利用DNS日志數據識別寬帶私接的技術探討

張　琦　中訊郵電咨詢設計院有限公司工程師黃　宙　中訊郵電咨詢設計院有限公司工程師宮　忱　中國移動北京分公司工程師

利用DNS日志數據識別寬帶私接的技術探討

張琦中訊郵電咨詢設計院有限公司工程師
黃宙中訊郵電咨詢設計院有限公司工程師
宮忱中國移動北京分公司工程師

傳統對DNS的理解局限于域名解析功能，對海量的地址解析日志數據卻鮮有關注。本論文主要探討如何對DNS日志數據進行深度挖掘，從而獲得對運營商有價值的應用。為了力證技術的有效性和實用性，給出了在某運營商中部署的實際案例。

DNS；DPI；寬帶私接

1　引言

2015年，國內電信運營商為響應國家號召，掀起了“提速降費”的熱潮。部分運營商在直轄市、省會城市的平均接入速率達到20Mbit/s，重點城市甚至達到了50Mbit/s。寬帶速率的普遍提升，使得用戶可以更好的訪問高速率業務，滿足了市場和經濟發展需求。但是，與此同時，寬帶私接的現象也更加突出。

寬帶私接是指同一寬帶賬號被多臺PC或移動終端違規共享使用，具體限制的終端數量及終端類型，各個運營商的規定不盡相同，通常與寬帶用戶的業務套餐及運營商的市場策略緊密相關。寬帶用戶的私接嚴重侵蝕了運營商的寬帶業務收入，同時也加大了寬帶用戶溯源等安全管理難度。

2　傳統DPI檢測技術

目前，運營商識別寬帶私接采用的主要技術是深度包檢測技術（DPI，Deep Packet Inspection）。它是一種基于應用層的流量檢測和控制技術，當IP數據包、TCP或UDP數據流通過基于DPI技術的監管系統時，該系統通過深入讀取IP包載荷的內容來對OSI七層協議中的應用層信息進行重組，從而得到整個應用程序的內容，然后按照系統定義的管理策略對流量進行識別、控制等操作。

采用DPI這種方式需要根據檢測范圍要求，在網絡中適當的位置進行分光（或將DPI系統串接到整個監管鏈路中），將用戶流量引到檢測設備，深度分析應用層的內容，通過ID（Identification）軌跡檢測法、時鐘偏移檢測法、應用特征檢測法等，實現對同一賬號下多個終端的檢測。

DPI方案可以較為準確的實現寬帶私接的識別和控制，但是存在以下幾方面問題：

（1）造價高昂，無法大規模部署，隨著城域網出口帶寬的成倍增加及設備板卡端口的升級，分光設備的建造成本極為昂貴。

（2）基于DPI的一些算法不夠完善，存在一定的誤判、漏判，無法檢測出移動終端，而移動終端的發展已成為趨勢。

（3）系統擴展性差，目前已知系統基于IPv4開發，不支持NAT444、IPv6等。

3　DNS日志檢測技術

3.1DNS解析原理簡述

DNS（Domain Name System），“域名系統”的英文縮寫，因特網上作為域名和IP地址相互映射的一個分布式數據庫，能夠使用戶更方便的訪問互聯網，而不用去記住能夠被機器直接讀取的IP地址。通過主機名，最終得到該主機名對應的IP地址的過程叫做域名解析（或主機名解析）。DNS協議運行在UDP協議之上，使用端口號53。

域名到IP地址的解析是由分布在因特網上的許多域名服務器程序共同完成的，域名解析程序在專設的結點上運行，而人們也常把運行域名解析程序的服務器稱為域名服務器。

域名到IP地址的解析過程的要點如下：當某一個應用需要把主機名解析為IP地址時，該應用進程就調用解析程序，并稱為DNS的一個客戶，把待解析的域名放在DNS請求報文中，以UDP用戶數據報方式發給本地域名服務器。本地域名服務器在查找域名后，把對應的IP地址放在回答報文中返回。應用程序獲得目的主機的IP地址后即可進行通信。若本地域名服務器不能回答該請求，則此域名服務器就暫時稱為DNS的另一個客戶，通過遞歸、迭代或二者結合的方式進行進一步域名的解析請求，指導獲得解析結果并返回給客戶位置。

（1）遞歸查詢

所謂遞歸查詢就是如果主機所詢問的本地域名服務器不知道被查詢域名的IP地址，那么本地域名服務器就以DNS客戶的身份，向其它根域名服務器繼續發出查詢請求報文（即替主機繼續查詢），而不是讓主機自己進行下一步查詢。

（2）迭代查詢

是指當根域名服務器收到本地域名服務器發出的迭代查詢請求報文時，要么給出所要查詢的IP地址，要么告訴本地服務器：“你下一步應當向哪一個域名服務器進行查詢”，然后讓本地服務器進行后續的查詢，圖1中的數字順序即為DNS解析的過程。

3.2DNS日志構成

以下為某運營商DNS系統中日志服務器的數據截取，包括了用戶的DNS請求和系統對用戶的響應（見表1）。

（1）DNS請求日志

101.254.184.118|60046|219.141.140.10|53|5445| www.baidu.com|A||20160120152627.061|0|q

（2）DNS響應日志

219.141.140.10|53|101.254.184.118|60046| 45445|www.baidu.com|A|A_220.181.112.244；A_ 220.181.111.188|20160120152627.061|0|r

