CN113596194B - 一种用于dns流量分类标定的方法和dns服务器 - Google Patents

Abstract

本发明涉及一种用于DNS流量分类标定的方法和DNS服务器。本发明采用EDNS0(扩展DNS)规范规定的协议扩展，对DNS请求报文、DNS应答报文按照不同维度DNS分类方法进行分类，并对分类信息进行编码，将编码信息写入DNS数据报文的扩展部分，为对DNS流量更为细致的处理提供条件。

Description

一种用于DNS流量分类标定的方法和DNS服务器

技术领域

本发明涉及数据流量处理技术领域，更具体而言，涉及用于DNS流量分类标定的方法和DNS服务器。

背景技术

域名系统(英文：Domain Name System，缩写：DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网，而不用去记住能够被机器直接读取的IP数串。

一般而言，当客户端发出DNS请求时，DNS请求会被转发给其他DNS服务器，由此层层递归，直到权威服务器返回包括IP地址在内的DNS应答。

目前，对DNS流量进行分类主要基于数据报文中携带的源IP、目的IP等维度在网络设备上分类或分流处理，但无法进行与域名、IP等更为细化的业务属性进行分类标定。因此，在DNS流量分类维度与细化分类方法上存在先天短板，数据报文中没有携带更多的可用于分类标定的信息。虽然DNS大数据分析领域可以基于IP细化维表进行DNS流量的分析统计，但依赖于庞大的日志存储与分析系统，属于事后分析统计，无法进行线速标定。

因此，希望提供一种能更为高效地对DNS流量进行分类标定，以便于在后续处理流程中对DNS流量进行相关业务信息分类、统计、转发的技术方案。

发明内容

提供本发明内容以便以简化形式介绍将在以下具体实施方式中进一步的描述一些概念。本发明内容并非旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。

当前运营商DNS服务受到技术的限制，只提供无差别的解析服务，对于来源、域名没有分别地提供解析。受到服务资源的限制，对于攻击流量或重要域名解析服务共享服务资源，重要用户或域名无法保障服务水平。同时对于DNS业务解析结果的分析，由于业务量巨大，日志系统需要大量计算资源进行数据匹配，并滞后了业务溯源时间。通过本发明将DNS流量在解析流程中进行匹配标定，可以解决后续的DNS流量调度问题，进行基于用户、域名的差异化服务；事先的流量标定，也为DNS解析日志解码索引入库节约了计算资源，可加速业务分析时间，提供实时的DNS流量分析。

根据本发明的一个实施例，提供了一种域名系统DNS服务器，包括：匹配模块，所述匹配模块被配置为将接收到的DNS请求报文或DNS应答报文与匹配库进行匹配，并生成匹配结果；以及标定模块，所述标定模块被配置为将所述匹配模块生成的匹配结果写入DNS请求报文或DNS应答报文的扩展部分。

根据本发明的一个实施例，提供了一种用于对DNS请求报文进行分类标定的方法，包括：接收DNS请求报文；将接收到的DNS请求报文与匹配库进行匹配，并生成匹配结果；将生成的匹配结果写入所述DNS请求报文的EDNS0OPT(伪资源记录)的RDATA部分中。

根据本发明的一个实施例，提供了一种用于对DNS应答报文进行分类标定的方法，包括：接收DNS应答报文；将接收到的DNS应答报文与匹配库进行匹配，并生成匹配结果；将生成的匹配结果写入所述DNS应答报文的EDNS0OPT(伪资源记录)的RDATA部分中。

根据本发明的一个实施例，提供了一种用于对DNS请求报文或DNS应答报文进行分类标定的计算设备，包括：处理器；存储器，所述存储器存储有指令，所述指令在被所述处理器执行时能执行上述的方法。

通过阅读下面的详细描述并参考相关联的附图，这些及其他特点和优点将变得显而易见。应该理解，前面的概括说明和下面的详细描述只是说明性的，不会对所要求保护的各方面形成限制。

