CN115396397B - 基于转发关系确定缓存域名系统服务范围的方法和装置 - Google Patents

基于转发关系确定缓存域名系统服务范围的方法和装置 Download PDF

Info

Publication number
CN115396397B
CN115396397B CN202210382835.2A CN202210382835A CN115396397B CN 115396397 B CN115396397 B CN 115396397B CN 202210382835 A CN202210382835 A CN 202210382835A CN 115396397 B CN115396397 B CN 115396397B
Authority
CN
China
Prior art keywords
indirect
domain name
name system
forwarding
cache domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210382835.2A
Other languages
English (en)
Other versions
CN115396397A (zh
Inventor
许成喜
沈毅
李振汉
马慧敏
薛鹏飞
施凡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National University of Defense Technology
Original Assignee
National University of Defense Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National University of Defense Technology filed Critical National University of Defense Technology
Priority to CN202210382835.2A priority Critical patent/CN115396397B/zh
Publication of CN115396397A publication Critical patent/CN115396397A/zh
Application granted granted Critical
Publication of CN115396397B publication Critical patent/CN115396397B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

本发明提出一种基于转发关系确定缓存域名系统服务范围的方法和装置,旨在解决缓存域名系统的服务范围不准确、分析复杂度高、难以扩展的问题,属于互联网数据处理领域。所述方法包括:探针节点面向IPv4地址空间的远程IP地址发送探测报文,并接收探测报文的应答报文,从应答报文中获取转发关系;基于转发关系对间接解析器进行聚类,以获取与目标缓存域名系统关联的全部间接解析器,进而获取目标缓存域名系统服务的全部转发器;利用IPGeo数据库确定目标缓存域名系统服务的全部转发器的地理位置,进而确定目标缓存域名系统的服务范围。