上述日志為某一客戶端的單次解析請求和響應，通過對某一時間段內用戶訪問某些特定域名的訪問規律的統計，可進行深度分析，從而獲取有價值的信息。

3.3基于DNS日志檢測寬帶私接技術原理

基于DNS日志的分析通過專有的分布式系統，從待檢測區域的DNS服務器上采集、索引并分析各類應用程序生成的各類DNS請求數據，并結合Radius認證日志對海量寬帶上網用戶行為進行統計和趨勢上的總體分析和深度挖掘，按照私接規則區分出私接上網用戶。DNS日志分析方式的優勢在于無需分光，僅采集DNS日志及AAA的數據，分析的范圍與網絡規模無關。

圖1　迭代查詢與遞歸查詢示意圖

表1　DNS日志字段信息

DNS日志檢測寬帶私接技術首先基于操作系統和應用程序自身對DNS的規律性訪問行為特征建立終端特征庫，獲取包含用戶終端的操作系統和應用程序對DNS的訪問數據，基于以上網絡訪問數據識別某一時間段內同一賬號的寬帶用戶或者同一IP下的操作系統和應用程序的規律性訪問行為特征，通過以上規律性訪問行為特征和終端特征庫區分同一時刻內同一賬號的寬帶用戶或者同一IP下的終端數量，并判斷出存在私接網絡共享的賬號。賬號的判斷需結合運營商的認證授權計費系統（AAA）中用戶的認證數據。

4　兩種技術對比

以下從技術實現原理和系統部署方案兩個方面，對DPI方式和DNS日志分析方式識別寬帶私接進行比較。

4.1技術實現原理

DPI方式與DNS日志分析方式技術實現原理對比參見表2。

4.2系統部署方案

采用DPI技術和DNS日志分析技術進行寬帶私接的檢測，其組網架構有很大的區別，并且兩者組網架構的不同，直接導致運營商投資的巨大差異。圖2是兩種組網方案的對比示意圖。

5　DNS日志挖掘應用案例

以下是某運營商省公司部署的DNS日志分析系統，從系統的部署架構、系統的軟件架構以及系統實現的主要功能幾個方面作以介紹。

5.1系統部署結構及軟件架構

DNS日志分析系統采用專有的分布式系統，從各個地市的DNS服務器上采集、索引并分析各類應用程序生成的各類DNS請求數據，并結合Radius認證日志對海量寬帶上網用戶行為進行總體分析和深度挖掘，按照私接規則區分出私接上網用戶。

系統采用集中部署的方案，各個地市DNS服務器將日志信息采用壓縮傳輸的方式上傳到集中節點，或采用鏡像流量采集的方式將日志統一采集到日志服務器，并通過日志服務器上傳到集中節點，同Radius系統對接，采集認證計費報文，其系統部署結構示意圖如3所示。

表2　DPI方式與DNS日志分析方式技術實現原理對比表

圖2　DPI方式與DNS日志分析方式系統實現對比圖

圖3　DNS日志分析系統部署結構示意圖

DNS日志分析系統是專門為海量數據而設計的原生分布式系統，通過設計的專有架構，每一臺大數據服務節點每天可以處理數十億條信息數據，同時隨著日常數據量和數據來源的不斷增長，不斷新增服務器即可以方便快捷的擴展處理性能，同時對應每一個數據節點可以增加更多的復本分片，自動化的負載均衡處理機制可以無需干預的優化每個服務節點的查詢請求，提升查詢的響應速度，并提供故障災備的處理機制。DNS日志分析系統通過融合查詢引擎和分布式系統架構，同時提供對海量寬帶私接用戶的快速定位能力和寬帶用戶上網行為的詳細統計分析匯總報表展示。系統軟件架構如圖4所示。

5.2DNS日志分析系統主要功能

該運營商通過DNS日志分析系統能夠按需分析出各地市寬帶用戶或專線用戶的違規私接數量、私接時間、私接時長、私接設備類型、設備終端操作系統等統計信息，并能針對某一特定賬號進行深入分析，便于運營商有針對性的采取相應的市場策略，引導用戶使用正規的產品，既能保證用戶應有的上網質量，也能保護運營商應得利益。

6　結束語

在寬帶大提速的背景下，寬帶私接的識別和控制對于運營商來說是掌握自身業務對外提供狀況的必備手段之一，而采用性價比更高的DNS日志分析技術，可以有效提高檢測準確性，降低監管的成本，同時具有良好的擴展性。而作為普通的公眾用戶，應根據合同約定合理使用寬帶服務，拒絕做寬帶二次批發等違規業務。只有運營商和用戶雙方的共同努力，才能保證我們擁有高速、有保障的信息網絡。

［1］楊世標，王晶晶，梅汝鵬.DNS數據挖掘與搜索引擎技術相結合提升網絡安全［J］.電信技術，2011，05:P37-41.

［2］陳文文，吳開超.海量域名日志數據分析與可視化研究及應用［J］.計算機應用研究，2016，02:335-338.

［3］尉遲學彪，李曉東，閻保平，季成.DNS服務中的Internet訪問行為測量研究［J］.計算機工程與應用，2009，34:85-88+106.

［4］湯劍，胡洪新.DNS的安全部署與實現［J］.電腦知識與技術，2015，21:43-44.

How to recognize the access violation through DNS logs

ZHANG Qi，HUANG Zhou，GONG Chen

We usually considered the DNS as a Domain Name System， and its main function is translating the domain name to an IP address. Rare people pay attention to its logs. In fact， it is very valuable of the logs because it concludes much information for the communications operators. In the paper， we discuss how to recognize the access violation through DNS logs. Meanwhile，we post an example to prove its validity and utility.

domain name system， deep packet inspection， access violation in broadband service

圖4　DNS日志分析系統軟件架構示意圖

2016-04-20）