不支持 格式差错 在管理上被禁止 问题在域名服务器上 域参照问题 问题数部分 问题部分报文格式如图所示。 b bytes_ h Bytes 查询穹 查询型 查询夹域 图问题部分报文格式 查询名:为要查找的名字,它由一个或者多个标示符序列组成。每个标示符凵首宇节数 中国科花论义在 的计数值来说明该标示符长度,每个名字以结束。计数字节数必须是之间。该宇改 无需填充字节。如 査询类型:每个问题有一个查询类型,通常查询类型为(由名字获得地址)或者 (获得地址对应的域名)。具体类型有如表所示。 衣查询类型 类型 助记符 说明 地址 名字服务器 规范名称。定义主机的正式名字的别名 开始授权。标记一个区的开始 熟知服务。定义主机提供的网终服务 指针。把地址转化为域名 主机信息。给出主机使用的使件和摸作系统的表述 邮件交换。把邮件改变路由送到邮件服务器 地址 传送整个区的请求 对所有记录的请求 类域():置为 即可。 资源记录部分 资源记录部分是协议的最后个字段,回答字段,授权字段和附加信息字段均采 用资源记录( )的相冋格式。报文格式如图所示。 bvt abates 城名〔可变长度 类型 类城 生存时 数据长度 数据 图资源部分格式 各字段解释 域名:是记录中资源数据对应的名字。它的格式和査询名字段格式相同。 类型:说明的类型码。类通常为,指 数据。 类域():这个字段与问题记录的查询类型字段相同。 生存时间:字段是客广程序保留该资溟记录的秒数。 数据长度:说明资源数据的数量。该数据的格式依赖于类型字段的值。对于类型( 记录)资源数据是字节的地址。 实例报文 通过报文捕获工只捕获报文,得到用户请求报文和服务器返回报文两 种报文格式。分别如图和图所示 中国科花论义在 E Domain Name System (query) Transaction ID: 0x14b0 a Flacs: 0xo1o0 (standard query) Response: Message 1s a query C000 opcodE: standard query (C) Truncated: Message i5 not truncated .. 1 ...... Recursion desired: Do quEry recursive y Z: reserved (o> 。,,,,,。,,.0, Non-authent cated dat a Ok: Non-authenticated data is unacceptable Questions: l Answer RRs Author ity RRs: 0 点 dditional rr5:0 日 Quer l es B client. stat verycd. com: type A, c ass IN Nae: clienT. stat verycd.con Type: A (Ilost address) Class: IN (Ox0001> 图用户请求报文格式 E Domain Name system (resporse) Transaction ID: 0x14bq B Flags: 0x8=80 (standard query response, No error) Response: MessagE 1s a response 0C00, opcode: standard query (0) Authoritative: server is not an authority for domain 0,.-Truncated: Messace is not truncated R.ecursion desire: Do query recursively RHtuISiurl dilate- ser ver du rutuli z: reserved (0) 02O0 Answer authenticated: Answer /authority por rion was not authenticated by the serve Questions:I A'1sveI RRs Authority RRs: 6 Additional rrs:6 田Qer1e5 Eclientstat.verycdcomtypeLnam=,classIn,cnamehttpd-20.verycd.cam Name: Cl- ent. sta. vErycd. con Type: CNAME (Canonical name for an al-as) Time to ive: 1 hour ng Frimarynament-pd-20.verycc.com E htrpa-20. verycd .om: type A, class TN: addr 222.73.207.152 Namehttpd-20.verycd.com Type: A(Ilost addr ess) c1a5:工N(0X001 Time to ive: 1 hour Data l △dr:272.73.7)7.152 图服务器返回报文格式 监测系统设计 协议报文结构 结合现有网络协议分析与流量监测技术,在广域网环境卜,设计个基于协议分析的网 络流量监测系统,通过使用流量监控设备可以将 网络中传送的数据包完全截获下米, 并根据需求启用数据包捕获过滤机制,进行过滤和协议分析,进而解析还原得到我们所需要 的网络信息,然后利用关键字过滤技术,结合服务器需求,达到对特定信息的快速获 取和跟踪的目的。它可以作为一个实用工具使用于网终管理、故障分析和入侵检测等。对于 服务器,系统主要提供对请求重定向、用户黑白名单设定 服务器性能、流 量趋势分析、用户请求流量统计分析等情况。 