CN113766046A - 迭代流量跟踪方法、dns服务器及计算机可读存储介质 - Google Patents

Abstract

本发明涉及网络通信技术领域，具体为一种迭代流量跟踪方法、DNS服务器及计算机可读存储介质。本发明提供的DNS服务器的迭代流量跟踪方法，包括：步骤S1，DNS服务器接收用户的请求域名和源IP地址，并对数据包进行抓取；步骤S2，建立跟踪会话，将用户的请求产生的迭代流量信息输出到日志中；步骤S3，将请求域名对应的应答结果返回给用户，结束跟踪会话，并结束对所述数据包的抓取。本迭代流量跟踪方法以日志的形式对DNS服务器的迭代过程进行标记记录，使得用户能够根据用户请求准确地跟踪定位用户请求的迭代过程，以及进一步针对性地对迭代流量进行整理分析。

Description

迭代流量跟踪方法、DNS服务器及计算机可读存储介质

技术领域

本发明涉及网络通信技术领域，具体为一种迭代流量跟踪方法、DNS服务器及计算机可读存储介质。

背景技术

域名系统(DomainNameSystem，简称DNS)是互联网中的重要基础设施，负责网络域名与互联网协议地址(IP地址)之间的相互映射关联。DNS是一个复杂的分布式数据库，而且网络中各种应用活动都与之密切相关，因此DNS流量的分析在信息安全和计算机取证中有着重要的应用，特别是在识别计算机网络内的内部威胁、恶意软件、网络武器和高级持续威胁活动时。DNS流量分析除了安全的驱动因素外，还有另一个动机是了解网络的流量，利用DNS流量数据来检测网络状态，发现和定位现网中问题，以便对其进行评估及改进。

现有技术中，DNS服务器通过抓包技术可以捕捉截获DNS服务器在应答过程中的数据包，但是DNS服务器的承载量往往较大，也就意味着，在DNS服务器为用户提供解析服务时会产生的大量迭代流量，抓取的数据包数量相应地也是一个庞大的数字。而且，当前的抓包过程中，抓包工具只能够简单地将数据包截获并保存，在大量的抓包数据库中，用户难以对数据包进行针对性的溯源分析，也就是说，即使发现网络域名解析过程中出现了问题，也难以定位问题发生的位置，更难以进行针对性的修正和改进。

因此，亟待一种技术方案，不仅能够对DNS流量数据进行捕捉保存，还能够结合用户的请求对其产生的DNS流量数据进行跟踪，以便于后续对DNS解析流量进行分析。

发明内容

针对以上问题，本发明提供了一种DNS服务器的迭代流量跟踪方法，以日志的形式对DNS服务器的迭代过程进行标记记录，使得用户能够根据用户请求准确地跟踪定位用户请求的迭代过程，以及进一步针对性地对迭代流量进行整理分析。

在本发明的技术方案中，提供了一种DNS服务器的迭代流量跟踪方法，具体包括

步骤S1，DNS服务器接收用户的请求域名和源IP地址，并对数据包进行抓取；

步骤S2，建立跟踪会话，将用户的请求产生的迭代流量信息输出到日志中；

步骤S3，将请求域名对应的应答结果返回给用户，结束跟踪会话，并结束对数据包的抓取。

通过上述步骤，本发明的技术方案中提供的DNS服务器的迭代流量跟踪方法，DNS服务器接收到用户的请求后，根据用户的请求针对性地建立跟踪会话，并将用户的请求产生的迭代流量信息输出到日志中，从而将用户的请求与用户的请求所产生的迭代流量相关联地及记录在日志中，以进行对用户的请求所产生的迭代流量的跟踪定位；最后再将请求域名对应的应答结果返回给用户后，结束跟踪。由此，用户的请求与用户的请求所产生的迭代流量被关联起来，用户既能够根据日志直接查看DNS迭代过程，还能够根据日志对DNS迭代流量进行进一步地整理分析。

优选地，在本发明的技术方案中，迭代流量跟踪方法还包括：

步骤S4，对日志进行分析，筛选用户的请求对应的数据包，并保存为网络抓包文件。

在本发明的技术方案中提供的迭代流量跟踪方法，还能够根据日志中，用户的请求产生的迭代流量信息以及用户的请求与迭代流量信息关联信息，在DNS服务器抓取的数据包中，筛选出用户的请求对应的数据包，并保存为网络抓包文件，以便于后续对DNS迭代流量针对性分析。