Description

基于转发关系确定缓存域名系统服务范围的方法和装置
技术领域
本发明属于互联网数据处理领域,尤其涉及一种基于转发关系确定缓存域名系统服务范围的方法和装置。
背景技术
域名系统(Domain Name System,DNS)作为互联网关键基础设施,已经成为现代互联网正常运行不可或缺的基石。域名系统主要由域名空间和资源记录、名称服务器、解析器三大组件组成,其体系结构如图1所示。
(1)域名空间和资源记录。域名空间是指树状结构的名称空间,其中,每个节点均代表特定的标签,根节点代表根域名,标签为“.”,常见的顶级域名标签包括“com、 org、net”等。由根节点和其他节点组成的有向无环图所构成的路径代表一个域名,这种域名称为完全合规域名(FQDN)。通常,省略完全合规域名的根域名标签;资源记录是指与特定域名相关的数据集,由类别(class)、类型(type)、生存时间(ttl)和具体数据组成。
(2)名称服务器。名称服务器是指存储域名空间树结构和设置信息,监听查询请求并通过DNS协议发送应答的服务器程序或服务器本身。此外,名称服务器也可能提供这些信息的缓存。一般而言,名称服务器存储两类信息:一是关于某一域名空间子集的完整信息;二是指向其他名称服务器的指针,用于构建当前域与域名空间树结构其他部分之间的联系。根据定义,名称服务器主要是指权威服务器。
(3)解析器。解析器是指为了响应客户端查询请求从名称服务器提取信息的程序或主机。解析器必须能够访问至少一个名称服务器,并使用名称服务器的信息直接回答用户查询,或使用指向其他名称服务器的指针,继续查询以获取最终的结果。
随着互联网的发展,DNS服务外包逐渐成为市场主流。全球域名系统架构从最初的分布式设计逐渐进化到更加复杂的多层转发、多级缓存、多点备份阶段。域名系统客户端基础设施也呈现出更加复杂的结构,如图2所示,箭头表示发送请求及其方向。与客户端直接交互的解析器称为开放解析器(ODNS),主要包括转发器、缓存域名系统服务 IP、直接解析器RDNSd等类型。解析器通常无法直接向间接解析器转发请求,只能通过缓存域名系统服务IP间接转发请求。缓存域名系统中包括缓存域名系统服务IP、隐藏解析器和间接解析器等组件,其中间接解析器与权威服务器直接交互,缓存域名系统通过一层或多层缓存服务器实现查询请求的高速缓存,这部分称为间接解析器。
当前,实体服务范围刻画能够帮助服务提供商规划基础设施、制定市场策略、评估突发异常事件影响等活动具有重要指导作用。研究人员重点对现实世界中的实体服务范围开展了较多的分析研究,提出了店铺、机场、充电站、轨道交通等实体的服务范围分析方法。
但是,国内外对于网络空间的虚拟实体的服务范围的研究还比较少。具体到域名系统服务范围分析,大多出现在一些域名系统安全事件的分析报告中。这些分析报告通常采取多点监测、用户报告或者通过授权的数据等方式估计域名系统服务影响范围,尚未出现第三方对域名系统服务范围的成熟技术方案。此外,采用IP地址定位的方法也是业界常用的一种粗略表示域名系统服务范围的方法,但是域名系统所在地理位置并不能准确反映域名系统服务范围。专利CN113286016B提出了一种基于本地化域名缓存嗅探分析缓存域名系统服务范围的方法,首次实现了缓存域名系统服务范围分析。然而,以上方法仍存在如下问题:(1)首先需要筛选符合条件的解析器,对解析器要求较高;(2) 其次是本地化域名字典构建工作量较大。
因此,需要一种技术方案,以解决现有分析方法不准确、复杂度高、难以扩展的技术问题。
发明内容
本申请提出一种基于转发关系确定缓存域名系统服务范围的技术方案,以解决上述技术问题。
本发明第一方面公开了一种基于转发关系确定缓存域名系统服务范围的方法。所述方法包括:
S1、转发关系探测步骤:探针节点面向IPv4地址空间的远程IP地址发送探测报文,并接收返回的所述探测报文的应答报文,从所述应答报文中获取转发关系;其中:
所述IPv4地址空间包括各个转发器的IP地址和各个间接解析器的IP地址;
所述转发关系包括:
所述转发器与所述间接解析器之间的转发关系,作为第一转发关系集;以及
目标缓存域名系统与所述间接解析器之间的转发关系,作为第二转发关系集;
S2、关联分析步骤:对所述第一转发关系集和所述第二转发关系集进行关联分析,以获取所述目标缓存域名系统与所述转发器之间的转发关系,作为第三转发关系集;
S3、间接解析器聚合步骤:基于所述第一转发关系集中的转发关系和所述第三转发关系集中的转发关系,对所述间接解析器进行聚类,以获取与所述目标缓存域名系统关联的全部间接解析器;
S4、服务范围确定步骤:对与所述目标缓存域名系统关联的全部间接解析器中的每一个间接解析器所服务的转发器的并集,作为所述目标缓存域名系统所服务的全部转发器,并利用IPGeo数据库确定所述全部转发器的位置信息,作为所述目标缓存域名系统的服务范围。
根据本发明第一方面的方法,在转发关系探测步骤中,获取所述转发器与所述间接解析器之间的所述第一转发关系包括:
步骤S1-1a、所述探针节点获取所述IPv4地址空间中与其对应的其中一个转发器的 IP地址,并将所述其中一个转发器的IP地址封装在查询域名前,作为第一探测报文发送至所述其中一个转发器;使得:
所述其中一个转发器基于与其对应的缓存域名系统列表,将所述第一探测报文经由所述缓存域名系统列表中的任一缓存域名系统,发送至与所述任一缓存域名系统对应的其中一个间接解析器;
所述其中一个间接解析器基于所述查询域名将所述第一探测报文发送给与其直接交互的所述权威服务器;
步骤S1-2a、所述权威服务器将所述其中一个间接解析器的IP地址进行封装以生成第一应答报文,并将所述第一应答报文经由所述其中一个间接解析器、所述任一缓存域名系统、所述其中一个转发器返回至所述探针节点;使得:
所述探针节点从所述第一应答报文中提取出所述其中一个转发器的IP地址和所述其中一个间接解析器的IP地址作为一个转发关系;
步骤S1-3a、通过多次探测获取若干所述转发器和若干所述间接解析器之间的转发关系,作为所述第一转发关系集。
根据本发明第一方面的方法,在转发关系探测步骤中,获取所述目标缓存域名系统与所述间接解析器之间的所述第二转发关系包括:
步骤S1-1b、所述探针节点获取所述IPv4地址空间中所述目标缓存域名系统的IP地址,并将所述目标缓存域名系统的IP地址封装在查询域名前,作为第二探测报文,将所述探测报文发送至所述目标缓存域名系统;使得:
所述目标缓存域名系统基于与其对应的其中一个间接解析器的IP地址,将所述第二探测报文发送至所述其中一个间接解析器;
所述其中一个间接解析器基于所述查询域名将所述第二探测报文发送给与其直接交互的所述权威服务器;
步骤S1-2b、所述权威服务器将所述其中一个间接解析器的IP地址封装在应答报文中以生成第二应答报文,并将所述第二应答报文经由所述其中一个间接解析器和所述目标缓存域名系统返回至所述探针节点,使得所述探针节点从所述第二应答报文中提取出所述目标缓存域名系统和所述其中一个间接解析器的IP地址作为一个转发关系;
步骤S1-3b、通过多次探测获取所述目标缓存域名系统和若干所述间接解析器之间的转发关系,作为所述第二转发关系集。
根据本发明第一方面的方法,在所述关联分析步骤中:
(1)所述第一转发关系集中的转发关系为所述转发器与所述间接解析器之间的转发关系,具体表征为:
{ipf1,ipfj,…,ipfm}~>ipii
其中,ipii表示第i个间接解析器,1≤i≤n,n为间接解析器的数量,ipfj表示第j个转发器,1≤j≤m,m为与所述第i个间接解析器关联的转发器的数量,~>表示有向的转发关系;
Figure RE-GDA0003817415300000041
则/>
Figure RE-GDA0003817415300000042
(2)所述第二转发关系集中的转发关系为所述目标缓存域名系统与所述间接解析器之间的转发关系,具体表征为:
ipcdns~>{ipi1,ipii,…,ipin}
其中,ipcdns表示所述目标缓存域名系统;
Figure RE-GDA0003817415300000043
则/>
Figure RE-GDA0003817415300000044
其中:ipii表示第i个间接解析器,ipcdns表示所述目标缓存域名系统;
(3)所述第三转发关系集中的转发关系为所述转发器与所述目标缓存域名系统之间的转发关系;具体表征为:
Figure RE-GDA0003817415300000051
由于
Figure RE-GDA0003817415300000052
令/>
Figure RE-GDA0003817415300000053
Figure RE-GDA0003817415300000054
所述目标缓存域名系统ipcdns服务于/>
Figure RE-GDA0003817415300000055
根据本发明第一方面的方法,在所述间接解析器聚合步骤中,所述聚类的规则为:
对所述第一转发关系集中的每一个间接解析器,求取其对应的若干转发器与所述第三转发关系集中所述目标缓存域名系统对应的若干转发器的交集,当所述交集中转发器的数量超过阈值时,将当前间接解析器聚合到所述第二转发关系中与所述目标缓存域名系统关联的间接解析器集合中,最终获得与所述目标缓存域名系统关联的全部间接解析器。
根据本发明第一方面的方法,在所述间接解析器聚合步骤中,在对所述第一转发关系集中的每一个间接解析器进行聚合处理前,还包括对所述第一转发关系集中的各个间接解析器执行基于IP地址段和/或IP Whois信息的扩展,以得到经扩展的间接解析器,并将所述经扩展的间接解析器并入所述第一转发关系集的间接解析器中。
根据本发明第一方面的方法,在所述服务范围确定步骤中,利用所述IPGeo数据库确定目标缓存域名系统服务的全部转发器的位置信息,所述位置信息包括经度、纬度、城市信息,作为所述目标缓存域名系统的服务范围。
本发明第二方面公开了一种基于转发关系确定缓存域名系统服务范围的装置。所述装置包括:
转发关系探测模块,被配置为:利用探针节点面向IPv4地址空间的远程IP地址发送探测报文,并接收返回的所述探测报文的应答报文,从所述应答报文中获取转发关系;其中:
所述IPv4地址空间包括各个转发器的IP地址和各个间接解析器的IP地址;
所述转发关系包括:
所述转发器与所述间接解析器之间的转发关系,作为第一转发关系集;以及
