一种基于云平台的域名主动检测方法和系统的制作方法

一种基于云平台的域名主动检测方法和系统的制作方法
【技术领域】
[0001]本发明涉及一种主动检测方法和系统，具体涉及一种基于云平台的域名主动检测方法和系统。
【背景技术】
[0002]域名系统是互联网的关键组成部分，域名资源是互联网的基础资源，域名服务是互联网的核心服务之一，为大多数互联网应用提供基础服务，发挥中枢神经的作用。伴随着互联网的发展，各种互联网服务层出不穷，数亿量级的域名已被申请注册，随之而来域名服务设施也越来越多，但由于域名系统本身的脆弱性，其常常被网络攻击以及恶意利用，造成域名无法正确解析，例如利用其漏洞进行缓存投毒造成部分域名解析错误，对其进行DDoS攻击使得其服务异常而造成大范围用户访问互联网异常等，严重影响互联网服务的稳定性。因此，如何检测域名系统运行情况和安全状态是域名服务安全稳定运行保障中一个重要环节，对于维护互联网安全，促进其健康发展具有重要意义。
[0003]在域名安全检测方面目前主要的方法有主动域名检测和被动域名检测两种方式，被动检测在域名系统服务器旁侧来对获取的DNS访问流量数据进行分析处理，记录实际域名访问情况，目前在该方面主要采用两种方式:一种为对域名服务器日志进行分析，一种为镜像方式将域名服务器数据进行镜像分析。主动域名检测主要可对域名解析服务器进行探测，获取某域名的相关解析数据以及其它服务器状态数据，目前在对缓存递归服务器、权威服务器等方面都有一些主动探测方法和工具，以单点探测为主，它不能反映全局域名及域名服务器解析情况，且各自工具功能相对较单一、资源复用率低、探测资源不足、系统检测性能不足等问题，另外对于一些域名服务器进行了访问IP的限制，因此单点探测也无法保障可对所有域名都能进行成功探测，分布式多点探测目前也多以部署多个单点探测来完成，对于一些特定特征及DNSSEC技术应用、CDN导致域名探测问题等方面也未涉及。

