(華南理工大學(xué)a.軟件學(xué)院;b.計算機(jī)科學(xué)與工程學(xué)院, 廣州 510006)
摘 要:分析當(dāng)前DNS系統(tǒng)安全在服務(wù)監(jiān)控統(tǒng)計方面的進(jìn)展及問題,設(shè)計一種基于Netfilter的多層次構(gòu)架實時監(jiān)控統(tǒng)計系統(tǒng)DRMSS。其利用Netfilter在Linux內(nèi)核空間實現(xiàn)DNS數(shù)據(jù)的實時過濾與解析,開發(fā)misc文件設(shè)備驅(qū)動模塊以提供內(nèi)核空間與用戶空間之間內(nèi)存映射,并結(jié)合讀寫同步算法,實現(xiàn)兩種空間之間數(shù)據(jù)的快速交換。實驗表明,DRMSS顯著提高了域名監(jiān)控統(tǒng)計的服務(wù)性能,增強(qiáng)了域名服務(wù)的安全性。
關(guān)鍵詞:域名服務(wù);Netfilter;內(nèi)存映射;實時監(jiān)控
中圖分類號:TP393文獻(xiàn)標(biāo)志碼:A
文章編號:1001-3695(2009)04-1487-04
Design of DNS real-time monitor and statistics system based on Netfilter
WANG Zhen-yua,DENG Jin-fub
(a.School of Software Engineering,b.School of Computer Science Engineering, South China University of Technology, Guangzhou510006, China)
Abstract:By analyzing the current research status and problems of DNS security services in monitor and statistics fields, this paper designed and implemented a multi-level framework DNS real-time monitor system(DRMSS) based on Netfilter.It made use of netfilter to filter and analyze DNS services data in Linux kernel space, developed a misc file device driver module to provide memory mapping between kernel space and user space, and realized data exchange between two spaces by combining read-write synchronization algorithm.Experimental results indicate that DRMSS enhances the security of domain name services,and optimize performance of services.
Key words:DNS;Netfilter;memory mapping;real-time monitor
0 引言
域名服務(wù)系統(tǒng)(domain name system)是一種廣泛用于TCP/IP網(wǎng)絡(luò)的分布式域名服務(wù),完成從主機(jī)域名到IP地址的映射關(guān)系的查詢。ISC BIND[1]及Foundation CNS[2]作為當(dāng)前主流域名服務(wù)軟件,由于開發(fā)著重點的局限,在服務(wù)統(tǒng)計監(jiān)控方面存在很多不足[3]。DNS服務(wù)器的實時監(jiān)控及異常自動處理等功能對于提高網(wǎng)絡(luò)的安全性和服務(wù)質(zhì)量非常必要,而服務(wù)數(shù)據(jù)的統(tǒng)計整合也能為企業(yè)的產(chǎn)品規(guī)劃戰(zhàn)略提供準(zhǔn)確的業(yè)務(wù)數(shù)據(jù)支持。