目标缓存域名系统与所述间接解析器之间的转发关系,作为第二转发关系集;
关联分析模块,被配置为:对所述第一转发关系集和所述第二转发关系集进行关联分析,以获取所述目标缓存域名系统与所述转发器之间的转发关系,作为第三转发关系集;
间接解析器聚合模块,被配置为:基于所述第一转发关系集中的转发关系和所述第三转发关系集中的转发关系,对所述间接解析器进行聚类,以获取与所述目标缓存域名系统关联的全部间接解析器;
服务范围确定模块,被配置为:对与所述目标缓存域名系统关联的全部间接解析器中的每一个间接解析器所服务的转发器的并集,作为所述目标缓存域名系统所服务的全部转发器,并利用IPGeo数据库确定所述全部转发器的位置信息,作为所述目标缓存域名系统的服务范围。
根据本发明第二方面的装置,所述转发关系探测模块具体被配置为,利用如下方式获取所述转发器与所述间接解析器之间的所述第一转发关系:
利用所述探针节点获取所述IPv4地址空间中与其对应的其中一个转发器的IP地址,并将所述其中一个转发器的IP地址封装在查询域名前,作为第一探测报文发送至所述其中一个转发器;使得:
所述其中一个转发器基于与其对应的缓存域名系统列表,将所述第一探测报文经由所述缓存域名系统列表中的任一缓存域名系统,发送至与所述任一缓存域名系统对应的其中一个间接解析器;
所述其中一个间接解析器基于所述查询域名将所述第一探测报文发送给与其直接交互的所述权威服务器;
利用所述权威服务器将所述其中一个间接解析器的IP地址进行封装以生成第一应答报文,并将所述第一应答报文经由所述其中一个间接解析器、所述任一缓存域名系统、所述其中一个转发器返回至所述探针节点;使得:
所述探针节点从所述第一应答报文中提取出所述其中一个转发器的IP地址和所述其中一个间接解析器的IP地址作为一个转发关系;
通过多次探测获取若干所述转发器和若干所述间接解析器之间的转发关系,作为所述第一转发关系集。
根据本发明第二方面的装置,所述转发关系探测模块具体被配置为,利用如下方式获取所述目标缓存域名系统与所述间接解析器之间的所述第二转发关系:
利用所述探针节点获取所述IPv4地址空间中所述目标缓存域名系统的IP地址,并将所述目标缓存域名系统的IP地址封装在查询域名前,作为第二探测报文,将所述探测报文发送至所述目标缓存域名系统;使得:
所述目标缓存域名系统基于与其对应的其中一个间接解析器的IP地址,将所述第二探测报文发送至所述其中一个间接解析器;
所述其中一个间接解析器基于所述查询域名将所述第二探测报文发送给与其直接交互的所述权威服务器;
利用所述权威服务器将所述其中一个间接解析器的IP地址封装在应答报文中以生成第二应答报文,并将所述第二应答报文经由所述其中一个间接解析器和所述目标缓存域名系统返回至所述探针节点,使得所述探针节点从所述第二应答报文中提取出所述目标缓存域名系统和所述其中一个间接解析器的IP地址作为一个转发关系;
通过多次探测获取所述目标缓存域名系统和若干所述间接解析器之间的转发关系,作为所述第二转发关系集。
根据本发明第二方面的装置,所述关联分析模块具体被配置为:
(1)所述第一转发关系集中的转发关系为所述转发器与所述间接解析器之间的转发关系,具体表征为:
{ipf1,ipfj,…,ipfm}~>ipii
其中,ipii表示第i个间接解析器,1≤i≤n,n为间接解析器的数量,ipfj表示第j个转发器,1≤j≤m,m为与所述第i个间接解析器关联的转发器的数量,~>表示有向的转发关系;
Figure RE-GDA0003817415300000071
则/>
Figure RE-GDA0003817415300000072
(2)所述第二转发关系集中的转发关系为所述目标缓存域名系统与所述间接解析器之间的转发关系,具体表征为:
ipcdns~>{ipi1,ipii,…,ipin}
其中,ipcdns表示所述目标缓存域名系统;
Figure RE-GDA0003817415300000073
则/>
Figure RE-GDA0003817415300000074
其中:ipii表示第i个间接解析器,ipcdns表示所述目标缓存域名系统;
(3)所述第三转发关系集中的转发关系为所述转发器与所述目标缓存域名系统之间的转发关系;具体表征为:
Figure RE-GDA0003817415300000081
由于
Figure RE-GDA0003817415300000082
令/>
Figure RE-GDA0003817415300000083
Figure RE-GDA0003817415300000084
所述目标缓存域名系统ipcdns服务于/>
Figure RE-GDA0003817415300000085
根据本发明第二方面的装置,所述间接解析器聚合模块具体被配置为,所述聚类的规则为:
对所述第一转发关系集中的每一个间接解析器,求取其对应的若干转发器与所述第三转发关系集中所述目标缓存域名系统对应的若干转发器的交集,当所述交集中转发器的数量超过阈值时,将当前间接解析器聚合到所述第二转发关系中与所述目标缓存域名系统关联的间接解析器集合中,最终获得与所述目标缓存域名系统关联的全部间接解析器。
根据本发明第二方面的装置,所述间接解析器聚合模块具体被配置为,在对所述第一转发关系集中的每一个间接解析器进行聚合处理前,还包括对所述第一转发关系集中的各个间接解析器执行基于IP地址段和/或IP Whois信息的扩展,以得到经扩展的间接解析器,并将所述经扩展的间接解析器并入所述第一转发关系集的间接解析器中。
根据本发明第二方面的装置,所述服务范围确定模块具体被配置为,利用所述IPGeo 数据库确定目标缓存域名系统服务的全部转发器的位置信息,所述位置信息包括经度、纬度、城市信息,作为所述目标缓存域名系统的服务范围。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种基于转发关系确定缓存域名系统服务范围的方法中的步骤。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种基于转发关系确定缓存域名系统服务范围的方法中的步骤。
综上,本发明提供的技术方案通过探测全球IPv4地址空间中解析器之间的转发关系,在聚合缓存域名系统解析器池的基础上,关联出使用缓存域名系统基础设施的转发器,并利用转发器的地理分布和数量衡量缓存域名系统服务范围,快速实现缓存域名系统服务范围分析。
本发明提供的技术方案能够实现的技术效果包括:(1)可以识别全球IPv4地址空间中的解析器IP地址及其相互之间的转发关系;(2)可以实现给定缓存域名系统的间接解析器节点的聚合分析;(3)可以实现转发器和间接解析器之间的关联分析;(4)可以基于转发器的地理位置和数量实现给定缓存域名系统服务范围的分析。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中域名系统的体系结构的示意图;
图2为现有技术中域名系统客户端基础设施的示意图;
图3为根据本发明实施例的一种基于转发关系确定缓存域名系统服务范围的方法的流程图;
图4为根据本发明实施例的基于转发关系确定缓存域名系统的服务范围的实现架构的示意图;
图5为根据本发明实施例一种基于转发关系确定缓存域名系统服务范围的装置的结构图;
图6为根据本发明实施例的一种电子设备的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目标是提出一种基于转发关系确定缓存域名系统服务范围的技术方案。具体地,给定缓存域名系统,快速分析其服务范围。
本发明第一方面公开了一种基于转发关系确定缓存域名系统服务范围的方法。图3 为根据本发明实施例的一种基于转发关系确定缓存域名系统服务范围的方法的流程图;如图3所示,所述方法包括:
S1、转发关系探测步骤:探针节点面向IPv4地址空间的远程IP地址发送探测报文,并接收返回的所述探测报文的应答报文,从所述应答报文中获取转发关系;其中:
所述IPv4地址空间包括各个转发器的IP地址和各个间接解析器的IP地址;
所述转发关系包括:
所述转发器与所述间接解析器之间的转发关系,作为第一转发关系集;以及
目标缓存域名系统与所述间接解析器之间的转发关系,作为第二转发关系集;
S2、关联分析步骤:对所述第一转发关系集和所述第二转发关系集进行关联分析,以获取所述目标缓存域名系统与所述转发器之间的转发关系,作为第三转发关系集;
S3、间接解析器聚合步骤:基于所述第一转发关系集中的转发关系和所述第三转发关系集中的转发关系,对所述间接解析器进行聚类,以获取与所述目标缓存域名系统关联的全部间接解析器;
S4、服务范围确定步骤:对与所述目标缓存域名系统关联的全部间接解析器中的每一个间接解析器所服务的转发器的并集,作为所述目标缓存域名系统所服务的全部转发器,并利用IPGeo数据库确定所述全部转发器的位置信息,作为所述目标缓存域名系统的服务范围。
图4为根据本发明实施例的基于转发关系确定缓存域名系统的服务范围的实现架构的示意图;如图4所示,包括:转发关系探测模块(步骤)、关联分析模块(步骤)、间接解析器聚合模块(步骤)、服务范围展示(确定)模块(步骤)。其中:
转发关系探测模块(步骤)实现解析器之间转发关系的探测获取。具体地,面向整个IPv4地址空间,构造定制的权威服务器和特定的探测报文,通过探针节点发送至远程IP地址,收集应答报文,并将应答报文存储到本地数据库中。
关联分析模块(步骤)实现目标缓存域名系统、转发器和间接解析器之间的初步关联。具体地,从本地数据库中识别与目标缓存域名系统关联的间接解析器列表,同时反向关联出与上述间接解析器关联的转发器,构建目标缓存域名系统与间接解析器、转发器与间接解析器关联的二元组。
间接解析器聚合模块(步骤)实现间接解析器的扩展和聚合,具体地,首先根据目标缓存域名系统初步关联出来的间接解析器,通过IP C段、IP WHOIS等信息进行扩展,形成候选间接解析器列表。然后,选取一个候选间接解析器IP地址,关联分析得到与其相关联的转发器集合,求解其与目标缓存域名系统初步关联出来的转发器集合之间的交集,当两者交集达到一定比例时,将候选间接解析器IP地址聚合到目标缓存域名系统关联的间接解析器集合中。