附图说明

为了能详细地理解本发明的上述特征所用的方式，可以参照各实施例来对以上简要概述的内容进行更具体的描述，其中一些方面在附图中示出。然而应该注意，附图仅示出了本发明的某些典型方面，故不应被认为限定其范围，因为该描述可以允许有其它等同有效的方面。

图1示出了现有技术中的用于域名解析的系统100的示意图；

图2示出了根据本发明的一个实施例的用于对DNS流量进行分类标定的DNS服务器200的框图；

图3示出了根据本发明的一个实施例的对DNS请求报文进行分类标定的方法300的流程图；

图4示出了根据本发明的一个实施例的对DNS应答报文进行分类标定的方法400的流程图；以及

图5示出了根据本发明的一个实施例的示例性计算设备的框图500。

具体实施方式

下面结合附图详细描述本发明，本发明的特点将在以下的具体描述中得到进一步的显现。

以下具体描述参考示出本发明的示例性实施例的附图。但是，本发明的范围不限于这些实施例，而是由所附权利要求书定义。因此，诸如所示实施例的修改版本之类的在附图所示之外的实施例仍然由本发明所包含。

本说明书中对“一个实施例”、“实施例”、“示例实施例”等的引用指的是该实施例可包括特定的特征、结构或特点，但是每一实施例不一定包括该特定的特征、结构或特点。此外，这些短语不一定指相同的实施例。此外，当结合实施例描述具体特征、结构或特性时，应当理解在相关领域的技术人员的知识范围内能够结合其他实施例来实现具体特征、结构或特性，无论是否被显式地描述。

本发明采用EDNS0(扩展DNS)规范规定的协议扩展，对DNS请求报文、DNS应答报文按照不同维度DNS分类方法进行分类，并对分类信息进行编码，将编码信息写入DNS数据报文的扩展部分。本发明的目的是为了对DNS流量更为细致的处理提供条件。例如，后续处理可以按照源IP调度流量，还可以针对域名集进行符合条件的DNS流量调度。

在本发明的上下文中，以下术语具有本领域技术人员所了解的一般含义。为了清楚起见，在此进行进一步的说明。

(1)递归DNS服务器(Recursive DNS Server)：提供域名解析服务并将DNS请求进行转发的DNS服务器。

(2)权威DNS服务器：保存了权威域和记录的服务器。

(3)EDNS0：随着业务的复杂化和多样化，RFC1035中定义的DNS消息格式和它支持的消息内容已经不足以满足一些DNS服务器的需求，于是，RFC2671中提出了一种扩展DNS机制EDNS(Extension Mechanisms for DNS)，并在其中推荐了一种可以传递包大小的EDNS0。

图1示出了现有技术中的用于域名解析的系统100的示意图。DNS域名系统是因特网的基础核心服务，它将域名和IP地址进行映射解析，支撑着互联网的正常运行；按功能角色，DNS可以分为递归DNS和权威DNS，当用户发起一个域名解析请求时，会先通过递归DNS逐级进行递归查询；如果查询记录在递归DNS的缓存中，则将解析结果返回给用户；如果递归DNS的缓存中不存在相应的查询记录，则递归DNS会向权威DNS发起查询请求，并对解析结果进行更新。

参见图1，一般而言，用于域名解析的系统100包括客户端101，一个或多个递归DNS服务器102以及权威DNS服务器103。本领域的技术人员完全可以理解，这些组件可通过网络进行连接和数据传输，具体的连接方式不在本发明的讨论之内。

首先，客户端101向递归DNS服务器102发送DNS请求报文，该DNS请求报文被转发给递归DNS服务器102-1，……，最后一级递归DNS服务器102-N，然后最后一级递归DNS服务器102-N将DNS请求报文发送给权威DNS服务器103；权威DNS服务器103返回DNS应答报文，并经最后一级递归DNS服务器102-N，……，递归DNS服务器102-1，最后返回客户端101。