1 當(dāng)前研究進(jìn)展及問題
目前有許多軟件被用于限制惡性攻擊,但都是被動式的,在輸入DNS黑名單前需要人工辨別。Dnstop[4]、Des[5]等工具只能提供DNS數(shù)據(jù)中某一方面的計數(shù),因此缺少相關(guān)的調(diào)查分析能力,也不能簡單地分辨出感興趣的趨勢。
通用DNS應(yīng)用軟件BIND、CNS提供的日志數(shù)據(jù)包含很多關(guān)鍵信息,這些信息能夠幫助定位一部分安全問題。但是,手工處理這些日志文件是個很繁瑣而低效的工作。擴(kuò)展的日志監(jiān)視工具僅將重心放在處理具體領(lǐng)域,或者用于查看特定域名的手工列表,而特定的日志事件要實現(xiàn)成功處理,其先決條件是監(jiān)視系統(tǒng)能夠理解哪些操作信息需要考慮。然而,許多安全事務(wù)會影響這種監(jiān)測。
通過DNS查詢?nèi)罩舅鶛z測到的異??赡苁钦嬲陌踩怨?,也可能只是一個配制錯誤。因此,在許多情況下,僅僅利用DNS查詢?nèi)罩具M(jìn)行數(shù)據(jù)視圖化分析,遠(yuǎn)不能發(fā)現(xiàn)視圖顯示異常的真正原因。DNS服務(wù)報文[6](又稱為消息)是 DNS所有域協(xié)議通信的載體,其格式如圖1所示,其報文類型、狀態(tài)等底層特征及回應(yīng)報文數(shù)據(jù)反映了DNS服務(wù)狀態(tài),在分析服務(wù)監(jiān)控異常中起關(guān)鍵作用。然而,由于應(yīng)用軟件日志實現(xiàn)的限制以及數(shù)據(jù)的敏感性,這些在監(jiān)控分析時起關(guān)鍵作用的數(shù)據(jù)卻無法得到。
DNS應(yīng)用軟件BIND、CNS及Dnstop、Des等工具均利用DNS的日志查詢機(jī)制進(jìn)行統(tǒng)計分析,但是日志機(jī)制對查詢?nèi)罩径歼M(jìn)行I/O存儲, 因此I/O成為了影響性能的主要瓶頸之一。此外,當(dāng)域名訪問頻率過快時,日志記錄無法及時寫入,導(dǎo)致服務(wù)數(shù)據(jù)丟失。針對開源的BIND,文獻(xiàn)[7]采用了修改查詢的統(tǒng)計方式來解決性能問題,但其無法對回應(yīng)數(shù)據(jù)進(jìn)行統(tǒng)計,更無法進(jìn)行異常的實時處理。
2 基于Netfilter的域名實時監(jiān)控統(tǒng)計系統(tǒng)總體設(shè)計
Netfilter[8]是Linux內(nèi)核2.6.x系列中可選安裝的一套功能強(qiáng)大而靈活的防火墻架構(gòu)。其嵌入內(nèi)核IP協(xié)議棧的一系列調(diào)用入口,根據(jù)網(wǎng)絡(luò)報文的流向為多種協(xié)議定義五種鉤子,設(shè)置報文處理路徑,能夠提供快速的數(shù)據(jù)獲取解析服務(wù)。
系統(tǒng)基于Netfilter能進(jìn)行實時DNS應(yīng)用數(shù)據(jù)過濾解析,分析處理,為DNS域名服務(wù)實時監(jiān)控提供了完整的實時監(jiān)控方案??傮w構(gòu)架設(shè)計如圖2所示:前臺應(yīng)用管理層、數(shù)據(jù)庫數(shù)據(jù)統(tǒng)計整合層、后臺DNS服務(wù)器組監(jiān)控層。各層通過TCP/IP socket進(jìn)行數(shù)據(jù)通信。