服务范围展示(确定)模块(步骤)实现缓存域名系统服务范围的可视化展示和标注。首先获取与目标缓存域名系统相关联的解析器集合,然后利用IPGeo数据库对解析器IP地址进行定位,获取器经度、纬度、城市等信息。最后,根据解析器地理位置信息,结合高精度地理信息地图,在地图上绘制热力图,可视化展示目标缓存域名系统的服务范围。
在转发关系探测模块(S1、转发关系探测步骤):探针节点面向IPv4地址空间的远程IP地址发送探测报文,并接收返回的所述探测报文的应答报文,从所述应答报文中获取转发关系;其中:
所述IPv4地址空间包括各个转发器的IP地址和各个间接解析器的IP地址;
所述转发关系包括:所述转发器与所述间接解析器之间的转发关系,作为第一转发关系集;以及目标缓存域名系统与所述间接解析器之间的转发关系,作为第二转发关系集。
在一些实施例中,获取所述转发器与所述间接解析器之间的所述第一转发关系包括:
步骤S1-1a、所述探针节点获取所述IPv4地址空间中与其对应的其中一个转发器的 IP地址,并将所述其中一个转发器的IP地址封装在查询域名前,作为第一探测报文发送至所述其中一个转发器;使得:
所述其中一个转发器基于与其对应的缓存域名系统列表,将所述第一探测报文经由所述缓存域名系统列表中的任一缓存域名系统,发送至与所述任一缓存域名系统对应的其中一个间接解析器;
所述其中一个间接解析器基于所述查询域名将所述第一探测报文发送给与其直接交互的所述权威服务器;
步骤S1-2a、所述权威服务器将所述其中一个间接解析器的IP地址进行封装以生成第一应答报文,并将所述第一应答报文经由所述其中一个间接解析器、所述任一缓存域名系统、所述其中一个转发器返回至所述探针节点;使得:
所述探针节点从所述第一应答报文中提取出所述其中一个转发器的IP地址和所述其中一个间接解析器的IP地址作为一个转发关系;
步骤S1-3a、通过多次探测获取若干所述转发器和若干所述间接解析器之间的转发关系,作为所述第一转发关系集。
在一些实施例中,获取所述目标缓存域名系统与所述间接解析器之间的所述第二转发关系包括:
步骤S1-1b、所述探针节点获取所述IPv4地址空间中所述目标缓存域名系统的IP地址,并将所述目标缓存域名系统的IP地址封装在查询域名前,作为第二探测报文,将所述探测报文发送至所述目标缓存域名系统;使得:
所述目标缓存域名系统基于与其对应的其中一个间接解析器的IP地址,将所述第二探测报文发送至所述其中一个间接解析器;
所述其中一个间接解析器基于所述查询域名将所述第二探测报文发送给与其直接交互的所述权威服务器;
步骤S1-2b、所述权威服务器将所述其中一个间接解析器的IP地址封装在应答报文中以生成第二应答报文,并将所述第二应答报文经由所述其中一个间接解析器和所述目标缓存域名系统返回至所述探针节点,使得所述探针节点从所述第二应答报文中提取出所述目标缓存域名系统和所述其中一个间接解析器的IP地址作为一个转发关系;
步骤S1-3b、通过多次探测获取所述目标缓存域名系统和若干所述间接解析器之间的转发关系,作为所述第二转发关系集。
具体地,转发关系探测模块的主要功能是实现解析器之间转发关系的探测获取。具体地,面向整个IPv4地址空间,构造定制的权威服务器和特定的探测报文,通过探针节点发送至远程IP地址,收集应答报文,并将应答报文存储到本地数据库中。注意,探针节点面向IPv4地址空间发送探测报文,在一次探测中,从IPv4地址空间中选择一个目的地址发送探测报文,执行步骤S1-1a至S1-3a或者执行步骤S1-1b至S1-3b,从而将目的地址封装在探测报文的查询域名中。若所述目的地址是一个转发器,则执行步骤S1-1a至S1-3a;若所述目的地址是一个缓存域名系统,则执行步骤S1-1b至S1-3b;其他情况不在本发明的技术方案考虑范围内。
这里,定制的权威服务器应满足以下条件:权威服务器应将与其直接交互的间接解析器的IP地址封装到应答报文中。具体的实现方式包括:
(i)基于A记录的应答报文封装方法
基于A记录的应答报文封装是指将与权威服务器直接交互的间接解析器的IP地址封装到A记录中。探针节点通过抽取应答报文中A记录的IP地址获取间接解析器的IP 地址。
(ii)基于TXT记录的应答报文封装方法
基于TXT记录的应答报文封装是指将与权威服务器直接交互的间接解析器的IP地址信息封装到TXT记录中。探针节点通过抽取应答报文中TXT记录的IP地址获取间接解析器的IP地址。
(iii)基于CNAME/NS记录的应答报文封装
基于CNAME/NS记录的应答报文封装是指将与权威服务器直接交互的间接解析器的 IP地址信息封装到CNAME/NS记录中。探针节点通过抽取应答报文中CNAME/NS记录的 IP地址获取间接解析器的IP地址。
采用不同类型的DNS记录均可实现间接解析器IP地址的封装,需要注意的是,权威服务器采用何种类型的记录封装间接解析器的IP地址,探针节点就需要与之匹配,发送对应类型的探测报文。此外,不同类型的记录封装能力和抗伪造能力不同:单个A 记录在DNS报文中只有四个字节,容易受到中间人篡改,且探针节点难以判断应答记录的真假。因此,采用A类型记录封装应答报文时,可以同时生成2个A记录,一个封装 IP地址,另一个封装转发器IP地址、查询日期或者时间等信息,如此,探针节点就能够借助这些信息判断应答记录的真假。TXT类型记录封装能力最强,且格式最为灵活,缺点是部分功能不全的解析器可能不支持TXT查询。CNAME/NS类型记录可实现250字节的封装能力,且封装内容应满足域名的一般格式。
应当指出的是,还可以基于其他类型的DNS记录实现上述目的,如:MX记录、SPF 记录、DS记录等,但都应满足基本条件,即权威服务器将与其直接交互的间接解析器的 IP地址封装到应答报文中。
转发关系探测模块中探针节点发送特定的探测报文是指与权威服务器端设计实现的记录类型相一致的DNS查询类型,且应满足下列条件:即探测报文应将待探测的远程IP地址封装到查询报文中。一种直接的方法是将远程IP地址作为域名前缀加到权威服务器解析的主域名前面,例如:探测远程IP地址为“8.8.8.8”,则相应的查询域名为“8.8.8.8.mydomain.com”。如此设计,可以实现每个远程IP的查询名都不一样,且能够在域名转发解析流程中保持不变,从而在探针接收到的应答报文中标识出能够做出响应的互联网解析器。
转发关系探测模块实现了只在探针节点端发送探测报文接收应答报文就能识别互联网中存在的转发关系,无需配合权威服务器日志等信息,提高了转发关系探测的效率。而且,通过设计不同的应答报文封装方法,能够在实网环境中最大程度地命中尽可能多的转发关系,同时能够识别复杂网络环境中存在的域名劫持、恶意篡改等行为,保证了转发关系探测的准确性。
需要指出的是,转发关系探测模块可以根据应用的需要执行一次或者多次,以丰富转发关系。转发关系探测模块接收到应答报文后,从查询域名中抽取转发器地址,从应答记录中抽取间接解析器地址,存入本地数据库。
在关联分析模块(S2、关联分析步骤):对所述第一转发关系集和所述第二转发关系集进行关联分析,以获取所述目标缓存域名系统与所述转发器之间的转发关系,作为第三转发关系集。
在一些实施例中,在所述关联分析步骤中:
(1)所述第一转发关系集中的转发关系为所述转发器与所述间接解析器之间的转发关系,具体表征为:
{ipf1,ipfj,…,ipfm}~>ipii
其中,ipii表示第i个间接解析器,1≤i≤n,n为间接解析器的数量,ipfj表示第j个转发器,1≤j≤m,m为与所述第i个间接解析器关联的转发器的数量,~>表示有向的转发关系;
Figure RE-GDA0003817415300000141
则/>
Figure RE-GDA0003817415300000142
(2)所述第二转发关系集中的转发关系为所述目标缓存域名系统与所述间接解析器之间的转发关系,具体表征为:
ipcdns~>{ipi1,ipii,…,ipin}
其中,ipcdns表示所述目标缓存域名系统;
Figure RE-GDA0003817415300000143
则/>
Figure RE-GDA0003817415300000144
其中:ipii表示第i个间接解析器,ipcdns表示所述目标缓存域名系统;
(3)所述第三转发关系集中的转发关系为所述转发器与所述目标缓存域名系统之间的转发关系;具体表征为:
Figure RE-GDA0003817415300000145
由于
Figure RE-GDA0003817415300000146
令/>
Figure RE-GDA0003817415300000147
Figure RE-GDA0003817415300000151
所述目标缓存域名系统ipcdns服务于/>
Figure RE-GDA0003817415300000152
具体地,关联分析模块的主要功能是实现目标缓存域名系统、转发器和间接解析器之间的初步关联。具体地,从本地数据库中识别与目标缓存域名系统关联的间接解析器列表,同时反向关联出与上述间接解析器关联的转发器,构建目标缓存域名系统与间接解析器、转发器与间接解析器关联的二元组。
(i)目标缓存域名系统和间接解析器的关联
目标缓存域名系统在转发关系数据库中体现为转发器IP地址,通过检索目标缓存域名系统IP地址对应的间接解析器,可以得到目标缓存域名系统关联的间接解析器IP 地址或IP地址列表。上述转发关系表示为:
ipcdns~>{ipi1,ipii,…,ipin},1≤i≤n
其中~>符号表示有向的转发关系,a~>b表示a向b转发。
Figure RE-GDA0003817415300000153
则:/>
Figure RE-GDA0003817415300000154
(ii)间接解析器与转发器的关联
互联网中存在的隐性转发关系,导致除了目标缓存域名系统与步骤1)中的转发关系,还可能存在很多其他的转发器与上述间接解析器集合存在转发关系。与间接解析器ipii存在转发关系的转发器集合可以通过在转发关系数据库中检索ipii对应的转发器得到。上述转发关系表示为:
{ipf1,ipfj,…,ipfm}~>ipii
Figure RE-GDA0003817415300000155
则/>
(iii)转发器与目标缓存域名系统的关联
由于缓存域名系统ipcdns与间接解析器ipii之间存在转发关系,集合
Figure RE-GDA0003817415300000157