图2示出了根据本发明的一个实施例的用于对DNS流量进行分类标定的DNS服务器200的框图。该DNS服务器200可被实现为图1中的递归DNS服务器102中的任一者或可被实现为权威DNS服务器103。根据本发明的一个实施例，该DNS服务器200可以是图1中最靠近客户端101的递归DNS服务器102-1。

根据本发明的一个实施例，DNS服务器200包括匹配模块201，标定模块202以及匹配库203。其中，匹配库203进一步包括多个与不同分类对应的子匹配库。匹配模块201被配置为，当DNS服务器200接收到DNS请求报文或DNS应答报文之际，将DNS请求报文或DNS应答报文与匹配库203中的多个子匹配库进行匹配，并生成匹配结果。标定模块202被配置为根据匹配模块201生成的匹配结果将编码信息写入DNS数据报文的扩展部分。本领域的技术人员完全可以理解，匹配模块201和标定模块202可被实现为软件或硬件或其组合，并且DNS服务器200内各组件之间的数据传输可用各种方式来实现。

根据本发明的一个实施例，匹配库203具有一个或多个子匹配库，每个子匹配库对应于一个或多个维度的分类。例如，匹配库203可包括源IP子匹配库203-1，域名子匹配库203-2和解析结果子匹配库203-3。每个子匹配库可包括与DNS业务属性相关的一个或多个分类以及相应的编码。根据本发明的一个实施例，源IP子匹配库203-1包括源IP类型分类以及对应的编码。域名子匹配库203-2包括DNS请求报文所请求的域名的类型分类以及对应的编码。解析结果子匹配库203-3包括与解析结果有关的多个分类(诸如应答结果IP类型分类、应答类型分类以及协议类型分类)以及对应的编码。

具体而言，在源IP子匹配库203-1中规定了如下分类和编码信息：

● 源IP类型编码 10000

■ 用户类型编码 10xxx

■ 地理分布编码 11xxx

在域名子匹配库203-2中规定了如下分类和编码信息：

在解析结果子匹配库203-3中规定了如下分类和编码信息：

根据本发明的一个实施例，未能匹配上的分类编码设置为00000。本领域的技术人员可以理解，以上示出的子匹配库的数量、子匹配库中的分类以及编码仅仅是说明性的，本领域的技术人员可以根据实际需求来定义不同的子匹配库、不同的分类以及不同的编码。本领域的技术人员也可以理解，以上三个子匹配库也可以被合并到更少的子匹配库中或被进一步拆分成更多个子匹配库。

EDNS中引入了一种新的伪资源记录OPT(Resource Record)，之所以叫伪资源记录是因为它不包含任何DNS数据。一个OPT RR(伪资源记录)可以加入到DNS通信双方(请求方和应答方)的DNS请求或应答报文的附加资源(Additional data)记录字段中。伪资源记录不能被缓存，转发，存储或者从主文件中加载。

伪资源记录的固定部分和可变部分格式如表1：

表1

表1中最下面的RDATA是可变部分，其余的部分都是固定部分。其中，NAME(名称)字段目前为空；TYPE字段是OPT RR的类型编号；TTL中是扩展的DNS消息头部；RDLEN是可变部分RDATA的长度；RDATA是KV类型的可变部分。

根据本发明的一个实施例，标定模块202被配置为将匹配模块201输出的匹配结果写入EDNS0 OPT RDATA的KV键值对中。需要注意的是，每个DNS消息中只能有一个OPT伪资源记录，当有多种EDNS扩展协议时，各个{attribute,value}对一个紧接一个存储在RDATA中。例如，匹配结果可按照键值对{attribute(属性),value(值)}的方式被连续存储在RDATA中，其中“属性”指示分类，“值”指示与该分类对应的编码。

图3示出了根据本发明的一个实施例的对DNS请求报文进行分类标定的方法300的流程图。一般而言，该方法300由图2中描述的DNS服务器200来实现。

在步骤301，接收DNS请求报文。根据本发明的一个实施例，DNS请求报文来自客户端。根据本发明的另一个实施例，DNS请求报文接收自数据流方向的前一递归DNS服务器。

