张　琦　中讯邮电咨询设计院有限公司工程师黄　宙　中讯邮电咨询设计院有限公司工程师宫　忱　中国移动北京分公司工程师

利用DNS日志数据识别宽带私接的技术探讨

张琦中讯邮电咨询设计院有限公司工程师
黄宙中讯邮电咨询设计院有限公司工程师
宫忱中国移动北京分公司工程师

传统对DNS的理解局限于域名解析功能，对海量的地址解析日志数据却鲜有关注。本论文主要探讨如何对DNS日志数据进行深度挖掘，从而获得对运营商有价值的应用。为了力证技术的有效性和实用性，给出了在某运营商中部署的实际案例。

DNS；DPI；宽带私接

1　引言

2015年，国内电信运营商为响应国家号召，掀起了“提速降费”的热潮。部分运营商在直辖市、省会城市的平均接入速率达到20Mbit/s，重点城市甚至达到了50Mbit/s。宽带速率的普遍提升，使得用户可以更好的访问高速率业务，满足了市场和经济发展需求。但是，与此同时，宽带私接的现象也更加突出。

宽带私接是指同一宽带账号被多台PC或移动终端违规共享使用，具体限制的终端数量及终端类型，各个运营商的规定不尽相同，通常与宽带用户的业务套餐及运营商的市场策略紧密相关。宽带用户的私接严重侵蚀了运营商的宽带业务收入，同时也加大了宽带用户溯源等安全管理难度。

2　传统DPI检测技术

目前，运营商识别宽带私接采用的主要技术是深度包检测技术（DPI，Deep Packet Inspection）。它是一种基于应用层的流量检测和控制技术，当IP数据包、TCP或UDP数据流通过基于DPI技术的监管系统时，该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行识别、控制等操作。

采用DPI这种方式需要根据检测范围要求，在网络中适当的位置进行分光（或将DPI系统串接到整个监管链路中），将用户流量引到检测设备，深度分析应用层的内容，通过ID（Identification）轨迹检测法、时钟偏移检测法、应用特征检测法等，实现对同一账号下多个终端的检测。

DPI方案可以较为准确的实现宽带私接的识别和控制，但是存在以下几方面问题：

（1）造价高昂，无法大规模部署，随着城域网出口带宽的成倍增加及设备板卡端口的升级，分光设备的建造成本极为昂贵。

（2）基于DPI的一些算法不够完善，存在一定的误判、漏判，无法检测出移动终端，而移动终端的发展已成为趋势。

（3）系统扩展性差，目前已知系统基于IPv4开发，不支持NAT444、IPv6等。

3　DNS日志检测技术

3.1DNS解析原理简述

DNS（Domain Name System），“域名系统”的英文缩写，因特网上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住能够被机器直接读取的IP地址。通过主机名，最终得到该主机名对应的IP地址的过程叫做域名解析（或主机名解析）。DNS协议运行在UDP协议之上，使用端口号53。

域名到IP地址的解析是由分布在因特网上的许多域名服务器程序共同完成的，域名解析程序在专设的结点上运行，而人们也常把运行域名解析程序的服务器称为域名服务器。

域名到IP地址的解析过程的要点如下：当某一个应用需要把主机名解析为IP地址时，该应用进程就调用解析程序，并称为DNS的一个客户，把待解析的域名放在DNS请求报文中，以UDP用户数据报方式发给本地域名服务器。本地域名服务器在查找域名后，把对应的IP地址放在回答报文中返回。应用程序获得目的主机的IP地址后即可进行通信。若本地域名服务器不能回答该请求，则此域名服务器就暂时称为DNS的另一个客户，通过递归、迭代或二者结合的方式进行进一步域名的解析请求，指导获得解析结果并返回给客户位置。

（1）递归查询

所谓递归查询就是如果主机所询问的本地域名服务器不知道被查询域名的IP地址，那么本地域名服务器就以DNS客户的身份，向其它根域名服务器继续发出查询请求报文（即替主机继续查询），而不是让主机自己进行下一步查询。

（2）迭代查询

是指当根域名服务器收到本地域名服务器发出的迭代查询请求报文时，要么给出所要查询的IP地址，要么告诉本地服务器：“你下一步应当向哪一个域名服务器进行查询”，然后让本地服务器进行后续的查询，图1中的数字顺序即为DNS解析的过程。

3.2DNS日志构成

以下为某运营商DNS系统中日志服务器的数据截取，包括了用户的DNS请求和系统对用户的响应（见表1）。

（1）DNS请求日志

101.254.184.118|60046|219.141.140.10|53|5445| www.baidu.com|A||20160120152627.061|0|q

（2）DNS响应日志

219.141.140.10|53|101.254.184.118|60046| 45445|www.baidu.com|A|A_220.181.112.244；A_ 220.181.111.188|20160120152627.061|0|r

上述日志为某一客户端的单次解析请求和响应，通过对某一时间段内用户访问某些特定域名的访问规律的统计，可进行深度分析，从而获取有价值的信息。

3.3基于DNS日志检测宽带私接技术原理

基于DNS日志的分析通过专有的分布式系统，从待检测区域的DNS服务器上采集、索引并分析各类应用程序生成的各类DNS请求数据，并结合Radius认证日志对海量宽带上网用户行为进行统计和趋势上的总体分析和深度挖掘，按照私接规则区分出私接上网用户。DNS日志分析方式的优势在于无需分光，仅采集DNS日志及AAA的数据，分析的范围与网络规模无关。