前臺應(yīng)用管理層為系統(tǒng)表現(xiàn)層,采用B/S構(gòu)架,安裝在應(yīng)用服務(wù)器中,集中管理配制及展示各項服務(wù)。程序包括前臺管理層和前臺代理層。前臺管理層包括系統(tǒng)管理服務(wù)、數(shù)據(jù)統(tǒng)計整合服務(wù)、統(tǒng)計展示管理服務(wù)和監(jiān)控管理服務(wù)。統(tǒng)計整合服務(wù)通過控制數(shù)據(jù)庫整合服務(wù)將數(shù)據(jù)按需求進(jìn)行整合挖掘分析;統(tǒng)計展示管理服務(wù)采用Flying Term算法[9],對DNS服務(wù)數(shù)據(jù)進(jìn)行趨勢特征分析,實現(xiàn)圖表形式的展現(xiàn);監(jiān)控管理服務(wù)用于配制DNS服務(wù)器監(jiān)控層,包括黑名單管理、自動異常處理管理和服務(wù)失敗監(jiān)控管理,并對各功能進(jìn)行可視化方式的及時展示,以便快速地查找異常及趁勢,進(jìn)行即時處理。前臺代理層包括遠(yuǎn)程控制代理、數(shù)據(jù)庫代理,通過socket通信傳遞XML數(shù)據(jù)實現(xiàn)與后臺DNS服務(wù)器組監(jiān)控層(部署于各DNS應(yīng)用服務(wù)器),以及數(shù)據(jù)庫統(tǒng)計整合層(部署于數(shù)據(jù)庫服務(wù)器)的通信,三層之間協(xié)同合作完成各種操作控制。
數(shù)據(jù)庫統(tǒng)計整合層部署于數(shù)據(jù)庫服務(wù)器,提供數(shù)據(jù)接收整合分析服務(wù)。數(shù)據(jù)庫代理服務(wù)為守護(hù)進(jìn)程,通過與應(yīng)用前臺總代理的通信,控制數(shù)據(jù)入庫及整合分析。數(shù)據(jù)整合分析服務(wù)則調(diào)用系統(tǒng)cron服務(wù)定時啟動對服務(wù)數(shù)據(jù)的整合分析,移除過期數(shù)據(jù),并提供擴(kuò)展的數(shù)據(jù)挖掘功能接口。數(shù)據(jù)入庫服務(wù)接收各DNS服務(wù)器監(jiān)控統(tǒng)計服務(wù)發(fā)送的數(shù)據(jù),并對這些數(shù)據(jù)進(jìn)行適當(dāng)?shù)霓D(zhuǎn)換、去噪操作后存入數(shù)據(jù)庫中。數(shù)據(jù)統(tǒng)計整合減少了數(shù)據(jù)庫存量,滿足歷史數(shù)據(jù)的分析,提高了檢索性能,通過擴(kuò)展數(shù)據(jù)挖掘接口,方便發(fā)現(xiàn)具有商業(yè)價值的數(shù)據(jù)趁勢。
DNS服務(wù)器組監(jiān)控層部署在多臺DNS服務(wù)器中,采用C/S構(gòu)架,是系統(tǒng)服務(wù)的核心處理層。程序分為內(nèi)核空間和用戶空間兩部分,通過MISC設(shè)備驅(qū)動模塊內(nèi)存映射實現(xiàn)內(nèi)核空間與用戶空間空間的數(shù)據(jù)交換[10]?;贜etfilter實現(xiàn)了DNS服務(wù)數(shù)據(jù)的獲取、監(jiān)控以及服務(wù)異常的實時處理。主要模塊有:后臺代理服務(wù)、數(shù)據(jù)過濾解析服務(wù)、數(shù)據(jù)分析服務(wù)、服務(wù)監(jiān)控處理服務(wù)、處理分發(fā)服務(wù)和設(shè)備驅(qū)動模塊。
3 DNS服務(wù)器組監(jiān)控層詳細(xì)設(shè)計
基于Netfilter的監(jiān)控層結(jié)構(gòu)如圖3所示。采用Netfilter快速完整的過濾解析DNS服務(wù)數(shù)據(jù),支持任何粒度及類型分析,解決日志方式信息不全面的問題;IP協(xié)議棧中完成數(shù)據(jù)的過濾解析,重組信息幀,減少傳輸數(shù)據(jù)量;設(shè)置內(nèi)核緩沖區(qū)以解決傳輸不及時導(dǎo)致丟包問題。內(nèi)核空間與用戶空間數(shù)據(jù)傳輸使用內(nèi)存映射方式讀寫,減少系統(tǒng)狀態(tài)切換及數(shù)據(jù)多次復(fù)制時間。用戶空間內(nèi)存緩沖文件存儲相關(guān)統(tǒng)計及監(jiān)控信息,首先解決了I/O瓶頸問題;其次,因為域名訪問具有局部性,其提高了數(shù)據(jù)查詢更改的效率。一定時間內(nèi)數(shù)據(jù)緩存在內(nèi)存也為對網(wǎng)絡(luò)訪問的實時監(jiān)控提供了條件。