在步骤302，将接收到的DNS请求报文与匹配库进行匹配，并生成匹配结果。根据本发明的一个实施例，将DNS请求报文依次与匹配库中的源IP子匹配库203-1和域名子匹配库203-2进行匹配。举例而言，参照上文描述的源IP子匹配库203-1和域名子匹配库203-2，如果DNS请求报文中的信息指示源IP类型分类为用户类型，域名类型分类为授信域名(即，对应于编码23xxx)，则生成的匹配结果可为连接在一起的两个键值对“{10000,10xxx}{20000,23xxx}”。其中，第一个键值对中的“10000”表示源IP类型分类，“10xxx”表示对应于源IP类型分类中的具体分类编码，第二个键值对中的“20000”表示域名类型分类，“23xxx”表示对应于域名类型分类中的具体分类编码。本领域的技术人员完全可以理解，本文中编码部分中的“xxx”并非旨在对编码本身进行限定，而是指此处可以根据实际需求采用具体值。

在步骤303，将步骤302生成的匹配结果写入DNS请求报文中。根据本发明的一个实施例，生成的匹配结果以键值对的方式被写入DNS请求报文的EDNS0 OPT(伪资源记录)的RDATA部分中。

图4示出了根据本发明的一个实施例的对DNS应答报文进行分类标定的方法400的流程图。一般而言，该方法400由图2中描述的DNS服务器200来实现。

在步骤401，接收DNS应答报文。根据本发明的一个实施例，DNS应答报文可来自授权DNS服务器103。根据本发明的另一个实施例，DNS应答报文可接收自数据流方向的前一递归DNS服务器。根据本发明的还一个实施例，DNS应答报文可来自任何DNS服务器。

在步骤402，将接收到的DNS应答报文与匹配库进行匹配，并生成匹配结果。根据本发明的一个实施例，首先判断DNS应答报文是否已包括针对源IP子匹配库203-1和域名子匹配库203-2的匹配结果。根据本发明的一个实施例，可基于DNS应答报文的EDNS0 OPT(伪资源记录)的RDATA部分中是否包括对应于源IP子匹配库203-1和域名子匹配库203-2的键值对来判断DNS应答报文是否已包括针对源IP子匹配库203-1和域名子匹配库203-2的匹配结果。

如果DNS应答报文已包括针对源IP子匹配库203-1和域名子匹配库203-2的匹配结果，则无需针对这两个子匹配库再进行匹配，而只需将DNS应答报文与解析结果子匹配库203-3进行匹配。

如果DNS应答报文未包括针对源IP子匹配库203-1和域名子匹配库203-2的匹配结果，则将DNS应答报文依次与匹配库中的源IP子匹配库203-1、域名子匹配库203-2和解析结果子匹配库203-3进行匹配。

举例而言，在将DNS应答报文与解析结果子匹配库203-3进行匹配的示例中，参照上文描述的解析结果子匹配库203-3，如果DNS应答报文中的信息指示应答结果IP类型为IDC编码，应答类型为AAAA类型，协议类型为IPv6编码，则生成的匹配结果可为连接在一起的三个键值对“{30000,31xxx}{40000,42000}{50000,52000}”。其中，第一个键值对中的“30000”表示应答结果IP类型分类，“31xxx”表示对应于应答结果IP分类中的具体分类编码，第二个键值对中的“40000”表示应答类型分类，“42000”表示对应于应答类型分类中的具体分类编码，第三个键值对中的“50000”表示协议类型分类，“52000”表示对应于协议类型分类中的具体分类编码。

在步骤403，将步骤402生成的匹配结果写入DNS应答报文中。根据本发明的一个实施例，生成的匹配结果以键值对的方式被写入DNS应答报文的EDNS0 OPT(伪资源记录)的RDATA部分中。

根据本发明的一个实施例，图3中生成的DNS请求报文在下一个处理流程可能是转发或者是统计处理。图4中生成的DNS应答报文会在DNS大数据采集程序中会重新解码RDATA的KV键值对，这样就节约了分析计算资源。