中的转发器无法直接向间接解析器ipii转发请求,只能通过向缓存域名系统ipcdns转发请求,从而间接实现向间接解析器ipii转发请求。因此,可以推测下式成立:
Figure RE-GDA0003817415300000158
即集合
Figure RE-GDA0003817415300000159
中的转发器与缓存域名系统ipcdns之间存在转发关系。进一步地:
Figure RE-GDA00038174153000001510
Figure RE-GDA0003817415300000161
则称为缓存域名系统ipcdns服务于转发器集合/>
Figure RE-GDA0003817415300000162
经过关联分析模块上述三个关联步骤,可以实现缓存域名系统和间接解析器、间接解析器与转发器、转发器与目标缓存域名系统的初步关联。
在间接解析器聚合模块(S3、间接解析器聚合步骤):基于所述第一转发关系集中的转发关系和所述第三转发关系集中的转发关系,对所述间接解析器进行聚类,以获取与所述目标缓存域名系统关联的全部间接解析器。
在一些实施例中,所述聚类的规则为:对所述第一转发关系集中的每一个间接解析器,求取其对应的若干转发器与所述第三转发关系集中所述目标缓存域名系统对应的若干转发器的交集,当所述交集中转发器的数量超过阈值时,将当前间接解析器聚合到所述第二转发关系中与所述目标缓存域名系统关联的间接解析器集合中,最终获得与所述目标缓存域名系统关联的全部间接解析器。
在一些实施例中,在对所述第一转发关系集中的每一个间接解析器进行聚合处理前,还包括对所述第一转发关系集中的各个间接解析器执行基于IP地址段和/或IP Whois信息的扩展,以得到经扩展的间接解析器,并将所述经扩展的间接解析器并入所述第一转发关系集的间接解析器中。
具体地,间接解析器聚合模块的主要功能是实现间接解析器的扩展和聚合。具体地,首先根据目标缓存域名系统初步关联出来的间接解析器,通过IP地址段、IP WHOIS等信息进行扩展,形成候选间接解析器列表。然后,选取一个候选间接解析器IP地址,关联分析得到与其相关联的转发器集合,求解其与目标缓存域名系统初步关联出来的转发器集合之间的交集,当两者交集达到一定比例时,将候选间接解析器IP地址聚合到目标缓存域名系统关联的间接解析器集合中。如此迭代进行扩展和聚合操作,直到候选间接解析器列表为空。
(i)间接解析器扩展
由于转发关系探测模块采取单点探测,且每个IP地址发送的探测报文数量有限,无法直接枚举目标缓存域名系统所依赖的所有间接解析器。DNS服务商在部署间接解析器时通常会优先使用分配到自身的IP地址段,且倾向于在同一个IP地址段部署多个解析器。基于上述特点,提出两种间接解析器扩展方法。
A.基于IP地址段的间接解析器扩展
基于IP地址段的间接解析器扩展通过IP地址段对目标缓存域名系统关联的间接解析器进行扩展。首先,提取关联分析模块获取的与目标缓存域名系统存在转发关系的间接解析器列表{ipi1,ipii,…,ipin}。然后,提取其中的唯一IP B段 {ipr1,ipri,…,iprb},1≤i≤b,1≤b≤n。接着,利用转发关系模块生成的转发关系数据库,可以检索生成待扩展的候选间接解析器列表{ipic1,ipici,…,ipick}。注意,这里使用IP B段而不是IP C段对间接解析器进行扩展,是因为在实践中,IP C段扩展对间接解析器的扩展效果非常有限。
B.基于IP Whois信息的间接解析器扩展
基于IP Whois的间接解析器扩展通过IP Whois信息对目标缓存域名系统关联的间接解析器进行扩展。首先,提取关联分析模块获取的与目标缓存域名系统存在转发关系的间接解析器列表{ipi1,ipii,…,ipin}。然后,根据IP Whois数据中的组织机构(ORG) 字段,获取间接解析器列表{ipi1,ipii,…,ipin}所属的ORG列表 {orgi1,orgii,…,orgio},1≤o≤n。接着,利用转发关系模块生成的转发关系数据库以及IP Whois数据库,可以检索生成待扩展的候选间接解析器列表 {ipic1,ipici,…,ipicl}。
(ii)间接解析器聚合
通过间接解析器扩展,能够基于关联分析模块初步关联分析得到的与目标缓存域名系统相关联的间接解析器集合{ipi1,ipii,…,ipin},获取待扩展的候选间接解析器集合IPIc={ipic1,ipici,…,ipick}。
间接解析器聚合的基本思路是:通过分析候选间接解析器关联的转发器集合与目标缓存域名系统已知的关联转发器集合之间的交集,判断两者的交集重合度大小,当交集重合度达到一定阈值时,将候选间接解析器聚合到目标缓存域名系统相关联的间接解析器列表中,否则,将候选间接解析器剔除出候选列表,放入二阶候选列表。迭代进行上述操作,直到候选间接解析器列表为空。考虑到候选间接解析器集合中的每个间接解析器关联的转发器集合与目标缓存域名系统已知的关联转发器集合之间的交集可能会因候选间接解析器的顺序有关,因此,还应对二阶候选列表重复执行上述操作,直到二阶候选间接解析器集合为空。
具体实现步骤如下:
给定间接解析器集合IPI={ipi1,ipii,…,ipin},与缓存域名系统ipcdns存在转发关系,给定待扩展的候选间接解析器集合IPIc={ipic1,ipici,…,ipick}。令 N0=|IPI|,
Figure RE-GDA0003817415300000181
二阶候选集合/>
Figure RE-GDA0003817415300000182
步骤1:对于任意的ipici∈IPIc,在转发关系数据库中检索ipici对应的转发器,得到与ipici存在转发关系的转发器集合
Figure RE-GDA0003817415300000183
步骤2:计算步骤1中的转发器集合
Figure RE-GDA0003817415300000184
与缓存域名系统ipcdns服务的转发器集合
Figure RE-GDA0003817415300000185
之间的交集。若:
Figure RE-GDA0003817415300000186
其中阈值
Figure RE-GDA0003817415300000187
则认为候选间接解析器ipici与缓存域名系统ipcdns关联的间接解析器属于同一集合,即/>
Figure RE-GDA0003817415300000188
此时,
Figure RE-GDA0003817415300000189
否则,将候选间接解析器ipici剔除候选集合IPIc,即IPIc=IPIc-{ipici};同时放入二阶候选集合/>
Figure RE-GDA00038174153000001810
即/>
Figure RE-GDA00038174153000001811
/>
步骤3:重复步骤1和步骤2,直到候选集合IPIc为空。若
Figure RE-GDA00038174153000001812
Figure RE-GDA00038174153000001813
则转到步骤4。否则,结束。
步骤4:令
Figure RE-GDA00038174153000001814
重复步骤1至步骤3直至二阶/>
Figure RE-GDA00038174153000001815
为空,结束。
值得注意的是,根据实验经验数据,阈值
Figure RE-GDA00038174153000001816
的取值与缓存域名系统的类型和规模直接相关。一般而言,ISP构建的缓存域名系统用户相对集中,一般取/>
Figure RE-GDA00038174153000001817
专业PublicDNS公司构建的缓存域名系统用户相对分散,一般取/>
Figure RE-GDA00038174153000001818
经过上述扩展和聚合步骤操作,将获得更新后的
Figure RE-GDA00038174153000001819
和/>
Figure RE-GDA00038174153000001820
分别表示与缓存域名系统ipcdns存在转发关系的间接解析器集合和转发器集合。
在服务范围展示模块(S4、服务范围确定步骤):对与所述目标缓存域名系统关联的全部间接解析器中的每一个间接解析器所服务的转发器的并集,作为所述目标缓存域名系统所服务的全部转发器,并利用IPGeo数据库确定所述全部转发器的位置信息,作为所述目标缓存域名系统的服务范围。
在一些实施例中,在所述服务范围确定步骤中,利用所述IPGeo数据库确定目标缓存域名系统服务的全部转发器的位置信息,所述位置信息包括经度、纬度、城市信息,作为所述目标缓存域名系统的服务范围。
服务范围展示模块的主要功能是实现缓存域名系统服务范围的可视化展示和标注。具体实现步骤如下:首先获取与目标缓存域名系统相关联的解析器集合,然后利用IPGeo 数据库对解析器IP地址进行定位,获取其经度、纬度、城市等信息。最后,根据解析器地理位置信息,结合高精度地理信息地图,在地图上绘制热力图,可视化展示目标缓存域名系统的服务范围。
具体实施例
114DNS是国内首家云安全DNS,114DNS平台由多个基础电信运营商与南京信风共建共享,由南京信风提供技术支持以确保服务的优质高效。其服务IP地址为:114.114.114.114和114.114.115.115。
(1)转发关系探测
为了分析114DNS这个缓存域名系统的服务范围。首先进行转发关系探测,值得注意的是这里仍然进行的是整个IPv4地址空间的探测,原因是:1)整个IPv4地址空间的转发关系探测,不仅可以用于分析某一个特定缓存域名系统的服务范围,还可以用于分析其他缓存域名系统的服务范围。具有一次探测,多次重复使用的优点;2)由于事先无法知道114DNS服务于哪些转发器,因此,无法事先确定转发关系探测的IP地址范围。
通过探测,得到114.114.114.114的间接解析器地址为58.217.249.133,114.114.115.115的间接解析器地址为58.217.249.148。
(2)关联分析
通过关联查询,可得58.217.249.133关联的转发器数量为142654个,58.217.249.148关联的转发器数量为143674个,两者关联的解析器并集为230802。因此,构建:
IPI114DNS={58.217.249.133,58.217.249.148}
|IPF114DNS|=230802
(3)间接解析器聚合
