基于被动DNS流量的权威域名服务器冗余度缩减检测方法及装置制造方法及图纸

本发明专利技术公开了一种基于被动DNS流量的权威域名服务器冗余度缩减检测方法及装置，包括：基于捕获的DNS流量，生成数据包日志文件；根据DNS流量的时间戳与标识符ID，保存依据日志文件生成的授权依赖三元组、别名依赖三元组、访问依赖三元组、父域依赖三元组与辅助地址依赖三元组，生成若干三元组日志文件；解析所述三元组日志文件，生成动态解析依赖图；基于动态解析依赖图进行权威服务器冗余度分析，得到检测结果。本发明专利技术可以系统、全面的测量分析区域在主机名、IP地址、子网前缀、自治域号、组织机构、地理位置各维度上的静态/动态、局部/全局的冗余度，分析权威域名服务器之间、权威域名服务器和解析器之间存在的动态解析依赖和权重变化。重变化。重变化。

【技术实现步骤摘要】
基于被动DNS流量的权威域名服务器冗余度缩减检测方法及装置


[0001]本专利技术涉及配置问题检测领域，具体为一种基于被动DNS流量的权威域名服务器冗余度缩减检测方法及装置。

技术介绍

[0002]根据RFC1035，广义上的域名服务器分为两大类，存储资源记录的权威域名服务器(Authoritative Domain Name Server,ADNS)以及代替用户访问的递归域名服务器(Recursive Domain Name Server,RDNS)。ADNS负责提供域名的资源记录返回给RDNS。针对同一个域名，管理者会授权多个ADNS共同负责该域名的解析。其中ADNS的个数，就叫做域名的ADNS冗余度。而冗余度缩减表示，域名管理者原本通过NS记录设定了多个ADNS以满足RFC1912最低2个的要求(R.Elz,R.Bush,S.Bradner,and M.Patton,“Selection and operation of secondary dns servers,”1997)，但在实际部署过程中，可能由于各种原因，导致实际的ADNS冗余度比原本设定的要小。举个例子，某个区域的ADNS个数，在主机名维度是2个，但这2个ADNS共用同一个IP地址，则在IP维度，其区域的ADNS冗余度缩小为1，存在单点失效的安全风险(F.Maury,“Dns single point of failure detection using transitive availability dependency analysis,”2018)。
[0003]当前检测权威域名服务器冗余度缩减的方法，主要分为两类。
[0004]一种是只考虑单个域名的ADNS冗余度，以在主机名维度上，不同ADNS的名字个数作为冗余度基准，对比其他维度上，看其他维度上的冗余度是否减少，来判断该域名是否存在ADNS冗余度缩减配置问题，例如文献V.Pappas,P.D.Massey,and L.Zhang,“Distributed dns troubleshooting,”in Proceedings of the ACM SIGCOMM workshop on Network troubleshooting:research,theory and operations practice meet malfunctioning reality,2004,pp.265
–
270、文献C.Deccio,J.Sedayao,K.Kant,and P.Mohapatra,“Measuring availability in the domain name system,”in 2010Proceedings IEEE INFOCOM.IEEE,2010,pp.1
–
5、文献C.Deccio,J.Sedayao,K.Kant,and P.Mohapatra,“Quantifying dns namespace influence,”Computer Networks,vol.56,no.2,pp.780
–
794,2012、文献S.Bates,J.Bowers,S.Greenstein,J.Weinstock,Y.Xu,and J.Zittrain,“Evidence of decreasing internet entropy:the lack of redundancy in dns resolution by major websites and services,”National Bureau of Economic Research,Tech.Rep.,2018、及文献G.C.Moura,S.Castro,W.Hardaker,M.Wullink,and C.Hesselman,“Clouding up the internet:how centralized is dns traffic becoming？”in Proceedings of the ACM Internet Measurement Conference,2020,pp.42
–
49。主要通过直接获取该域名的区域文件，分析区域文件中的NS、A记录来判定是否存在IP维度上的冗余度缩减，进一步利用IP进行子网网段、ASN自治域编号、域名服务器管理机构、地理位置定位的测量，检测是否存在这几个维度上的冗余度缩减。此方法计算
得到的该域名的ADNS冗余度，没有考虑到该域名的解析过程中，解析依赖传递(参考文献V.Ramasubramanian and E.G.Sirer,“Perils of transitive trust in the domain name system,”in Proceedings of the 5th ACM SIGCOMM conference on Internet Measurement,2005,pp.35
–
