效果与分析

　　以最流行的DNS 软件BIND 为例，使用本文设计的监控系统进行实时监控。BIND 配置文件的语法允许使用logging 关键字定义不同的channel，每个channel 指定存放日志信息的文件名、文件个数及大小、消息等级，并指定日志内容是否包括时间和消息的类别。通过配置可以将D N S 运行时产生的一些关键信息以文本形式保存在磁盘上，关键配置如下所示：

　　Logging {

　　channel security_log {

　　File "/home/dns/log/dns-sec.log" size 10240m;

　　Severity info;

　　Print-severity yes;

　　Print-timeyes;

　　};

　　channel query_log {

　　File "/home/dns/log/dns-query.log" size 10240m;

　　Severity info;

　　Print-severity yes;

　　Print-timeyes;

　　};

　　channel default_log {File "/home/dns/log/dns-default.log" size 10240m;

　　Print-category yes;

　　Print-time yes;

　　Severity info;

　　};

　　category security { security_log; };

　　category queries { query_log; };

　　category default { default_log; };

　　};

　　5 台D N S 使用同样的日志配置，并以l o g r o t a t e 的方式每15分钟进行轮转。控制中心控制数据传输模块将生成的数据实时发送到监控系统的后端存储上进行数据清洗。经过索引后的数据可以接受来前端的实时检索。通过监控系统前台检索某天某段时间内的DNS 查询请求效果如图3 所示。

　　对于各类D N S 监控指标的实时可视化效果如图4 所示。当DNS 流量或并发请求出现异常时，为了进一步排查，需要对请求来源做统计分析，请求来源可视化可以为解决此类问题提供帮助。如图5 所示，通过某天的D N S 流量统计报表发现其中一台D N S 流量同比有大幅上涨，通过图6 所示的D N S 请求来源统计可以迅速定位可疑I P 地址，并通过监控系统的前台检索该I P 请求内容，进一步确认该IP 是否存在恶意访问行为。

图4  DNS 各类查询比例

图5 DNS 每日统计报表

图6 DNS 请求来源

　　同时，DNS 监控系统对请求来源实时绘制热力图，根据其IP 来源映射到所属的地理位置，并以标注点的明亮程度代表请求的数量多少。热力图支持通过正则表达式过滤IP 来源和查询历史。

　　本文设计和实现了一种DNS 实时监控系统，能够实时分析和统计D N S 的各类请求及来源分布，并通过统计报表及可视化的手段帮助管理员从全局把握D N S 和网络的运行状况。在实际应用中，该实时监控系统能够帮助管理员及时发现网络中潜在的问题和风险，进行预警和告警，还可以帮助管理员进行细粒度的问题排查，具备处理高效、监控精准、响应实时、统计分析全面的特点。

　　（作者单位为复旦大学信息办）