首先通过IP地址段和IP Whois信息对114DNS可能关联的解析器进行扩展。一共关联出8个IP地址,除去已知的2个IP地址,有6个新的IP地址,则候选的间接解析器集合为:
Figure RE-GDA0003817415300000201
对于中的每个间接解析器IP地址,以58.217.249.132为例, |IPF132|=230802,计算
Figure RE-GDA0003817415300000202
因此,将58.217.249.132加入集合IPI114DNS,更新:
IPI114DNS={58.217.249.133,58.217.249.148,58.217.249.132}
|IPF114DNS|=297180
迭代进行上述步骤,直到候选解析器集合
Figure RE-GDA0003817415300000203
此实施例中,候选的6个间接解析器IP地址均属于114DNS关联的间接解析器。
更新IPI114DNS
Figure RE-GDA0003817415300000204
|IPF114DNS|=531404
(4)服务范围展示
缓存域名系统服务的解析器数量和位置决定了该缓存域名系统的服务范围。经过迭代的间接解析器聚合过程之后,可以关联得到114DNS服务的转发器集合IPF114DNS,共包括531404个转发器。基于IPGeo数据库获取上述转发器的地理位置信息,结合高精度地理信息地图,在地图上标识出转发器的地理位置。最终,体现出来的结果是同一个地区的解析器数量越多,显示出的颜色越深。
本发明第二方面公开了一种基于转发关系确定缓存域名系统服务范围的装置。图5 为根据本发明实施例一种基于转发关系确定缓存域名系统服务范围的装置的结构图;如图5所示,所述装置500包括:
转发关系探测模块501,被配置为:利用探针节点面向IPv4地址空间的远程IP地址发送探测报文,并接收返回的所述探测报文的应答报文,从所述应答报文中获取转发关系;其中:
所述IPv4地址空间包括各个转发器的IP地址和各个间接解析器的IP地址;
所述转发关系包括:
所述转发器与所述间接解析器之间的转发关系,作为第一转发关系集;以及
目标缓存域名系统与所述间接解析器之间的转发关系,作为第二转发关系集;
关联分析模块502,被配置为:对所述第一转发关系集和所述第二转发关系集进行关联分析,以获取所述目标缓存域名系统与所述转发器之间的转发关系,作为第三转发关系集;
间接解析器聚合模块503,被配置为:基于所述第一转发关系集中的转发关系和所述第三转发关系集中的转发关系,对所述间接解析器进行聚类,以获取与所述目标缓存域名系统关联的全部间接解析器;
服务范围确定模块504,被配置为:对与所述目标缓存域名系统关联的全部间接解析器中的每一个间接解析器所服务的转发器的并集,作为所述目标缓存域名系统所服务的全部转发器,并利用IPGeo数据库确定所述全部转发器的位置信息,作为所述目标缓存域名系统的服务范围。
根据本发明第二方面的装置,所述转发关系探测模块501具体被配置为,利用如下方式获取所述转发器与所述间接解析器之间的所述第一转发关系:
利用所述探针节点获取所述IPv4地址空间中与其对应的其中一个转发器的IP地址,并将所述其中一个转发器的IP地址封装在查询域名前,作为第一探测报文发送至所述其中一个转发器;使得:
所述其中一个转发器基于与其对应的缓存域名系统列表,将所述第一探测报文经由所述缓存域名系统列表中的任一缓存域名系统,发送至与所述任一缓存域名系统对应的其中一个间接解析器;
所述其中一个间接解析器基于所述查询域名将所述第一探测报文发送给与其直接交互的所述权威服务器;
利用所述权威服务器将所述其中一个间接解析器的IP地址进行封装以生成第一应答报文,并将所述第一应答报文经由所述其中一个间接解析器、所述任一缓存域名系统、所述其中一个转发器返回至所述探针节点;使得:
所述探针节点从所述第一应答报文中提取出所述其中一个转发器的IP地址和所述其中一个间接解析器的IP地址作为一个转发关系;
通过多次探测获取若干所述转发器和若干所述间接解析器之间的转发关系,作为所述第一转发关系集。
根据本发明第二方面的装置,所述转发关系探测模块501具体被配置为,利用如下方式获取所述目标缓存域名系统与所述间接解析器之间的所述第二转发关系:
利用所述探针节点获取所述IPv4地址空间中所述目标缓存域名系统的IP地址,并将所述目标缓存域名系统的IP地址封装在查询域名前,作为第二探测报文,将所述探测报文发送至所述目标缓存域名系统;使得:
所述目标缓存域名系统基于与其对应的其中一个间接解析器的IP地址,将所述第二探测报文发送至所述其中一个间接解析器;
所述其中一个间接解析器基于所述查询域名将所述第二探测报文发送给与其直接交互的所述权威服务器;
利用所述权威服务器将所述其中一个间接解析器的IP地址封装在应答报文中以生成第二应答报文,并将所述第二应答报文经由所述其中一个间接解析器和所述目标缓存域名系统返回至所述探针节点,使得所述探针节点从所述第二应答报文中提取出所述目标缓存域名系统和所述其中一个间接解析器的IP地址作为一个转发关系;
通过多次探测获取所述目标缓存域名系统和若干所述间接解析器之间的转发关系,作为所述第二转发关系集。
根据本发明第二方面的装置,所述关联分析模块502具体被配置为:
(1)所述第一转发关系集中的转发关系为所述转发器与所述间接解析器之间的转发关系,具体表征为:
{ipf1,ipfj,…,ipfm}~>ipii
其中,ipii表示第i个间接解析器,1≤i≤n,n为间接解析器的数量,ipfj表示第j个转发器,1≤j≤m,m为与所述第i个间接解析器关联的转发器的数量,~>表示有向的转发关系;
Figure RE-GDA0003817415300000221
则/>
Figure RE-GDA0003817415300000222
(2)所述第二转发关系集中的转发关系为所述目标缓存域名系统与所述间接解析器之间的转发关系,具体表征为:
ipcdns~>{ipi1,ipii,…,ipin}
其中,ipcdns表示所述目标缓存域名系统;
Figure RE-GDA0003817415300000223
则/>
Figure RE-GDA0003817415300000224
其中:ipii表示第i个间接解析器,ipcdns表示所述目标缓存域名系统;
(3)所述第三转发关系集中的转发关系为所述转发器与所述目标缓存域名系统之间的转发关系;具体表征为:
Figure RE-GDA0003817415300000231
由于
Figure RE-GDA0003817415300000232
令/>
Figure RE-GDA0003817415300000233
Figure RE-GDA0003817415300000234
所述目标缓存域名系统ipcdns服务于/>
Figure RE-GDA0003817415300000235
根据本发明第二方面的装置,所述间接解析器聚合模块503具体被配置为,所述聚类的规则为:
对所述第一转发关系集中的每一个间接解析器,求取其对应的若干转发器与所述第三转发关系集中所述目标缓存域名系统对应的若干转发器的交集,当所述交集中转发器的数量超过阈值时,将当前间接解析器聚合到所述第二转发关系中与所述目标缓存域名系统关联的间接解析器集合中,最终获得与所述目标缓存域名系统关联的全部间接解析器。
根据本发明第二方面的装置,所述间接解析器聚合模块503具体被配置为,在对所述第一转发关系集中的每一个间接解析器进行聚合处理前,还包括对所述第一转发关系集中的各个间接解析器执行基于IP地址段和/或IP Whois信息的扩展,以得到经扩展的间接解析器,并将所述经扩展的间接解析器并入所述第一转发关系集的间接解析器中。
根据本发明第二方面的装置,所述服务范围确定模块504具体被配置为,利用所述IPGeo数据库确定目标缓存域名系统服务的全部转发器的位置信息,所述位置信息包括经度、纬度、城市信息,作为所述目标缓存域名系统的服务范围。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种基于转发关系确定缓存域名系统服务范围的方法中的步骤。
图6为根据本发明实施例的一种电子设备的结构图,如图6所示,电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC) 或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本公开的技术方案相关的部分的结构图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种基于转发关系确定缓存域名系统服务范围的方法中的步骤。
本发明旨在解决现有分析方法不准确、复杂度高、难以扩展的问题。所述方法通过探测全球IPv4地址空间中解析器之间的转发关系,在迭代聚合缓存域名系统解析器池的基础上,关联出使用缓存域名系统基础设施的转发器集合,并利用转发器的地理分布和数量衡量缓存域名系统服务范围,快速实现缓存域名系统服务范围分析。具体实现如下效果:(1)可以识别全球IPv4地址空间中的解析器IP地址及其相互之间的转发关系; (2)可以实现给定缓存域名系统的间接解析器节点的聚合分析;(3)可以实现转发器和间接解析器之间的关联分析;(4)可以基于转发器的地理位置和数量实现给定缓存域名系统服务范围的分析。
本发明的目标在于:给定缓存域名系统的服务IP地址,确定这个缓存域名系统为哪些地区提供服务。为了实现上述目标,本发明改进点包括:
(1)基于应答报文封装的转发关系探测方法。高效地实现转发关系探测是本发明的重要步骤,为后续分析提供数据输入。为了解决传统转发关系探测存在的效率低、易被篡改等问题,本发明提出基于应答报文封装的转发关系探测方法,并基于A记录、TXT 记录、CNAME/NS记录等多种DNS资源记录类型设计实现了应答报文封装方法,使得探针节点能够在应答报文中直接提取转发关系,从而提高转发关系探测的效率。同时,通过设计易于识别的应答记录,可以方便地识别应答报文是否受到篡改。
(2)多重转发关系关联分析方法。在转发关系探测的基础上,本发明提出了缓存域名系统和间接解析器、间接解析器和转发器、转发器与缓存域名系统等多重转发关系关联分析方法。构建了缓存域名系统与转发器之间的关联桥梁,从而将缓存域名系统服务范围问题转化成为与之存在转关关系的关联的转发器数量与分布问题。
