DNS日志分析

2017/10/20

         上午主要对昨天的疑惑进行了学习：

         Web服务器与运营商：运营商内部有很多网站的资源，用户通过运营商网内获取资源；网内没有的相关资源，会通过骨干路由器从网外运营商获得资源（这部分会产生网间结算费用，同时用户体验度低）。不同的网站会有不同的内容，每个网站会有自己的服务器，通过web应用引入运营商网内，这样运营商就拥有相应资源。理解图示：

         信息类型：IN即Internet，DNS资源记录字符串，01，其他的类型基本不使用。

         查询变化率和告警：查询次数变化太大时，UDNS系统会显示一个告警。

 

         下午对UDNS用户手册和DNS劫持需求进行学习，主要是对一些固定名词的了解：

本网率=网内次数/DNS总查询率；

日志合格率指的是DNS解析合格率；

Cache是指统计一天内域名被解析到移动所使用缓存服务器的次数；

DNS劫持又称域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能访问或访问的是假网址；

主要问题有：

1、DNS域名解析的过程是在哪里实现的？名称服务器在哪里？

2、网站的内容和网站IP地址的关系？

3、网站库中的引入域名数是什么意思？

4、DNS协同调度

 

对以上问题的解决：

1、            DNS域名解析过程是在运营商的LocalDNS服务器中完成的。运营商通过四种方式引入网站内容：IDC方式（网站直接将内容数据交由运营商IDC管理，可以交由多个运营商管理）；直连引入方式（较大的网站，如阿里，百度等有自己的机房数据中心，他们和运营商通过直连方式共享内容）；CDN方式（网站将需要提速的内容告诉CDN厂商，由厂商将内容发布到各个运营商）；Cache方式（运营商将请求的内容缓存在自己的数据中心，用户通过访问缓存得到资源）。

在这里，将运营商理解为一个平台，网站将自己的内容放在平台上共用户访问；用户通过平台获取网站的信息。

2、            DNS解析后获得的IP地址即为网站服务器地址，这个地址可能在运营商内部也可能在运营商外部。

3、            UDNS系统中，网站库中的引入域名数的理解：同一个网站会有很多个不同的域名，并不是所有的域名都被运营商引入，所以网站库中的引入域名数就是网站被运营商引入的域名的数量。

4、            DNS调度指的就是用户请求后得到的IP地址，这个过程为调度。运营商在DNS调度时会优先调度本网内的网址。

 

对UDNS系统功能总结：通过对运营商DNS日志分析，一方面，得到热门内容，推荐运营商资源引入，另一方面，对于网内已有资源但仍然解析到外网地址的情况进行分析。

目前为止，对UDNS系统已经基本了解，接下来会对缓存日志分析系统进行学习。