进一步地，在本发明的较优技术方案中，迭代流量跟踪方法还包括：

步骤S5，对网络抓包文件进行解析，查找DNS服务器针对目标域名的迭代流量数据。

在通过上述的步骤S4将DNS迭代流量数据的格式按照网络抓包文件进行整理后，就可以采用专门的网络封包分析软件，对DNS迭代流量数据进行分析，从而尽可能显示出最为详细的网络封包资料，以得到DNS迭代过程中的详细信息。

优选地，本发明的技术方案中提供的迭代流量跟踪方法，其步骤S1还包括：

步骤S11，判断DNS服务器接收到的请求域名是否为目标域名，若是，则对数据包进行抓取；若不是，停止跟踪。

通过上述步骤，用户可以先进行跟踪抓包之前，先建立一个目标域名列表，仅针对列表中的目标域名进行跟踪。尤其是在DNS服务器流量较大时，DNS服务器会产生大量的迭代流量，针对性的跟踪能够大大减轻DNS服务器的负担，也能够提高DNS迭代流量跟踪的效率。

优选地，本发明的技术方案中提供的迭代流量跟踪方法，其步骤S2还包括：

步骤S21，判断DNS服务器中是否缓存有用户的请求域名对应的应答结果，若是，则进行步骤S3，若否，向其他DNS服务器发出迭代请求，直至得到用户的请求域名对应的应答结果。

若当前DNS服务器中缓存有用户的请求域名对应的应答结果，如DNS请求域名对应的IP地址，即DNS服务器无需向其他DNS服务器发出迭代请求去查找请求域名对应的应答结果，直接将当前DNS服务器中缓存的用户的请求域名对应的应答结果返回给用户即可。并且，当前DNS服务器在迭代过程中，可能需要向多个其他DNS服务器发出迭代请求，日志中会记录每一次迭代请求产生的迭代流量信息，直至得到用户的请求域名对应的应答结果。

在本发明的较优技术方案提供的迭代流量跟踪方法中，日志包括用户的用户请求信息和迭代流量信息，从而能够通过用户请求信息和迭代流量信息分别标识用户请求和用户请求所产生迭代流量，并将二者关联保存。

进一步地，在本发明的较优技术方案中，用户请求信息包括用户的请求域名、源IP地址、源端口和DNS标识信息，根据上述的信息，能够在DNS服务器所抓取储存的数据中，准确地定位到用户发起用户请求时传送到DNS服务器的数据包，方便后续针对每个用户请求进行迭代流量分析。

进一步地，在本发明的较优技术方案中，迭代流量信息包括迭代IP地址、迭代端口、目标IP地址和DNS标识信息，根据上述的信息，能够在DNS服务器所抓取储存的数据中，准确地定位到当前DNS服务器每一次发送至其他DNS服务器进行迭代请求的对迭代流量数据包，方便后续对DNS服务器发起的每一次迭代过程进行分析。

进一步优选地，在本发明的技术方案中迭代流量信息还包括目标IP地址的授权域，通过目标IP地址所属的授权域，用户能够直接了解到迭代过程是在哪一层DNS服务器中进行的，使得日志中的迭代过程记录数据更加明确直观。

在本发明的技术方案中，还提供了一种DNS服务器，具体包括

处理器；

存储器，存储器与处理器通信连接，存储器中存储有计算机程序，经由读取和运行计算机程序，DNS服务器能够执行以下步骤：

步骤S1，DNS服务器接收用户的请求域名和源IP地址，并对数据包进行抓取；

步骤S2，建立跟踪会话，将用户的请求产生的迭代流量信息输出到日志中；

步骤S3，将请求域名对应的应答结果返回给用户，结束跟踪会话，并结束对数据包的抓取。

上述DNS服务器能够以日志的形式对DNS服务器本身的迭代过程进行标记记录，使得用户能够根据用户请求准确地跟踪定位用户请求的迭代过程，并且还能够通过上述日志中的数据进一步针对性地对迭代流量进行整理分析。

在本发明的技术方案中，还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时能够实现上述DNS服务器的迭代流量跟踪方法的步骤。