【发明内容】

[0004]为了克服上述现有技术的不足，本发明提供一种基于云平台的域名主动检测方法和系统，本发明能够高效完成IPv4段DNS服务器判定，对关键域名劫持事件进行主动检测。
[0005]为了实现上述发明目的，本发明采取如下技术方案:
[0006]一种基于云平台的域名主动检测方法，所述方法包括如下步骤:
[0007](I)将各处理微引擎注册到云平台上，初始化微引擎配置参数；
[0008](2)配置并生成域名检测任务，并将其发送到云平台；
[0009](3)调度所述域名检测任务到指定的微引擎程序，执行完成后将任务执行结果以文本方式存储到FTP服务器中；
[0010](4)从FTP服务器中获取执行结果文件，并将解析后的所述执行结果文件存储到数据库中。
[0011]优选的，所述步骤(I)中，所述配置参数包括检测的目标服务器地址和检测的域名。
[0012]优选的，所述步骤(2)中，所述配置域名检测任务包括配置任务执行的周期、任务执行节点所需的地域及运营商资源信息。
[0013]优选的，所述步骤(3)中，当所述域名检测任务为域名服务设施运行状态检测任务时，对全IPv4段地址依据地域及运营商进行DNS服务类型、提供服务情况以及服务质量进行检测，包括如下步骤:
[0014]步骤401、设置要探测的IPv4段列表IPLIST，以及所需要探测的地域及运营商信息；所述 IPLIST 包括 IP1、IP2...;
[0015]步骤402、将该任务下发到指定地域及运营商的云平台节点上；
[0016]步骤403、组织DNS报文序列SQ,所述SQ包括DNSl报文、DNS2报文、DNS3报文、DNS4报文和DNS5报文，其中DNSl报文为基于UDP的标准A类型请求，请求的域名为a.root-servers.net ；DNS2报文为基于UDP的标准A类型请求，请求的域名为a.dns.cn ；DNS3报文为基于UDP的标准CNAME类型请求，请求的域名为www.xxx.com ;DNS4报文为基于TCP的标准A类型请求，请求的域名为a.root-servers.net ;DNS5报文为基于UDP的DNSSEC请求；
[0017]所述标准A类型请求为域名的IP请求类型；
[0018]步骤404、开启线程监听UDP的53端口，等待获取反馈的DNS应答报文；
[0019]步骤405、按照IPv4段列表信息依次向其中的IPv4服务器地址IP1、IP2...的53端口发送SQ中的DNSl报文，控制每秒的发送速率不超过10000PPS ；
[0020]步骤406、在监听线程获取DNS应答报文，分析其报文应答域中的解析记录是否为a.root-servers.net的解析A记录以及报文目的IP是否在IPLIST中，如果满足以上条件则该IP为DNS服务器；
[0021]步骤407、向已确定DNS服务器IP依次发送SQ中的DNS2、DNS3报文，分析其报文应答域中的解析记录是否正确获得相应的记录，若均获得正确应答记录则为递归服务器，若应答标记字段中权威记录标识取值为I或RCODE字段全部标记REFUSED则该IP为权威服务器；
[0022]步骤408、向DNS服务器发送SQ中的DNS4报文，分析其报文应答情况，若获取正确应答则该服务器支持TCP，否则不支持；
[0023]步骤409、向DNS服务器发送SQ中的DNS5报文，分析其报文应答中RRSIG记录情况，若正确获取则该服务器支持DNSSEC，否则不支持；
[0024]步骤410、向DNS服务器发送SQ中的DNS2报文数次，获取反馈的延迟时间及成功次数，计算平均延迟及响应成功率；
[0025]步骤411、在完成向全部IPLIST中IP发送报文后等待10秒结束微引擎处理。
[0026]优选的，所述步骤(3)中，当所述检测任务为关键域名劫持事件检测任务时，获取该域名的授权服务器，再从该服务器上获取对应的解析资源，依据解析资源进行劫持检测，包括如下步骤:
[0027]步骤501、从根域名服务器a.root-servers.net逐级获取待检域名DOMAIN的权威记录，最终获取该域名的授权服务器IP地址；
[0028]步骤502、在各地域各运营商的处理节点向所述授权服务器进行针对待检域名的A类型请求；
[0029]步骤503、获取应答域中的各解析A记录，形成针对待检域名的解析IP列表VLIST ；
[0030]步骤504、向待检DNS服务器进行待检域名的A类型请求，获取其解析IP结果，并与VLIST中的记录进行比对，若不存在该IP则进行劫持事件记录，所述劫持事件记录包括DNS服务器IP地址、域名、解析值以及依据的VLIST。
[0031]优选的，所述步骤(3)中，当所述检测任务为使用了 CDN服务的域名检测任务时，利用域名资源数据分析利用字符、聚类的特性获取CDN域名列表，并利用该列表进行检测，包括如下步骤:
[0032]步骤601、从域名资源数据中的CNAME记录进行二级域名提取，形成二级域名映射表，所述映射表中包括请求的二级域名、CNMAE以及应答的二级域名；
[0033]步骤602、对应答的二级域名中包含‘CDN’字符的进行提取加入到⑶N服务域名列表 CDNLIST 中；
[0034]步骤603、对应答的二级域名进行聚类分析，获取不同请求二级域名映射到相同二级域名的记录，提取该域名加入到CDN服务域名列表CDNLIST中；
[0035]步骤604、向DNS服务器请求待检域名的A类型记录，获取该域名的应答记录，检查首条应答记录是否为CNAME记录，若不为CNAME记录则丢弃；若为CNAME记录，则提取解析值的二级域名并与⑶NLIST进行匹配，匹配成功的则为使用了⑶N的域名，否则不是。
[0036]优选的，一种基于云平台的域名主动监测系统，所述系统包括:
[0037]微引擎管理模块，用于将各处理微引擎注册到云平台上，初始化微引擎配置参数；
[0038]任务生成模块，用于配置并生成域名检测任务，并将其发送到云平台；
[0039]云平台，用于调度所述域名检测任务到指定的微引擎程序，执行完成后将任务执行结果以文本方式存储到FTP服务器中；
[0040]结果处理模块，用于从FTP服务器中获取执行结果文件，并将解析后的所述执行结果文件存储到数据库中。
[0041 ] 优选的，所述系统还包括微引擎库，所述微引擎库中包括:
[0042]服务状态检测微引擎，用于对全IPv4段地