综上，本发明的技术方案解决了DNS流量细致分类的问题，可以为后续的DNS流量调度、流量统计以及DNS日志的大数据分析提供更多的分类信息，可以在DNS安全、精细化服务以及大数据分析方面提供支持。

图5示出了根据本发明的一个实施例的示例性计算设备的框图500，该计算设备是可应用于本发明的各方面的硬件设备(例如，客户端101，递归DNS服务器102，权威DNS服务器103，DNS服务器200等)的一个示例。

参考图5，现在将描述一种计算设备500，该计算设备是可应用于本发明的各方面的硬件设备的一个示例。计算设备500可以是可被配置成用于实现处理和/或计算的任何机器，可以是但并不局限于工作站、服务器、桌面型计算机、膝上型计算机、平板计算机、个人数字处理、智能手机、车载计算机或者它们的任何组合。前述的各种方法/装置/服务器/客户端设备可全部或者至少部分地由计算设备500或者类似设备或系统来实现。

计算设备500可包括可经由一个或多个接口和总线502连接或通信的组件。例如，计算设备500可包括总线502、一个或多个处理器504、一个或多个输入设备506以及一个或多个输出设备508。该一个或多个处理器504可以是任何类型的处理器并且可包括但不限于一个或多个通用处理器和/或一个或多个专用处理器(例如，专门的处理芯片)。输入设备506可以是任何类型的能够向计算设备输入信息的设备并且可以包括但不限于鼠标、键盘、触摸屏、麦克风和/或远程控制器。输出设备508可以是任何类型的能够呈现信息的设备并且可以包括但不限于显示器、扬声器、视频/音频输出终端、振动器和/或打印机。计算设备500也可以包括非瞬态存储设备510或者与所述非瞬态存储设备相连接，所述非瞬态存储设备可以是非瞬态的并且能够实现数据存储的任何存储设备，并且所述非瞬态存储设备可以包括但不限于磁盘驱动器、光存储设备、固态存储器、软盘、软磁盘、硬盘、磁带或任何其它磁介质、光盘或任何其它光介质、ROM(只读存储器)、RAM(随机存取存储器)、高速缓冲存储器和/或任何存储芯片或盒式磁带、和/或计算机可从其读取数据、指令和/或代码的任何其它介质。非瞬态存储设备510可从接口分离。非瞬态存储设备510可具有用于实施上述方法和步骤的数据/指令/代码。计算设备500也可包括通信设备512。通信设备512可以是任何类型的能够实现与内部装置通信和/或与网络通信的设备或系统并且可以包括但不限于调制解调器、网卡、红外通信设备、无线通信设备和/或芯片组，例如蓝牙设备、IEEE 1302.11设备、WiFi设备、WiMax设备、蜂窝通信设备和/或类似设备。

总线502可以包括但不限于工业标准结构(ISA)总线、微通道结构(MCA)总线、增强型ISA(EISA)总线、视频电子标准协会(VESA)局部总线和外部设备互连(PCI)总线。

计算设备500还可包括工作存储器514，该工作存储器514可以是任何类型的能够存储有利于处理器504的工作的指令和/或数据的工作存储器并且可以包括但不限于随机存取存储器和/或只读存储设备。

软件组件可位于工作存储器514中，这些软件组件包括但不限于操作系统516、一个或多个应用程序518、驱动程序和/或其它数据和代码。用于实现本发明上述方法和步骤的指令可包含在所述一个或多个应用程序518中，并且可通过处理器504读取和执行所述一个或多个应用程序518的指令来实现本发明的上述方法300。

也应该认识到可根据具体需求而做出变化。例如，也可使用定制硬件、和/或特定组件可在硬件、软件、固件、中间件、微代码、硬件描述语音或其任何组合中实现。此外，可采用与其它计算设备、例如网络输入/输出设备等的连接。例如，可通过具有汇编语言或硬件编程语言(例如，VERILOG、VHDL、C++)的编程硬件(例如，包括现场可编程门阵列(FPGA)和/或可编程逻辑阵列(PLA)的可编程逻辑电路)利用根据本发明的逻辑和算法来实现所公开的方法和设备的部分或全部。