附图说明

图1为现有技术中的一种DNS迭代查询过程的示意图；

图2为本发明的实施方式中提供的一种迭代流量跟踪方法的示意图；

图3为本发明的实施方式中提供的一种迭代流量跟踪方法步骤S1的示意图；

图4为本发明的实施方式中提供的一种迭代流量跟踪方法步骤S21的示意图；

图5为本发明的实施方式中提供的一种优选的迭代流量跟踪方法的示意图；

图6为本发明的实施方式中提供的一种DNS服务器的示意图。

附图标记：1-DNS服务器，2-处理器，3-存储器。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，DNS服务器在提供域名解析服务时，用户首先将请求域名发送至本地DNS服务器，本地DNS服务器作为递归服务器将会向其他的外部DNS服务器发出迭代查询请求，并将最后的迭代查询结果返回给用户。其中，迭代查询的过程即为本地DNS服务器(递归服务器)逐级向外部DNS服务器发出迭代查询请求，首先，本地DNS服务器向根域名服务器发出迭代查询请求，根域名服务器若返回迭代查询结果，则迭代查询完成，否则根域名服务器会返回下一级的DNS服务器(顶级域名服务器)地址；然后，本地DNS服务器向顶级域名服务器发出迭代查询请求，顶级域名服务器若返回迭代查询结果，则迭代查询完成，否则顶级域名服务器会返回下一级的DNS服务器(二级域名服务器)地址；接着，本地DNS服务器向二级域名服务器发出迭代查询请求，二级域名服务器若返回迭代查询结果，则迭代查询完成，否则二级域名服务器会返回下一级的DNS服务器(三级域名服务器)地址；以此类推，直至某一级DNS服务器迭代查询结果，则迭代查询结束。

在上述DNS服务器提供域名解析服务过程的过程中，用户最后得到的应答结果只有本地DNS服务器(递归服务器)进行迭代查询后返回的结果，而无法获悉本地DNS服务器(递归服务器)进行迭代查询具体过程和迭代查询过程中产生的流量数据。而DNS流量数据对于了解DNS域名解析请求在整个网络的迭代过程、检测网络状态，发现和定位现网中问题以及对现网问题的评估及改进均具有重要的研究意义。

如图2所示，在本发明的实施方式中，提供了一种DNS服务器的迭代流量跟踪方法，具体包括

步骤S1，DNS服务器接收用户的请求域名和源IP地址，并对数据包进行抓取；

步骤S2，建立跟踪会话，将用户的请求产生的迭代流量信息输出到日志中；

步骤S3，将请求域名对应的应答结果返回给用户，结束跟踪会话，并结束对数据包的抓取。

通过上述步骤，本实施方式中提供的DNS服务器的迭代流量跟踪方法，首先，DNS服务器接收到用户的请求后，如对域名解析请求，其请求域名为www.1.example.com，用户本身的源IP地址为1.1.1.1，DNS服务作为递归服务器，根据用户的请求开始进行迭代查询，同时通过抓包工具进行数据包的抓取。然后，DNS服务器根据用户的请求建立跟踪会话(session)，并将用户的请求产生的迭代流量信息输出到日志中，从而将用户的请求与用户的请求所产生的迭代流量相关联地及记录在日志中，以进行对用户的请求所产生的迭代流量的跟踪定位；最后，DNS服务器再将用户的请求域名即www.1.example.com对应的应答结果如2.2.2.2返回给用户，并结束跟踪。由此，用户的请求与用户的请求所产生的迭代流量在日志中被关联起来，用户既能够根据日志直接查看用户的请求所对应的DNS迭代过程，还能够根据日志对DNS迭代流量进行进一步地整理分析。

如图3所示，在本发明的实施方式中，迭代流量跟踪方法的步骤S1还包括：

步骤S11，判断DNS服务器接收到的请求域名是否为目标域名，若是，则对数据包进行抓取；若不是，停止跟踪。

其中，目标域名即用户预先设置的需要进行迭代流量跟踪的指定域名。在DNS服务器进行迭代流量跟踪前，增加上述的判断步骤，能够使DNS服务器针对预先设定的目标域名进行迭代流量跟踪，尤其是在DNS服务器流量较大时，DNS服务器会产生大量的迭代流量，对目标域名的针对性跟踪能够大大减轻DNS服务器的负担，也能够提高DNS迭代流量跟踪的效率。

优选地，在本发明的实施方式中，迭代流量跟踪方法生成的日志包括用户的用户请求信息和迭代流量信息从而能够通过用户请求信息和迭代流量信息分别标识用户请求和用户请求所产生迭代流量，并将二者关联保存。

具体而言，在本发明的实施方式中，用户请求信息包括用户的请求域名、源IP地址、源端口和DNS标识信息，其格式如下：

1.1.1.1，80，www.1.example.com，0x9ad0

其中，源IP地址1.1.1.1和源端口80用来表示用户发出请求的具体IP地址即用户发出请求所使用的计算机地址和具体端口即该计算机发出请求的逻辑端口；请求域名www.1.example.com表示用户本次请求的目的；DNS标识信息0x9ad0即用户发来请求的DNS数据包的事务ID，对于请求报文和其对应的应答报文，该字段的值是相同的，可以通过事务ID可以区分DNS应答报文是对哪个请求进行响应的。