35)，可能会导致该域名在整个域名空间中的ADNS冗余度发生进一步缩减，结果不够全面。
[0005]另一种则是考虑了在解析该域名的过程中会依赖其他域名的解析，若其他域名的ADNS冗余度在某种维度上比该域名更小，则该域名实际的ADNS冗余度可能也会受到影响，例如文献V.Ramasubramanian and E.G.Sirer,“Perils of transitive trust in the domain name system,”in Proceedings of the 5th ACM SIGCOMM conference on Internet Measurement,2005,pp.35
–
35、文献C.Deccio,C.C.Chen,P.Mohapatra,J.Sedayao,and K.Kant,“Quality of name resolution in the domain name system,”in 2009 17th IEEE International Conference on Network Protocols.IEEE,2009,pp.113
–
122、文献J.Jian,“On the inconsistency and multiple dependency in dns delegation mechanism,”Ph.D.dissertation,Tsinghua University,2013、文献J.Jiang,J.Zhang,H.Duan,K.Li,and W.Liu,“Analysis and Measurement of Zone Dependency in the Domain Name System,”in 2018IEEE International Conference on Communications(ICC),May 2018,pp.1
–
7,00000、文献本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于被动DNS流量的权威域名服务器冗余度缩减检测方法，其步骤包括：1)基于捕获的DNS流量，生成数据包日志文件；2)根据DNS流量的时间戳与标识符ID，保存依据数据包日志文件生成的授权依赖三元组、别名依赖三元组、访问依赖三元组、父域依赖三元组与辅助地址依赖三元组，以生成若干三元组日志文件；3)解析所述三元组日志文件，生成动态解析依赖图；4)基于动态解析依赖图进行权威服务器冗余度分析，得到检测结果。2.如权利要求1所述的方法，其特征在于，通过以下步骤生成数据包日志文件：1)解析DNS流量的字段，其中所述字段包括：时间戳、标识符ID、源IP、目的IP、包类型、请求域名、请求类型、响应码、资源记录和响应类型，资源记录的类型包括：代表域名授权的资源记录、代表服务器对应IP地址的资源记录和代表服务器别名的资源记录；代表域名授权的资源记录包括：SOA类型资源记录和NS类型资源记录；代表服务器对应IP地址的资源记录包括：A类型资源记录和AAAA类型资源记录；代表服务器别名的资源记录包括：CNAME类型资源记录和DNAME类型资源记录。2)基于设定过滤条件，对时间戳、标识符ID、源IP、目的IP、请求域名及资源记录进行过滤，其中所述设定过滤条件包括：DNS流量为响应包、响应码表示响应包正常、请求类型与响应类型在资源记录类型中和源IP、目的IP、请求域名、资源记录的格式与值范围满足请求意见稿规定；3)根据过滤后的时间戳、标识符ID、源IP、目的IP、请求域名及资源记录，生成数据包日志文件。3.如权利要求2所述的方法，其特征在于，生成授权依赖三元组的方法包括：基于代表域名授权的资源记录生成；生成别名依赖三元组的方法包括：基于代表服务器别名的资源记录生成；生成访问依赖三元组的方法包括：基于源IP、目的IP和请求域名生成；生成辅助地址依赖三元组的方法包括：基于代表服务器对应IP地址的资源记录生成；通过以下步骤生成父域依赖三元组：1)切分请求域名的字段，生成多个子域名；2)利用数据包日志文件对子域名进行过滤；3)基于请求域名与过滤后的子域名，生成父域依赖三元组。4.如权利要求1所述的方法，其特征在于，基于动态解析依赖图进行权威服务器冗余度分析之前，通过以下步骤对动态解析依赖图进行优化：1)利用可获取的合法域名列表，删除动态解析依赖图中包含非法域名的域名节点及相关依赖边；2)使用可获取的区域文件，并根据数据包日志文件中的域名资源记录，删除动态解析依赖图中不一致的依赖边；3)删除动态解析依赖图中多余的自循环依赖。5.如权利要求1所述的方法，其特征在于，通过以下步骤构建动态解析依赖图：1)把授权依赖三元组中的起点类型设置为域名节点zname、边类型设置为边NS、终点类型设置为域名节点sname；2)把别名依赖三元组中的起点类型设置为域名节点oname、边类型设置为边CNAME、终
点类型设置为域名节点cname；3)把辅助地址依赖三元组中的起点类型设置为域名节点hname、边类型设置为边A、终点类型设置为域名节点aip；4)将访问依赖三元组拆分成请求侧三元组及响应侧三元组，并把请求侧三元组中的起点类型设置为域名节点sip、边类型设置为边QF、终点类型设置为域名节点qname，把响应侧三元组中的起点类型设置为域名节点qname、边类型设置为边QT、终点类型设置为域名节点dip；5)把父域依赖三元组中的边类型设置为边LEVEL；6)综合各三元组的域名节点及边，构建动态解析依赖图，其中每一域名节点或边包括一或多种类型；将每一域名节点或边作...

【专利技术属性】
技术研发人员：朱宇佳，黄彩云，刘庆云，杨嵘，李白杨，吴佳挺，马泽宇，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：