尽管目前为止已经参考附图描述了本发明的各方面，但是上述方法、系统和设备仅是示例，并且本发明的范围不限于这些方面，而是仅由所附权利要求及其等同物来限定。各种组件可被省略或者也可被等同组件替代。另外，也可以在与本发明中描述的顺序不同的顺序实现所述步骤。此外，可以按各种方式组合各种组件。也重要的是，随着技术的发展，所描述的组件中的许多组件可被之后出现的等同组件所替代。

以上各实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述各实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围，其均应涵盖在本申请的权利要求和说明书的范围当中。

Claims (6)

1.一种域名系统DNS服务器，包括：

匹配模块，所述匹配模块被配置为将接收到的DNS请求报文或DNS应答报文与匹配库进行匹配，并生成匹配结果；以及

标定模块，所述标定模块被配置为将所述匹配模块生成的匹配结果写入DNS请求报文或DNS应答报文的扩展部分；

其中，所述匹配库具有一个或多个子匹配库，每个子匹配库包括与DNS业务属性相关的一个或多个分类以及对应的编码；

其中，所述一个或多个子匹配库进一步包括：源IP子匹配库、域名子匹配库和解析结果子匹配库，其中所述源IP子匹配库包括所述DNS请求报文的源IP类型分类以及对应的编码，所述域名子匹配库包括所述DNS请求报文所请求的域名的类型分类以及对应的编码，所述解析结果子匹配库包括所述DNS应答报文的应答结果IP类型以及对应的编码、所述DNS应答报文的应答类型以及对应的编码以及所述DNS应答报文的协议类型以及对应的编码。

2.如权利要求1所述的DNS服务器，其特征在于，所述匹配结果具有键值对{属性,值}的形式，其中所述属性指示分类，所述值指示与该分类对应的编码。

3.如权利要求2所述的DNS服务器，其特征在于，DNS请求报文或DNS应答报文的扩展部分为DNS请求报文或DNS应答报文的EDNS0 OPT伪资源记录的RDATA部分。

4.一种用于对DNS请求报文进行分类标定的方法，包括：

接收DNS请求报文；

将接收到的DNS请求报文与匹配库进行匹配，并生成匹配结果；

将生成的匹配结果写入所述DNS请求报文的EDNS0 OPT伪资源记录的RDATA部分中；

其中，将接收到的DNS请求报文与匹配库进行匹配，并生成匹配结果，进一步包括：

将所述DNS请求依次与所述匹配库中的源IP子匹配库和域名子匹配库进行匹配，以生成具有两个连接在一起的键值对的匹配结果；

其中一个键值对指示所述DNS请求报文的源IP类型以及对应的编码，另一个键值对指示所述DNS请求报文的所请求的域名的域名类型以及对应的编码。

5.一种用于对DNS应答报文进行分类标定的方法，包括：

接收DNS应答报文；

将接收到的DNS应答报文与匹配库进行匹配，并生成匹配结果；

将生成的匹配结果写入所述DNS应答报文的EDNS0 OPT伪资源记录的RDATA部分中；

其中，将接收到的DNS应答报文与匹配库进行匹配，并生成匹配结果，进一步包括：

判断DNS应答报文是否已包括针对所述匹配库中的源IP子匹配库和域名子匹配库的匹配结果；

如果已包括，则只需与所述匹配库中的解析结果子匹配库进行匹配；

生成具有一个或多个连接在一起的键值对的匹配结果；

其中所述键值对至少包括分别指示以下的键值对：所述DNS应答报文的应答结果IP类型以及对应的编码；所述DNS应答报文的应答类型以及对应的编码；以及所述DNS应答报文的协议类型以及对应的编码。

6.一种用于对DNS请求报文或DNS应答报文进行分类标定的计算设备，包括：

处理器；

存储器，所述存储器存储有指令，所述指令在被所述处理器执行时能执行如权利要求4-5中任一者所述的方法。