另一方面，在本发明的实施方式中，迭代流量信息包括迭代IP地址、迭代端口、目标IP地址和DNS标识信息，其格式如下：

0.0.0.1，80，0.0.0.2，0x9ad1

其中，迭代IP地址0.0.0.1、迭代端口80指的是进行迭代查询的当前DNS服务器(递归服务器)的具体IP地址和具体逻辑端口；目标IP地址指的是当前DNS服务器将迭代请求发送至的DNS服务器(如根域名服务器)的IP地址0.0.0.2；DNS标识信息0x9ad1是指当前DNS服务器发送的迭代请求数据包中的事务ID，用以标识该数据包。

将用户请求信息和迭代流量信息结合起来，得到的完整的日志格式即为

1.1.1.1，80，www.1.example.com，0x9ad0

0.0.0.1，80，0.0.0.2，0x9ad1

由此，通过用户请求信息和迭代流量信息分别标识用户请求和用户请求所产生迭代流量，并将二者关联保存在日志中。

进一步地，如图4所示，本发明的实施方式中，迭代流量跟踪方法的步骤S2还包括：

步骤S21，判断DNS服务器中是否缓存有用户的请求域名对应的应答结果，若是，则进行步骤S3，若否，向其他DNS服务器发出迭代请求，直至得到用户的请求域名对应的应答结果。

若当前DNS服务器中缓存有用户的请求域名对应的应答结果，如DNS请求域名对应的IP地址，即DNS服务器无需向其他DNS服务器发出迭代请求去查找请求域名对应的应答结果，直接将当前DNS服务器中缓存的用户的请求域名对应的应答结果返回给用户即可。例如，用户向当前DNS服务器发送请求域名www.1.example.com，当前DNS服务器中缓存有www.1.example.com对应的IP地址2.2.2.2，直接将当前DNS服务器中缓存的用户的请求域名对应的应答结果即IP地址2.2.2.2返回给用户即可。

并且参考图1，当前DNS服务器在迭代过程中，可能需要向多个其他DNS服务器分别发出多次迭代查询请求，日志中会记录每一次迭代查询请求产生的迭代流量信息，直至得到用户的请求域名对应的应答结果。

根据上述步骤，在一次用户请求的迭代查询过程中，日志中记录的迭代流量信息可以有多组，参考图1，DNS服务器(递归服务器)分别向根域名服务器、顶级域名服务器、二级域名服务器和三级域名服务器发起了4次迭代查询请求，相应地会产生4组迭代流量信息，其完整的日志格式如下：

1.1.1.1，80，www.1.example.com，0x9ad0

0.0.0.1，80，0.0.0.2，0x9ad1

0.0.0.1，80，0.0.0.3，0x9ad2

0.0.0.1，80，0.0.0.4，0x9ad3

0.0.0.1，80，0.0.0.5，0x9ad4

其中，第一行为用户请求信息，第二行到第五行分别为向根域名服务器、顶级域名服务器、二级域名服务器和三级域名服务器发起的迭代查询请求对应的迭代流量信息，具体而言，0.0.0.2为根域名服务器的IP地址，0.0.0.3为顶级域名服务器的IP地址，0.0.0.4为二级域名服务器的IP地址，0.0.0.5为三级域名服务器的IP地址。

进一步地，在本发明的实施方式提供的迭代流量跟踪方法中，迭代流量信息还包括目标IP地址的授权域，这种优选的日志格式如下：

1.1.1.1，80，www.1.example.com，0x9ad0

0.0.0.1，80，0.0.0.3，0x9ad1，.com

其中，将迭代查询请求的目标IP地址0.0.0.3所属的授权域.com加入到迭代流量信息中，使得用户能够通过日志直接获悉迭代查询请求是在哪一层DNS服务器中进行的，使得日志中的迭代过程记录数据更加明确直观。

如图5所示，在本发明的实施方式中，迭代流量跟踪方法还包括：

步骤S4，对日志进行分析，筛选用户的请求对应的数据包，并保存为网络抓包文件。

根据上述日志中包含的用户请求信息和迭代流量信息，能够从抓包工具捕捉的数据包中，准确地筛选用户的请求对应的数据包，并将其保存为网络抓包文件，以供进行后续的流量分析。

其中，抓包工具可以是Wireshark、SnifferPro、Snoop以及Tcpdump等抓包软件，只要其可以对数据通信过程中的数据报文实施捕获并进行拆包分析即可，在此不作限制。网络抓包文件的格式也可以是.pcap、.cap等便于抓包拆包的文件格式。

