基于NetfilterDNS实时监控统计系统设计.docVIP

基于NetfilterDNS实时监控统计系统设计 　　（华南理工大学a.软件学院；b.计算机科学与工程学院， 广州 510006） 　　摘 要：分析当前DNS系统安全在服务监控统计方面的进展及问题，设计一种基于Netfilter的多层次构架实时监控统计系统DRMSS。其利用Netfilter在Linux内核空间实现DNS数据的实时过滤与解析，开发misc文件设备驱动模块以提供内核空间与用户空间之间内存映射，并结合读写同步算法，实现两种空间之间数据的快速交换。实验表明，DRMSS显著提高了域名监控统计的服务性能，增强了域名服务的安全性。 　　关键词：域名服务；Netfilter；内存映射；实时监控 　　中图分类号：TP393文献标志码：A 　　文章编号：1001-?B3695(2009)04-?B1487-?B04 　　 　　Design of DNS real-time monitor and statistics system based on Netfilter 　　 　　WANG Zhen-yua,DENG Jin-fub 　　(a.School of Software Engineering，b.School of Computer Science Engineering, South China University of Technology, Guangzhou510006, China) 　　Abstract:By analyzing the current research status and problems of DNS security services in monitor and statistics fields, this paper designed and implemented a multi-level framework DNS real-time monitor system(DRMSS) based on Netfilter.It made use of netfilter to filter and analyze DNS services data in Linux kernel space, developed a misc file device driver module to provide memory mapping between kernel space and user space, and realized data exchange between two spaces by combining read-write synchronization algorithm.Experimental results indicate that DRMSS enhances the security of domain name services,and optimize performance of services. 　　Key words:DNS；Netfilter；memory mapping；real-time monitor 　　0 引言?? 　　域名服务系统（domain name system）是一种广泛用于TCP/IP网络的分布式域名服务，完成从主机域名到IP地址的映射关系的查询。ISC BIND[1]及Foundation CNS[2]作为当前主流域名服务软件，由于开发着重点的局限，在服务统计监控方面存在很多不足[3]。DNS服务器的实时监控及异常自动处理等功能对于提高网络的安全性和服务质量非常必要，而服务数据的统计整合也能为企业的产品规划战略提供准确的业务数据支持。?? 　　1 当前研究进展及问题?? 　　目前有许多软件被用于限制恶性攻击，但都是被动式的，在输入DNS黑名单前需要人工辨别。Dnstop[4]、Des［5］等工具只能提供DNS数据中某一方面的计数，因此缺少相关的调查分析能力，也不能简单地分辨出感兴趣的趋势。?? 　　通用DNS应用软件BIND、CNS提供的日志数据包含很多关键信息，这些信息能够帮助定位一部分安全问题。但是，手工处理这些日志文件是个很繁琐而低效的工作。扩展的日志监视工具仅将重心放在处理具体领域，或者用于查看特定域名的手工列表，而特定的日志事件要实现成功处理，其先决条件是监视系统能够理解哪些操作信息需要考虑。然而，许多安全事务会影响这种监测。?? 　　通过DNS查询日志所检测到的异常可能是真正的安全性攻击，也可能只是一个配制错误。因此，在许多情况下，仅仅利用DNS查询日志进行数据视图化分析，远不能发现视图显示异常的真正原因。DNS服务报文[6]（又称为消息）是 DNS所有域协