系统总体架构模型系统主要功能模块 中国科花论义在 总体架构模型图 趋势分析 系统配置管理数据列表显示图表绘制 流量分析 类型分析 用户分析 控制层模块 管理,配置文 其他… 件 业务层模块 读取统计规则 数据军 读取关键字段 信息提取 读取协议种类 协议分析 流量监测设备 读取抓取规则 网络流量 网络 服务器 图 服务器监测系统架构 系统主要功能模块 中国科花论义在 DNS服务器监测系统 流量报文 网络协议 数据存储 捕获模块分析模块 模块 查询模块 协议鉴别 信息提取 服务器端 客户端显示客户服务器 模块 模块 模块 模块 端交互模块 数据图表配置异常通知 显示显示管理 模块 控制层 业务层 模块 模块 权限控制系统配置可定时器任务图表绘制模数据库连接 管理模块视化管理管理模块 块 池模块 图 服务器监测系统主要功能模块 流量报文捕获模块实现 流量报文捕获模块主要通过 流量监测平台来实现 )是北京宽广电信高技术发展有限公司积多年开发宽带交换设备的经验,结合 长期宽带网络基础技术的硏究成果,针对以互联网技术为核心的各级网络实际运行过程 中岀现的流量监控和管理问题,开发的具有完全自主知识产炆的新一代网络流量监控管珥系 统,由硬件探针( )、光分路合路器( )和流量监搾中心服务器( )构成。 流量监测平台能实现对流量的监视、多协议的业务识别、以及流量控 网络协议分析模块实现 网络协议分析模块主要是对捕获的报文(协议)进行解封装,提取相应信息。本 模块的功能为 解析捕获报文,提取协议段。 实时分析报文数据,得到响应时间、用户请求时间、请求域名、用户和 服务器的地址等信息。 将分析数据传递给数据存储馍埌,数据存储模块将数据存入数据库,供上层应用分 析和调用。 数据存储设计实现 监测流量经分析后以数据表的形式存在于数据库中。针对每一种形式的流量,数据库提 供一种形式的数据库表对其进行存储,供读取、分析、使用。由于抓取时间是连续的,所以 每一个数据库表的数据时间均是连续的。一个普通的流量分析数据表格设计大致如下表。 中国科花论义在 表数据库表的设计 字段名 类型 长度 为 字段解释: :流量报文抓取的时间。 :源地址。 :目的地址。 :目的类型、等 查询模块设计实现 査询模块主要是负责数据显示。主要包括服务器端模块、服务器端客户端交互模块、以 及客户端显小模块。 服务器端模块主要由 框架实现。包括了权限管理模块、数据库连接池模垬、系 统配置模块、定吋器仼务管哩模垬、图表绘制模块。从整体上对系统起到了个支撑作用, 负责了系统的管理配置、数据斥连接、些定吋任务的执行、页面图衣的绘制等功能。 服务器客户端父互模块主要是采用了技术米方便客户端页面异步地和服务器进行 通信,主要用于一些动态图表的更新,如服务器的用率等,还用于异常通知管 理。当配置系统时,由于系统的实时实施性,配置不一定成功,这时需要通过客户端服务器 端交互模块,在不占用当前客户端访问线程的情况下将通知记录并反馈给用户。 客户端显示模块主要是页面的显示,显示数据列表、图标、配置文件等。 网络监测系统的实现 系统运行环境 本系统以宽广电信为监测设备,编程语言采用语言,数据库采用 数据库,开发工具采用 。木系统采用标准的协议和纯语言,这样有利于 保证系统的通用性和平台无关性。 系统性能 系统的性能显示就是将采集到的性能数据系统的性能显示就是将采集到的性能数据以 用户需要的方式表现岀来,以供用户监测网络的性能制定性能管理的策畩。性能显示可以是 实时的或历史的,通过性能监测实时显小图如图、图所小,我们可以看出服务 尜的工作状态和用户访问网络的一些行为,以便网络管理员能更好的调控网络流量,使网络 整体流量趋于合理,从而提高网络的整体性能。通过图表,可以方使地对当前服务器 的运行情况进行一个良好的检测效果,得到服务器的服务的一个趋势图。如图所示, 这是一个服务器运行趋势的图表 中国科花论义在 m服努器I:14势分析29-11-21m:11至209-1-3116:1 十一月23一月24:十一月25/十一月 十一月7一月23十一月2/+一月3/十一月 一未解折数一转向数一账号白名单数一网白名单数一名单数 图 服务器临测系统得出的服务趋势图 同时,也可以对用户行为进行一个详细的分析,对用户请求的域名网站进行一个全面的 分析和排名,从而可以得知用户群的上网特征。如图所示,这是用户请求域名的一个 排名图。 二级域名请求数前10位排名 120,D 级域名请求数排名 ■lid2.qq.ccm■Popnsr.tx66:.T.cr.■ALone.qq0mCnCESr.chinasat:2.ne:■MicrodonT.baofeng.con■tore.qq.com■gea.ka5persHy ddr. sina con. cn hubSpn sar cai. net fs h2u gg 服务器监测系统得出的用户请求域名排名 域名分析 始时间:2091100时红止时间:209:15画时mL2.wyem 序号请求时间 域名 请求数 应数 正德解新 2009-1-109:15:0 died. qq zon 00g-:1-18:30:00 diedi. gg -on 7 2009-:1-19 d e qg zon 2009-:1-1909:30: 009-:1-19 出:1 2009-:1-1303:45 图 服务器监测系统得出的域名访问分析 图则完整的显示了一个域名在各个采集时间点的请求情况。通过该图表可以清晰地 了解到该域名的访问热门稈度、该域名所在服务器的性能情况。通过该类分析可以精 中国科花论义在 准定位用户的访问历史,从而可以指定完善的商业推送策咯。 总结 本系统釆用语言编写,通用性好,可扩展性强,能有效的在该系统所设计的接口 上进一步进行业务开发,使用简捷、直观、方便,并在大型骨干网上进行了试运行,实现了 实时监控网络设备和链路并利用历史性能数据分析和预测网络趋势等基木功能。但是 如何应增强网络性能管理中的主动性、智能性,使网络可以自动及吋地调整自身状态,减少 人⊥参与,这些都是我们亟待解决的问题 参考文献 郑人杰等.《实用软件工程》(第一版)[].北京:清华大学出版社 互动百科 协议[ 年年 谢希仁.《计算机刚络》(第四版)[].北京:电子工业出版社, 年 刘芳.《网络流量监测与控制》(第一版)L」,北京:北京邮电大学出版社 张玮.基于协议分析的网络流量监测系统研究与开发L 长沙:中南大学, 年月 )[].北京:机械工业出版社, 作者简介:罗海峰,男,年生,硕士研究生,主要研究方向是宽带网络

...展开详情
img

关注 私信 TA的资源

上传资源赚积分,得勋章
相关内容推荐