數(shù)據(jù)過濾解析服務(wù)包括應(yīng)答數(shù)據(jù)過濾解析模塊和請求數(shù)據(jù)過濾解析模塊。請求數(shù)據(jù)過濾解析模塊是在NF_IP_LOCAL_IN參考點注冊的回調(diào)函數(shù),設(shè)置其優(yōu)先級最低,從而保證只有那些已經(jīng)通過所有防火墻過濾規(guī)則的數(shù)據(jù)包才被截獲。其處理流程如圖4(a)所示,數(shù)據(jù)包被截獲后,依據(jù)設(shè)定規(guī)則進(jìn)行解析過濾分析,并將數(shù)據(jù)組合成信息幀寫入內(nèi)核緩沖區(qū)Qust_DataGram_Table。符合規(guī)則的數(shù)據(jù)返回NF_ACCEPT,發(fā)送給域名服務(wù)器軟件處理;不符合規(guī)則的數(shù)據(jù)則返回NF_DROP,報文被丟棄。應(yīng)答數(shù)據(jù)過濾解析模塊是在NF_IP_LOCAL_OUT參考點注冊的回調(diào)函數(shù),設(shè)置其優(yōu)先級最低。其處理流程如圖4(b)所示,本機(jī)發(fā)出的DNS回應(yīng)數(shù)據(jù)被截獲后,依據(jù)設(shè)定規(guī)則進(jìn)行解析分析,將處理數(shù)據(jù)發(fā)送至內(nèi)核緩沖區(qū)Ack_DataGram_Table,返回ACCEPT,發(fā)送給請求客戶。
虛擬文件系統(tǒng)將用戶虛擬內(nèi)存區(qū)映射到內(nèi)核空間緩沖區(qū)頁面,數(shù)據(jù)分析服務(wù)從映射內(nèi)存中按低位到高位順序讀取數(shù)據(jù)并進(jìn)行分析,甄別異常服務(wù)(超出設(shè)定閾值等異常特征)。若發(fā)現(xiàn)異常服務(wù),系統(tǒng)將異常信息事件報告給監(jiān)控程序,監(jiān)控程序根據(jù)事件信息調(diào)用相應(yīng)方式生成控制命令,通過Netlink[11]方式傳送至內(nèi)核空間運(yùn)行的處理分發(fā)服務(wù),并將異常事件信息及處理結(jié)果寫入異常內(nèi)存表,最后通過后臺代理,將異常事件及時在前臺展現(xiàn)。處理分發(fā)服務(wù)接受并解釋命令,更改請求應(yīng)答規(guī)則表,實現(xiàn)實時事件處理。處理方式有:a)改變內(nèi)核過濾解析服務(wù)的解析策略;b)改變內(nèi)核過濾解析服務(wù)的過濾策略:如對相同源IP一定時間內(nèi)頻繁查詢(可能是DNS拒絕服務(wù)攻擊),丟棄報文,拒絕服務(wù);c)改變分析服務(wù)策略;d)通過后臺代理,遠(yuǎn)程控制DNS應(yīng)用軟件處理。
數(shù)據(jù)轉(zhuǎn)發(fā)程序由一個稱為檢驗進(jìn)程的守護(hù)進(jìn)程控制。當(dāng)定時器超時或者內(nèi)存數(shù)據(jù)表數(shù)據(jù)值達(dá)到一定大小時,檢驗進(jìn)程將調(diào)用數(shù)據(jù)轉(zhuǎn)發(fā)程序,通過與服務(wù)器數(shù)據(jù)入庫程序協(xié)作將各內(nèi)存緩沖數(shù)據(jù)表寫入數(shù)據(jù)庫,為將來審計提供原始數(shù)據(jù)。
4 用戶空間與內(nèi)核空間內(nèi)存映射
傳統(tǒng)用戶空間與內(nèi)核空間的數(shù)據(jù)傳遞通過中斷方式,且多次數(shù)據(jù)拷貝,影響性能。共享內(nèi)存機(jī)制只支持用戶空間的內(nèi)存共享。本系統(tǒng)采用虛擬文件系統(tǒng)技術(shù)開發(fā)一個MISC字符設(shè)備驅(qū)動模塊drmssmmap,為用戶空間程序訪問內(nèi)核緩沖區(qū)提供內(nèi)存映射支持,并結(jié)合同步讀寫算法使兩種空間讀寫操作實現(xiàn)內(nèi)存共享,減少狀態(tài)切換及數(shù)據(jù)拷備時間,提高數(shù)據(jù)傳輸性能。