进一步地，在本发明的实施方式中，迭代流量跟踪方法还包括：

步骤S5，对网络抓包文件进行解析，查找DNS服务器针对目标域名的迭代流量数据。

在通过上述的步骤S4将DNS迭代流量数据的格式按照网络抓包文件进行整理后，就可以采用专门的网络封包分析软件，对DNS迭代流量数据进行分析，从而尽可能显示出最为详细的网络封包资料，以得到DNS迭代过程中的详细信息。然后通过DNS迭代过程中的详细信息，可以进一步地实现了解DNS域名解析请求在整个网络的迭代过程、检测网络状态，发现和定位现网中问题以及对现网问题的评估及改进等。

例如，可以通过拿到DNS迭代过程中的详细信息，结合DNS迭代的流程进行解析，判断迭代服务器的行为是否存在异常；进一步地，如发现解析异常，也可以判断出外部授权服务器的应答是否正确，具体为哪一级的DNS授权服务器回复异常，导致解析结果异常。

如图6所示，在本发明的实施方式中，还提供了一种DNS服务器1，具体包括：

处理器2；

存储器3，存储器3与处理器2通信连接，存储器3中存储有计算机程序，经由读取和运行计算机程序，DNS服务器1能够执行以下步骤：

步骤S1，DNS服务器1接收用户的请求域名和源IP地址，并对数据包进行抓取；

步骤S2，建立跟踪会话，将用户的请求产生的迭代流量信息输出到日志中；

步骤S3，将请求域名对应的应答结果返回给用户，结束跟踪会话，并结束对数据包的抓取。

上述DNS服务器1能够以日志的形式对DNS服务器1本身的迭代过程进行标记记录，使得用户能够根据用户请求准确地跟踪定位用户请求的迭代过程，并且还能够通过上述日志中的数据进一步针对性地对迭代流量进行整理分析。

在本发明的实施方式中，还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时能够实现上述DNS服务器1的迭代流量跟踪方法的步骤。

以上仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (11)

1.一种DNS服务器的迭代流量跟踪方法，其特征在于，包括：

步骤S1，所述DNS服务器接收用户的请求域名和源IP地址，并对数据包进行抓取；

步骤S2，建立跟踪会话，将所述用户的请求产生的迭代流量信息输出到日志中；

步骤S3，将所述请求域名对应的应答结果返回给所述用户，结束跟踪会话，并结束对所述数据包的抓取。

2.如权利要求1所述的迭代流量跟踪方法，其特征在于，还包括：

步骤S4，对所述日志进行分析，筛选所述用户的所述请求对应的所述数据包，并保存为网络抓包文件。

3.如权利要求2所述的迭代流量跟踪方法，其特征在于，还包括：

步骤S5，对所述网络抓包文件进行解析，查找所述DNS服务器针对目标域名的迭代流量数据。

4.如权利要求1所述的迭代流量跟踪方法，其特征在于，所述步骤S1包括：

步骤S11，判断所述DNS服务器接收到的所述请求域名是否为目标域名，若是，则对所述数据包进行抓取；若不是，停止跟踪。

5.如权利要求1所述的迭代流量跟踪方法，其特征在于，所述步骤S2包括：

步骤S21，判断所述DNS服务器中是否缓存有所述用户的所述请求域名对应的所述应答结果，若是，则进行步骤S3，若否，向其他DNS服务器发出迭代请求，直至得到所述用户的所述请求域名对应的所述应答结果。

6.如权利要求1所述的迭代流量跟踪方法，其特征在于，所述日志包括所述用户的用户请求信息和所述迭代流量信息。

7.如权利要求6所述的迭代流量跟踪方法，其特征在于，所述用户请求信息包括所述用户的所述请求域名、所述源IP地址、源端口和DNS标识信息。

8.如权利要求6所述的迭代流量跟踪方法，其特征在于，所述迭代流量信息包括迭代IP地址、迭代端口、目标IP地址和DNS标识信息。

9.如权利要求8所述的迭代流量跟踪方法，其特征在于，所述迭代流量信息还包括所述目标IP地址所属的授权域。

10.一种DNS服务器，其特征在于，包括

处理器；

存储器，所述存储器与所述处理器通信连接，所述存储器中存储有计算机程序，经由读取和运行所述计算机程序，所述DNS服务器能够执行以下步骤：

步骤S1，所述DNS服务器接收用户的请求域名和源IP地址，并对数据包进行抓取；

步骤S2，建立跟踪会话，将所述用户的请求产生的迭代流量信息输出到日志中；

步骤S3，将所述请求域名对应的应答结果返回给所述用户，结束跟踪会话，并结束对所述数据包的抓取。

11.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1-9中任一项所述的迭代流量跟踪方法的步骤。

Images