JSERNETUDP53端口流量分析.PDFVIP

2011 东南大学校庆研究生学术报告会 JSERNET UDP53 端口流量分析 苏艳珺，丁伟，方强 （东南大学计算机科学与工程学院，南京，210000 ） 摘 要：在大多数的防火墙和网络中,53 端口作为 DNS 服务的公认端口，一般不会被屏蔽。这种机制导致其它一些想要 穿越防火墙的报文滥用此端口。为全面了解这种现象，本文设计了 UDP53 端口报文检测程序。利用此程序对 JSERNET 的53 端口进行了流量分析，得到了网络中DNS 流量及其他非DNS 流量的比例，还原了网络流的真实情况。 关键词：流量分析；域名系统； 识别 Traffic Analysis of JSERNET’s UDP53 Port Su Yanjun, Ding Wei, Fang Qiang (School of Computer Science of Engineering, Southeast University, Nanjing, 210000) Abstract: As the well known port for DNS service, the 53 port wont be shielded by most of firewalls or network services. This defect can be used to send packets through firewalls without being detected. For comprehensive understanding of this phenomenon, a program was designed to inspect UDP flows going through the 53 port. With the help of this program, we conducted traffic analysis on the 53 port of JSERNET and obtained the proportions of DNS flow and non-DNS flow, which were used to describe the real components of such flows. Key words: Traffic analysis; Domain Name System; Identification 因特网发展初期，公用端口被紧密绑定于一 端口的除了DNS 报文外 ，还有很大一部分的穿 些服务，如HTTP 流量使用端口号80，DNS 流量 越流量。所以为了了解网络中真正DNS 报文的流 使用端口号53 。所以在设计安全机制的时候，防 量状态，我们对JSERNET 的UDP53 端口进行了 火墙一般会屏蔽那些端口号不能被识别的流量， 流量分析，得到网络中DNS 流量的比例与其他非 而公用端口则会被设置成开放的状态。然而随着 DNS 流量的比例。 互联网规模的不断扩大和各类网络应用的兴起， 本实验主要利用在CERNET 华东（北）地区 一些应用或者攻击常常使用这些公用端口号来伪 网络中心江苏省网边界采集得到的IP Trace，根 装自己，利用防火墙的这一特征来穿越路由器。 据IP Trace 的格式设计了UDP53 端口报文检测程 因此，传统的基于端口的网络协议判定方法在如 序，并且利用制作的标准答案，确定了此程序对 今的网络中受到了阻碍。 DNS 报文的查准率。本文从实测数据中观察到 域名系统（DNS ）是互联网的核心服务之一， 2005 年的IP Trace 中DNS 报文占UDP5