首先在/dev目錄下創(chuàng)建一個字符設(shè)備文件drmssmmap,主設(shè)備號為10;編寫設(shè)備描述文件,并定義設(shè)備文件操作結(jié)構(gòu)drmssmmap_fops如下:
static struct file_operations drmssmmap_fops ={
open:drmssmmap_open, /* 定義open的實現(xiàn)函數(shù),為空操作*/
release:drmssmmap_close,
/*定義release的實現(xiàn)函數(shù),為空操作*/
mmap:drmssmmap_mmap /* 定義mmap的實現(xiàn)函數(shù),在drmssmmap_mmap函數(shù)中實現(xiàn)內(nèi)存映射 */
};
Drmssmmap_mmap函數(shù)是mmap系統(tǒng)調(diào)用的在內(nèi)核中的實現(xiàn)函數(shù), 其核心是調(diào)用核心態(tài)內(nèi)存頁面映射函數(shù)remap_page_range實現(xiàn)將用戶空間進(jìn)程請求的虛擬內(nèi)存(用struct vm_area表示)映射到內(nèi)核緩沖區(qū)。Drmssmmap模塊加載時注冊設(shè)備文件,用戶空間程序打開設(shè)備文件drmssmmap,執(zhí)行系統(tǒng)調(diào)用mmap,即調(diào)用內(nèi)核驅(qū)動模塊中的drmssmmap_mmap函數(shù),實現(xiàn)用戶空間虛擬內(nèi)存區(qū)與內(nèi)核緩沖區(qū)的映射。
5 用戶空間與內(nèi)核空間數(shù)據(jù)傳輸
用戶空間與內(nèi)核空間之間的數(shù)據(jù)傳輸方式有兩種:a)通過Netlink傳輸用戶空間的監(jiān)控處理服務(wù)數(shù)據(jù)到內(nèi)核空間的處理分發(fā)服務(wù);b)通過drmssmmap文件設(shè)備驅(qū)動模塊提供的內(nèi)存映射傳輸內(nèi)核態(tài)的數(shù)據(jù)過濾解析服務(wù)數(shù)據(jù)到用戶態(tài)的數(shù)據(jù)分析服務(wù)。
Netlink協(xié)議為用戶空間進(jìn)程與內(nèi)核模塊之間的通信提供了一種靈活而高級的通信機(jī)制:全雙工、帶緩存的I/O、組播和異步通信[11]。由于Netlink使用軟中斷而不是內(nèi)核線程來接收數(shù)據(jù),這樣就可以保證數(shù)據(jù)接收的實時性。Netlink傳輸數(shù)據(jù)格式如圖5(a)所示。
Linux內(nèi)核2.6中,內(nèi)存頁面為4 KB,緩沖區(qū)大小為4 KB的整倍數(shù)的兩個頁表:Quest_DataGram_Table存放請求數(shù)據(jù)過濾解析服務(wù)數(shù)據(jù)交換區(qū);Ack_DataGram_Table存放應(yīng)答數(shù)據(jù)過濾解析服務(wù)數(shù)據(jù)交換區(qū)。通過設(shè)備驅(qū)動映射,程序建立用戶空間和內(nèi)核空間的統(tǒng)一偏移間接尋址地址轉(zhuǎn)換,兩個頁表區(qū)實現(xiàn)從偏移0到最高地址偏移MaxOffset的順序讀寫控制。內(nèi)核空間的數(shù)據(jù)過濾解析服務(wù)在緩沖區(qū)中根據(jù)寫指針不斷寫入生成規(guī)則數(shù)據(jù);同時用戶空間分析程序根據(jù)讀指針從緩沖區(qū)中不斷讀出數(shù)據(jù)進(jìn)行分析,因此需要同步兩者之間的讀寫。必須保證寫指針當(dāng)前所指向的地址數(shù)據(jù)是空的或已經(jīng)被讀取,讀指針當(dāng)前所指向的地址數(shù)據(jù)有實際數(shù)據(jù)并且尚未被讀取,并保證讀指針和寫指針不能同時操作同一個地址。在系統(tǒng)中,對內(nèi)核緩沖區(qū)的讀寫同步算法主要通過利用報頭設(shè)置同步字節(jié)實現(xiàn)。