图1　迭代查询与递归查询示意图

表1　DNS日志字段信息

DNS日志检测宽带私接技术首先基于操作系统和应用程序自身对DNS的规律性访问行为特征建立终端特征库，获取包含用户终端的操作系统和应用程序对DNS的访问数据，基于以上网络访问数据识别某一时间段内同一账号的宽带用户或者同一IP下的操作系统和应用程序的规律性访问行为特征，通过以上规律性访问行为特征和终端特征库区分同一时刻内同一账号的宽带用户或者同一IP下的终端数量，并判断出存在私接网络共享的账号。账号的判断需结合运营商的认证授权计费系统（AAA）中用户的认证数据。

4　两种技术对比

以下从技术实现原理和系统部署方案两个方面，对DPI方式和DNS日志分析方式识别宽带私接进行比较。

4.1技术实现原理

DPI方式与DNS日志分析方式技术实现原理对比参见表2。

4.2系统部署方案

采用DPI技术和DNS日志分析技术进行宽带私接的检测，其组网架构有很大的区别，并且两者组网架构的不同，直接导致运营商投资的巨大差异。图2是两种组网方案的对比示意图。

5　DNS日志挖掘应用案例

以下是某运营商省公司部署的DNS日志分析系统，从系统的部署架构、系统的软件架构以及系统实现的主要功能几个方面作以介绍。

5.1系统部署结构及软件架构

DNS日志分析系统采用专有的分布式系统，从各个地市的DNS服务器上采集、索引并分析各类应用程序生成的各类DNS请求数据，并结合Radius认证日志对海量宽带上网用户行为进行总体分析和深度挖掘，按照私接规则区分出私接上网用户。

系统采用集中部署的方案，各个地市DNS服务器将日志信息采用压缩传输的方式上传到集中节点，或采用镜像流量采集的方式将日志统一采集到日志服务器，并通过日志服务器上传到集中节点，同Radius系统对接，采集认证计费报文，其系统部署结构示意图如3所示。

表2　DPI方式与DNS日志分析方式技术实现原理对比表

图2　DPI方式与DNS日志分析方式系统实现对比图

图3　DNS日志分析系统部署结构示意图

DNS日志分析系统是专门为海量数据而设计的原生分布式系统，通过设计的专有架构，每一台大数据服务节点每天可以处理数十亿条信息数据，同时随着日常数据量和数据来源的不断增长，不断新增服务器即可以方便快捷的扩展处理性能，同时对应每一个数据节点可以增加更多的复本分片，自动化的负载均衡处理机制可以无需干预的优化每个服务节点的查询请求，提升查询的响应速度，并提供故障灾备的处理机制。DNS日志分析系统通过融合查询引擎和分布式系统架构，同时提供对海量宽带私接用户的快速定位能力和宽带用户上网行为的详细统计分析汇总报表展示。系统软件架构如图4所示。

5.2DNS日志分析系统主要功能

该运营商通过DNS日志分析系统能够按需分析出各地市宽带用户或专线用户的违规私接数量、私接时间、私接时长、私接设备类型、设备终端操作系统等统计信息，并能针对某一特定账号进行深入分析，便于运营商有针对性的采取相应的市场策略，引导用户使用正规的产品，既能保证用户应有的上网质量，也能保护运营商应得利益。

6　结束语

在宽带大提速的背景下，宽带私接的识别和控制对于运营商来说是掌握自身业务对外提供状况的必备手段之一，而采用性价比更高的DNS日志分析技术，可以有效提高检测准确性，降低监管的成本，同时具有良好的扩展性。而作为普通的公众用户，应根据合同约定合理使用宽带服务，拒绝做宽带二次批发等违规业务。只有运营商和用户双方的共同努力，才能保证我们拥有高速、有保障的信息网络。

［1］杨世标，王晶晶，梅汝鹏.DNS数据挖掘与搜索引擎技术相结合提升网络安全［J］.电信技术，2011，05:P37-41.

［2］陈文文，吴开超.海量域名日志数据分析与可视化研究及应用［J］.计算机应用研究，2016，02:335-338.

［3］尉迟学彪，李晓东，阎保平，季成.DNS服务中的Internet访问行为测量研究［J］.计算机工程与应用，2009，34:85-88+106.

［4］汤剑，胡洪新.DNS的安全部署与实现［J］.电脑知识与技术，2015，21:43-44.

How to recognize the access violation through DNS logs

ZHANG Qi，HUANG Zhou，GONG Chen

We usually considered the DNS as a Domain Name System， and its main function is translating the domain name to an IP address. Rare people pay attention to its logs. In fact， it is very valuable of the logs because it concludes much information for the communications operators. In the paper， we discuss how to recognize the access violation through DNS logs. Meanwhile，we post an example to prove its validity and utility.

domain name system， deep packet inspection， access violation in broadband service

图4　DNS日志分析系统软件架构示意图

2016-04-20）