(3)基于迭代的间接解析器扩展聚合方法。鉴于单次探测很难直接将缓存域名系统关联的间接解析器列表直接全部探测出来,本发明利用大量解析器与缓存域名系统之间存在的转发关系,设计提出了基于迭代的间接解析器扩展聚合方法。首先,利用IP 地址段、IP Whois等信息对间接解析器进行扩展,形成候选的间接解析器扩展列表,然后,设计实现了一种基于迭代的间接解析器聚合方法,迭代地实现了缓存域名系统关联的间接解析器的聚合与扩展,从而间接地实现了缓存域名系统服务的转发器集合的扩展。
(4)基于热力图的缓存域名系统服务范围表示方法。解析器的数量和分布都影响着缓存域名系统服务范围,为了解决缓存域名系统服务范围可视化展示问题,本发明提出基于热力图的缓存域名系统服务范围表示方法,有效地将解析器数量和分布同时考虑到,并利用地理信息地图,实现域名系统服务范围的展示。
综上所述,上述四个主要改进点构成了本发明的技术核心,层层递进,层层支撑,有效解决了本发明实现途径中的技术难题和当前缓存域名系统服务范围分析中存在的问题。
请注意,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种基于转发关系确定缓存域名系统服务范围的方法,其特征在于,所述方法包括:
S1、转发关系探测步骤:探针节点面向IPv4地址空间的远程IP地址发送探测报文,并接收返回的所述探测报文的应答报文,从所述应答报文中获取转发关系;其中:
所述IPv4地址空间包括各个转发器的IP地址和各个间接解析器的IP地址;
所述转发关系包括:
所述转发器与所述间接解析器之间的转发关系,作为第一转发关系集;以及
目标缓存域名系统与所述间接解析器之间的转发关系,作为第二转发关系集;
S2、关联分析步骤:对所述第一转发关系集和所述第二转发关系集进行关联分析,以获取所述目标缓存域名系统与所述转发器之间的转发关系,作为第三转发关系集;
S3、间接解析器聚合步骤:基于所述第一转发关系集中的转发关系和所述第三转发关系集中的转发关系,对所述间接解析器进行聚类,以获取与所述目标缓存域名系统关联的全部间接解析器;
S4、服务范围确定步骤:对与所述目标缓存域名系统关联的全部间接解析器中的每一个间接解析器所服务的转发器的并集,作为所述目标缓存域名系统所服务的全部转发器,并利用IPGeo数据库确定所述全部转发器的位置信息,作为所述目标缓存域名系统的服务范围。
2.根据权利要求1所述的一种基于转发关系确定缓存域名系统服务范围的方法,其特征在于,在转发关系探测步骤中,获取所述转发器与所述间接解析器之间的所述第一转发关系包括:
步骤S1-1a、所述探针节点获取所述IPv4地址空间中与其对应的其中一个转发器的IP地址,并将所述其中一个转发器的IP地址封装在查询域名前,作为第一探测报文发送至所述其中一个转发器;使得:
所述其中一个转发器基于与其对应的缓存域名系统列表,将所述第一探测报文经由所述缓存域名系统列表中的任一缓存域名系统,发送至与所述任一缓存域名系统对应的其中一个间接解析器;
所述其中一个间接解析器基于所述查询域名将所述第一探测报文发送给与其直接交互的所述权威服务器;
步骤S1-2a、所述权威服务器将所述其中一个间接解析器的IP地址进行封装以生成第一应答报文,并将所述第一应答报文经由所述其中一个间接解析器、所述任一缓存域名系统、所述其中一个转发器返回至所述探针节点;使得:
所述探针节点从所述第一应答报文中提取出所述其中一个转发器的IP地址和所述其中一个间接解析器的IP地址作为一个转发关系;
步骤S1-3a、通过多次探测获取若干所述转发器和若干所述间接解析器之间的转发关系,作为所述第一转发关系集。
3.根据权利要求1所述的一种基于转发关系确定缓存域名系统服务范围的方法,其特征在于,在转发关系探测步骤中,获取所述目标缓存域名系统与所述间接解析器之间的所述第二转发关系包括:
步骤S1-1b、所述探针节点获取所述IPv4地址空间中所述目标缓存域名系统的IP地址,并将所述目标缓存域名系统的IP地址封装在查询域名前,作为第二探测报文,将所述探测报文发送至所述目标缓存域名系统;使得:
所述目标缓存域名系统基于与其对应的其中一个间接解析器的IP地址,将所述第二探测报文发送至所述其中一个间接解析器;
所述其中一个间接解析器基于所述查询域名将所述第二探测报文发送给与其直接交互的所述权威服务器;
步骤S1-2b、所述权威服务器将所述其中一个间接解析器的IP地址封装在应答报文中以生成第二应答报文,并将所述第二应答报文经由所述其中一个间接解析器和所述目标缓存域名系统返回至所述探针节点,使得所述探针节点从所述第二应答报文中提取出所述目标缓存域名系统和所述其中一个间接解析器的IP地址作为一个转发关系;
步骤S1-3b、通过多次探测获取所述目标缓存域名系统和若干所述间接解析器之间的转发关系,作为所述第二转发关系集。
4.根据权利要求1所述的一种基于转发关系确定缓存域名系统服务范围的方法,其特征在于,在所述关联分析步骤中:
(1)所述第一转发关系集中的转发关系为所述转发器与所述间接解析器之间的转发关系,具体表征为:
{ipf1,ipfj,…,ipfm}~>ipii
其中,ipii表示第i个间接解析器,1≤i≤n,n为间接解析器的数量,ipfj表示第j个转发器,1≤j≤m,m为与所述第i个间接解析器关联的转发器的数量,~>表示有向的转发关系;
Figure FDA0003593593430000031
则/>
Figure FDA0003593593430000032
(2)所述第二转发关系集中的转发关系为所述目标缓存域名系统与所述间接解析器之间的转发关系,具体表征为:
ipcdns~>{ipi1,ipii,…,ipin}
其中,ipcdns表示所述目标缓存域名系统;
Figure FDA0003593593430000039
则/>
Figure FDA0003593593430000038
其中:ipii表示第i个间接解析器,ipcdns表示所述目标缓存域名系统;
(3)所述第三转发关系集中的转发关系为所述转发器与所述目标缓存域名系统之间的转发关系;具体表征为:
Figure FDA0003593593430000033
由于
Figure FDA0003593593430000034
令/>
Figure FDA0003593593430000035
Figure FDA0003593593430000036
所述目标缓存域名系统ipcdns服务于/>
Figure FDA0003593593430000037
5.根据权利要求1所述的一种基于转发关系确定缓存域名系统服务范围的方法,其特征在于,在所述间接解析器聚合步骤中,所述聚类的规则为:
对所述第一转发关系集中的每一个间接解析器,求取其对应的若干转发器与所述第三转发关系集中所述目标缓存域名系统对应的若干转发器的交集,当所述交集中转发器的数量超过阈值时,将当前间接解析器聚合到所述第二转发关系中与所述目标缓存域名系统关联的间接解析器集合中,最终获得与所述目标缓存域名系统关联的全部间接解析器。
6.根据权利要求5所述的一种基于转发关系确定缓存域名系统服务范围的方法,其特征在于,在所述间接解析器聚合步骤中,在对所述第一转发关系集中的每一个间接解析器进行聚合处理前,还包括对所述第一转发关系集中的各个间接解析器执行基于IP地址段和/或IP Whois信息的扩展,以得到经扩展的间接解析器,并将所述经扩展的间接解析器并入所述第一转发关系集的间接解析器中。
7.根据权利要求1所述的一种基于转发关系确定缓存域名系统服务范围的方法,其特征在于,在所述服务范围确定步骤中,利用所述IPGeo数据库确定目标缓存域名系统服务的全部转发器的位置信息,所述位置信息包括经度、纬度、城市信息,作为所述目标缓存域名系统的服务范围。
8.一种基于转发关系确定缓存域名系统服务范围的装置,其特征在于,所述系统包括:
转发关系探测模块,被配置为:利用探针节点面向IPv4地址空间的远程IP地址发送探测报文,并接收返回的所述探测报文的应答报文,从所述应答报文中获取转发关系;其中:
所述IPv4地址空间包括各个转发器的IP地址和各个间接解析器的IP地址;
所述转发关系包括:
所述转发器与所述间接解析器之间的转发关系,作为第一转发关系集;以及
目标缓存域名系统与所述间接解析器之间的转发关系,作为第二转发关系集;
关联分析模块,被配置为:对所述第一转发关系集和所述第二转发关系集进行关联分析,以获取所述目标缓存域名系统与所述转发器之间的转发关系,作为第三转发关系集;
间接解析器聚合模块,被配置为:基于所述第一转发关系集中的转发关系和所述第三转发关系集中的转发关系,对所述间接解析器进行聚类,以获取与所述目标缓存域名系统关联的全部间接解析器;
服务范围确定模块,被配置为:对与所述目标缓存域名系统关联的全部间接解析器中的每一个间接解析器所服务的转发器的并集,作为所述目标缓存域名系统所服务的全部转发器,并利用IPGeo数据库确定所述全部转发器的位置信息,作为所述目标缓存域名系统的服务范围。
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现权利要求1至7中任一项所述的一种基于转发关系确定缓存域名系统服务范围的方法中的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1至7中任一项所述的一种基于转发关系确定缓存域名系统服务范围的方法中的步骤。
CN202210382835.2A 2022-04-13 2022-04-13 基于转发关系确定缓存域名系统服务范围的方法和装置 Active CN115396397B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210382835.2A CN115396397B (zh) 2022-04-13 2022-04-13 基于转发关系确定缓存域名系统服务范围的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210382835.2A CN115396397B (zh) 2022-04-13 2022-04-13 基于转发关系确定缓存域名系统服务范围的方法和装置