邏輯上,緩沖區(qū)是由許多數(shù)據(jù)記錄構(gòu)成的多個連續(xù)頁,每條數(shù)據(jù)記錄是一個數(shù)據(jù)幀,數(shù)據(jù)幀格式如圖5(b)所示,分為幀頭和幀體兩部分。幀頭由4個字節(jié)構(gòu)成。首字節(jié)為同步字節(jié)Syn,鎖定位1表示幀正處理讀寫指針操作,否則開放鎖。有效位1表示幀數(shù)據(jù)有意義,而非格式化數(shù)據(jù)、讀寫位1表示數(shù)據(jù)被寫入,否則表示數(shù)據(jù)無效或已被讀取,重編位1表示此幀為數(shù)據(jù)重編碼幀,到達(dá)有效數(shù)據(jù)緩沖區(qū)最高位,重新從緩沖區(qū)最低處開始寫入數(shù)據(jù)。其中:類型type表示幀體類型;數(shù)據(jù)數(shù)目num表示主體數(shù)據(jù)個數(shù);幀長度len表示數(shù)據(jù)幀所占字節(jié)個數(shù)。
寫數(shù)據(jù)流程如圖6所示:先將緩沖區(qū)格式化為0x00,W表示寫指針偏移,預(yù)寫指針PW與W之間形成數(shù)據(jù)可寫區(qū),管理預(yù)寫入數(shù)據(jù)所用空間,防止讀寫導(dǎo)致的數(shù)據(jù)覆蓋、碎片數(shù)據(jù)問題。當(dāng)數(shù)據(jù)可寫區(qū)連續(xù)空間足夠容納寫入幀data,區(qū)內(nèi)已讀或已格式化,且未鎖定時,才可以進(jìn)行寫入操作。當(dāng)預(yù)寫指針到達(dá)緩沖區(qū)最高偏移區(qū)且可寫區(qū)無足夠空間寫入幀data時,寫入重編幀通知讀指針,下一條有效數(shù)據(jù)幀開始于寫指針最低偏移位0,然后將寫指針和預(yù)寫指針置為0。重編幀如圖5(c)所示,只含有幀頭,置同步字節(jié)Syn中有效位和重編位為1,其余全為0。
讀流程如圖7所示,從最緩沖區(qū)最低偏移0開始讀寫,當(dāng)預(yù)讀定的幀同步幀Syn鎖定位、重編位為0,有效位、讀寫位為1時讀取幀數(shù)據(jù)。當(dāng)預(yù)讀幀同步字節(jié)Syn重編位為1,或讀指針距緩沖區(qū)最高偏移小于4 Byte時,表示下一幀開始于緩沖區(qū)最低位0,讀指針置為0,重新讀取過程。
6 實驗結(jié)果
實驗的運(yùn)行硬件環(huán)境:CPU為Intel Pentium(R)4 3.06 GHz,內(nèi)存為0.99 GB的PC機(jī),100 Mbps網(wǎng)絡(luò)。軟件系統(tǒng):Fedora Linux,內(nèi)核2.6.21,DNS應(yīng)用軟件為BIND 9.3.1。測試客戶端禁用DNS緩存,BIND禁用緩存服務(wù)。所有查詢域名在DNS服務(wù)器存在相應(yīng)域名解析文件。程序調(diào)用Java的InetAddress.getAllByName()函數(shù),運(yùn)行于兩臺PC機(jī)上,產(chǎn)生多個線程,同時向DNS服務(wù)器請求域名解析。請求域名隨機(jī)地從40個域名中選取產(chǎn)生,一共向DNS服務(wù)器發(fā)出100 000 次域名的請求。圖8顯示了在不同的域名查詢速度條件下,使用開啟日志統(tǒng)計功能的BIND域名訪問、關(guān)閉日志統(tǒng)計功能BIND域名訪問和使用無日志功能的BIND加DRMSS后域名訪問的平均時間比較。
通過實驗結(jié)果數(shù)據(jù)對比表明:使用BIND日志統(tǒng)計時,當(dāng)日志丟失率為0時,I/O操作頻繁導(dǎo)致處理域名的平均時間比DRMSS顯著增加。隨著查詢速率增加,日志丟失率逐漸提高,BIND處理時間逐漸減少。當(dāng)查詢速率達(dá)到一定閾值時,處理時間又將增加。而實時監(jiān)控系統(tǒng)DRMSS獨立于BIND本身,在IP協(xié)議棧中實現(xiàn)數(shù)據(jù)過濾解析,對DNS服務(wù)無較大影響,其平均訪問時間隨著訪問速率增加而緩慢增加,平均處理時間僅比BIND無日志方式增加1/2以內(nèi)。在查詢速率較低的情況下,DRMSS的平均處理時間明顯少于日志方式。
7 結(jié)束語
基于Netfilter的DNS實時監(jiān)控系統(tǒng)在IP協(xié)議棧中快速過濾解析DNS服務(wù)數(shù)據(jù),利用MISC文件設(shè)備驅(qū)動模塊及同步讀寫算法實現(xiàn)內(nèi)核空間與用戶空間的數(shù)據(jù)快速交換,并進(jìn)行實時監(jiān)控統(tǒng)計處理。系統(tǒng)具有廣泛適應(yīng)性、監(jiān)控異常準(zhǔn)確性、響應(yīng)及時性、服務(wù)數(shù)據(jù)完備性和統(tǒng)計整合有效性,能有效保障域名服務(wù)安全、提高服務(wù)性能,以及分析商業(yè)數(shù)據(jù)提供了技術(shù)保證。后期工作將改進(jìn)數(shù)據(jù)分析服務(wù),改進(jìn)數(shù)據(jù)分析算法,將數(shù)據(jù)分析服務(wù)放入的內(nèi)核空間處理,減少數(shù)據(jù)傳輸量,進(jìn)一步提高監(jiān)控性能。
參考文獻(xiàn):
[1]
ALBITZ P,LIU C.DNS and BIND[M].[S.l.]:O’Reilly Associates Inc,2006.
[2]Nominum caching name server(CNS)[EB/OL].http://www.nominum.com/.
[3]RAMASUBRAMANIAN V,SIRER E G.Perils of transitive trust in the domain name system[C]//Proc of the 5th ACM SIGCOMM Confe-rence on Internet Measurement.Berkeley,CA:USENIX Association,2005:35.
[4]KRISTOFF J.An automated incident:the measurement factory:Dnstop tool[EB/OL].(2006)[2008-02-07].http://dns.measurement-factory.com/tools/dnstop/.
[5]The measurement factory:dsc-DNS statistics collector[EB/OL].(2008)[2008-02-07].http://dns.measurement-factory.com/tools/dsc/.
[6]MOCKAPETRIS P.RFC 1035,Domain names-implementation and specification[S].USC/Information Sciences Institute, 1987.
[7]王振宇,施東煒.基于BIND域名解析服務(wù)管理的設(shè)計[J].計算機(jī)工程,2007,33(15):134 -136.
[8]RUSSELL R,WELTE H.Linux Netfilter hacking HOWTO[EB/OL].(2002-07-02)[2008-07-10].http://www.netfilter.org/documentation/HOWTO//netfilter-hacking-HOWTO.html.
[9]REN P,KRISTOFF J,GOOCH B.Visualizing DNS traffic[C]//Proc of the 3rd International Workshop on Visualization for Computer Security.New York:ACM Press,2006:23-30.
[10]CORBET J,KROAH-HARTMAN G,RUBINI A.Linux device drivers[M].3rd ed.[S.l.]:O’Reilly,2005.
[11]SALIM J,KHOSRAVI H,KLEEN A,et al.RFC3549,Linux Netlink as an IP services protocol[S].2003.