Publications (2)

Publication Number Publication Date
CN115396397A CN115396397A (zh) 2022-11-25
CN115396397B true CN115396397B (zh) 2023-07-14

Family

ID=84115532

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210382835.2A Active CN115396397B (zh) 2022-04-13 2022-04-13 基于转发关系确定缓存域名系统服务范围的方法和装置

Country Status (1)

Country Link
CN (1) CN115396397B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103051740A (zh) * 2012-12-13 2013-04-17 上海牙木通讯技术有限公司 域名解析方法、dns服务器及域名解析系统
CN105162900A (zh) * 2015-09-25 2015-12-16 中国互联网络信息中心 一种多节点协作的域名解析和缓存方法及系统
CN107645573A (zh) * 2017-09-29 2018-01-30 中国人民解放军国防科技大学 一种探测递归域名服务器转发配置的方法
CN107980217A (zh) * 2017-07-14 2018-05-01 深圳前海达闼云端智能科技有限公司 获取本地域名服务器地址的方法、装置和权威域名服务器
CN111447304A (zh) * 2020-06-17 2020-07-24 中国人民解放军国防科技大学 一种任播递归域名系统任播节点ip地址枚举方法和系统
CN111614617A (zh) * 2020-04-17 2020-09-01 国网浙江省电力有限公司电力科学研究院 一种基于dns缓存探测的物联网终端安全管控方法及装置
CN112565318A (zh) * 2019-09-25 2021-03-26 中兴通讯股份有限公司 一种服务器安全防御方法及系统、通信设备、存储介质
CN112600868A (zh) * 2020-11-10 2021-04-02 清华大学 域名解析方法、域名解析装置及电子设备
CN112689017A (zh) * 2020-12-28 2021-04-20 咪咕文化科技有限公司 重定向处理方法、装置、电子设备及存储介质
CN112929466A (zh) * 2021-04-20 2021-06-08 光载无限(北京)科技有限公司 一种公网网关ip和本地域名服务器ip的探测方法及系统

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103051740A (zh) * 2012-12-13 2013-04-17 上海牙木通讯技术有限公司 域名解析方法、dns服务器及域名解析系统
CN105162900A (zh) * 2015-09-25 2015-12-16 中国互联网络信息中心 一种多节点协作的域名解析和缓存方法及系统
CN107980217A (zh) * 2017-07-14 2018-05-01 深圳前海达闼云端智能科技有限公司 获取本地域名服务器地址的方法、装置和权威域名服务器
CN107645573A (zh) * 2017-09-29 2018-01-30 中国人民解放军国防科技大学 一种探测递归域名服务器转发配置的方法
CN112565318A (zh) * 2019-09-25 2021-03-26 中兴通讯股份有限公司 一种服务器安全防御方法及系统、通信设备、存储介质
CN111614617A (zh) * 2020-04-17 2020-09-01 国网浙江省电力有限公司电力科学研究院 一种基于dns缓存探测的物联网终端安全管控方法及装置
CN111447304A (zh) * 2020-06-17 2020-07-24 中国人民解放军国防科技大学 一种任播递归域名系统任播节点ip地址枚举方法和系统
CN112600868A (zh) * 2020-11-10 2021-04-02 清华大学 域名解析方法、域名解析装置及电子设备
CN112689017A (zh) * 2020-12-28 2021-04-20 咪咕文化科技有限公司 重定向处理方法、装置、电子设备及存储介质
CN112929466A (zh) * 2021-04-20 2021-06-08 光载无限(北京)科技有限公司 一种公网网关ip和本地域名服务器ip的探测方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
互联网名字空间结构及其解析服务研究;李丹,吴建平,崔勇,徐恪;软件学报(08);全文 *

Also Published As

Publication number Publication date
CN115396397A (zh) 2022-11-25

Similar Documents

Publication Publication Date Title
Gharaibeh et al. A look at router geolocation in public and commercial databases
Scheitle et al. HLOC: Hints-based geolocation leveraging multiple measurement frameworks
CN104468860B (zh) 域名解析服务器危险性的识别方法和装置
CN108881346B (zh) 面向位置服务的网络空间实体资源可视化方法及系统
CN109905288B (zh) 一种应用服务分类方法及装置
US11329878B2 (en) Systems and methods for network asset discovery and association thereof with entities
CN107342913B (zh) 一种cdn节点的探测方法和装置
CN106790530A (zh) 域名服务的跟踪和聚合方法
US20170214716A1 (en) Violation information management module forming violation information intelligence analysis system
Mátray et al. On the spatial properties of internet routes
CN110795434A (zh) 一种构建服务属性数据库的方法及装置
CN102055815A (zh) 获取访客本地域名解析服务器的系统
Li et al. Street-Level Landmarks Acquisition Based on SVM Classifiers.
Gouel et al. IP geolocation database stability and implications for network research
Li et al. Geocam: An ip-based geolocation service through fine-grained and stable webcam landmarks
Saxon et al. GPS-based geolocation of consumer IP addresses
CN115396397B (zh) 基于转发关系确定缓存域名系统服务范围的方法和装置
Ma et al. An algorithm of street-level landmark obtaining based on yellow pages
CN112671952B (zh) 一种ip检测的方法、装置、设备及存储介质
JP6484767B1 (ja) Ipアドレスに基づくユーザ属性推定システム
CN103345605A (zh) 一种恶意代码感染主机规模估计系统和方法
CN113766046A (zh) 迭代流量跟踪方法、dns服务器及计算机可读存储介质
Hou et al. Survey of cyberspace resources scanning and analyzing
Liu et al. Street-level landmark mining algorithm based on radar search
CN112838956A (zh) 面向用户的网络空间资源分析方法及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant