智能DNS和反向代理功能的设计与实现毕业论文

摘要Abstract!第一章绪论01.1研究背景现状与意义01.2DNS介绍01.3智能DNS介绍11.3.1概要12策略解析21.3.3发展趋势21.4代理介绍21.4.1背景22代理种类31.5负载均衡介绍41.5.1负载均衡种类42相关技术51.6当前DNS瓶颈问题与国现状61.7论文结构概述7第二章需求分析与方案设计72.1DNS服务器的工作原理7DNS体系与原理7DNS层次结构7DNS查询算法82.2负载均衡算法92.3代理原理10DNS数据包分析112.4.1响应时间112.4.2DNS协议报文结构112.4.3数据包的传送过程14DNS主辅同步15Heartbeat工作机制16第三章系统实现173.1软件安装173.2系统部署203.2.1智能DNS服务器配置203.2.2代理服务器配置24DNS主辅服务器的搭建253.2.4主从服务器的优化283.3搭建Heartbeat293.4使用dnstop进行DNS流量监控313.5实验结果31第四章总结与展望344.1本论文所做的工作344.2论文的不足344.3工作展望35参考文献35辞36附录37智能DNS和反向代理功能的设计与实现摘要：随着Internet的迅猛发展，网络局域划分更加鲜明，网络运营商南北分家、DNS树状结构以与跨运营商域名解析逐渐成为网络瓶颈，智能DNS和反向代理为解决这一问题首选方案。本系统主要利用BIND的视图特性，定义三个ACL来匹配不同的查询用户，将用户的访问IP分为了电信、网通和本地三个网段。设计反向代理服务器实现外网IP能够访问到网资源的功能，利用智能DNS能够自动识别用户的域名地址来源的特性，根据客户端源IP的不同而返回服务器不同的解析IP。通过搭建DNS主从同步实现DNS负载均衡，减轻网络拥塞问题，同时为了解决IP地址伪装的问题，利用DNS的高级特性，基于密码的IP地址验证，提高安全性，同时利用dnstop对DNS流量进行监控和分析。结合heartbeat负载均衡技术，解决代理服务器异常宕机的单点故障问题。本研究的根本是为了既能对跨运营商服务器的流量带宽进行智能动态分配，有效的提高外网对网的访问速度，又能对服务器进行流量监控和异常情况分析解决，保证服务器的高效正常的运行。但是，对于DNS查询异常数据流的挖掘工作和DNS的各种攻击行为匹配特征研究考虑不够周全，需要进一步研究与改善。关键词：智能DNS；反向代理；DNS主从；HeartbeatTheDesignAndImplementationOfIntelligentDNSAndReverseProxyFunctionalityAbstract:WiththerapiddevelopmentoftheInternet,thelocalareanetworkdevidedmoreremarkable.ThenetworkoperatorssplitbetweennorthandsouthandthetreestructureoftheDNS,aswellasCrossedoperatorDNShadgraduallybecomenetworkbottleneck.IntelligentDNSandreverseproxyhadbecomethebestprogramtosolvetheproblem.ThesystemfeaturesaviewoftheuseofBIND,definethreedifferentqueryACLtomatchuserstoaccesstheuser'sIPintotheTelecom,ChinaNetcomandthreelocalnetworksegment.Designedtoachievethereverseproxy*]servertoaccesstheexternalnetworkIPnetworkresourcestofunctions,theuseofintelligentDNScanautomaticallyidentifytheuser'sdomainaddressofthesourcecharacteristics,dependingonthesourceIPaddressoftheclientandtheserverreturnsadifferentresolveIP.Synchronizationisachievedbybuildingamaster-slaveDNSDNSloadbalancing,reducenetworkcongestionproblem,andinordertosolvetheproblemofIPaddressmasquerading,usetheadvancedfeaturesofDNS,IPaddressbasedauthenticationpasswords,increasesecurity,whiletakingadvantageofdnstopforDNStrafficmonitoringandanalysis.Combineheartbeatloadbalancingtechnology,problemsolvingproxyserverdowntimeabnormalsinglepointoffailure.Thisstudyisfundamentaltoboththebandwidthofinter-carriertrafficserverdynamicallyallocatedintelligently^,effectivelyimprovetheexternalnetworkaccessspeedinternalnetwork,butalsotheservertrafficmonitoringandanomalyanalysissolutiontoensureefficientservernormaloperation.However,abnormalDNSquerydatastreamminingworkvariousattacksandDNSmatchingfeaturethoughtfulenoughresearchtoconsidertheneedforfurtherresearchandimprovement.Keywords：IntelligentDNS；ReverseProxy；MasterAndSlave；Heartbeat第一章绪论1.1研究背景现状与意义DNS是Internet上的核心基础设施，是各种网络应用得以正常运行的前提和保障，其可用性直接影响着整个工Internet的安全和服务质量。但是目前还没有一个成熟的安全防护系统出现，无法对现有DNS系统进行有效的防护。DNS系统之所以受到威胁，主要是因为自身存在脆弱性[1]普通的DNS服务器只负责为用户解析出IP记录，而不去判断用户从哪里来，这样会造成所有用户都只能解析到固定的IP地址上。智能DNS颠覆了这个概念。智能DNS会判断用户的来路，而做出一些智能化的处理，然后把智能化判断后的IP返回给用户。反向代理服务器的主要功能是代理外部网络上的主机访问部网络。它主要为一个或几个本地作缓存，以加快Web服务器的响应速度；或者代理外网的机子访问部的服务器，以加强Web服务器的安全。所以对DNS这个互联网上的基础核心、设施进行深入的研究，具有重要的理论与实践意义，可以让它更好的服务于Internet，让整个互联网平稳安全的运行。DNS介绍1、DNS名次解析泛域名解析是指将域名解析到一个IP上，在该域名就相当于一个根域名，它的前面可以添加任何子域名，都可以访问指向的web地址。比如用户的域名usc之下设置的**.usc全部都解析一个IP地址。2、泛域名解析域名智能解析除了具备基本的DNS解析功能以外，它还可以自动识别用户的域名地址的来源，并把一样的域名智能解析到双线路机器的电信、网通的IP，这样就加速了你的访问速度，就近访问。3、域名智能解析域名智能解析除了具备基本的DNS解析功能以外，它还可以自动识别用户的域名地址的来源，并把一样的域名智能解析到双线路机器的电信、网通的IP，这样就加速了你的访问速度，就近访问。4、MX记录MX记录是交换记录，它指向一个服务器，用户发时根据收信人地址后缀确定服务器的位置°MX记录也叫路由记录，作为路由记录，用户可以自己指定mailserver，这样便于操作设置。5、CNAME记录CNAME记录又称为别名记录，它可以允许你将多个域名映射到同一个IP，或者将多个IP指向多个域名，就像您解析sina时，可以发现，它的一个域名解析出来的IP却有多个，这样的话可以减轻DNS服务器的负担，同时增快用户的访问速度，提高的性能。6、TTL值TTL是IP协议包中的一个值，数据包在网络中的时间太长时告诉网络是否丢弃。他的初始值是系统默认的，在一定的时间围，超过这个围就会选择丢包，其中含有8位域的是。7、A记录A记录(Address)顾名思义就是地址记录记录是用来指定主机名(或域名)对应的IP地址记录。用户可以将该域名下的服务器指向到自己的网页服务器(webserver)上，同时也可以设置域名的子域名。8、URL转发URL转发就是将你访问的域名指向另一个网络地址，但是您访问的容却不变，这也就是地址跳转。比如您访问360buy时，通过URL转发，将您的域名跳转为taobao.,但是您访问的容是不变的，只是域名变了，这个可以很直观的展示给用户看。1.3智能DNS介绍1.3.1概要所谓的智能DNS就是在实现了基本的DNS的功能之外，又能根据客户端的IP地址的来源，自动智能化判断客户端的IP地址，然后再返回给客户，不需要用户进行选择⑵智能DNS主要就是起到一个分流的作用，减轻7DNS服务器的负担。在生活中，互联网主要运营商有：电信、移动、网通、教育网服务器，不/48同的带宽就会有来自不同运营商的用户访问，而各ISP（因特网服务提供商）之间对数据流量都有严格的控制，造成了不同ISP网络之间的互联互通瓶颈。1.3.2策略解析智能DNS的策略解析，就是自动智能的判断访问者，根据访问者把域名智能的解析为不同的IP地址。同时它还支持就近访问机制。在这个互联网的时代，信息技术是非常发达的，现在国外的交流也很多。很多的校园已经将他们的服务器放置在了国外，这样，国外的用户访问我的时，就通过国外的服务器，而国的用户访问我的时通过国的服务器，这样既提高了速度也改善了用户的体验，提升价值。1.3.3发展趋势智能DNS是一项新兴技术，从高性能方面看，它的缓存域名服务器可以提供高可以的服务，响应大量客户的域名解析请求；从安全角度，域名服务器要符合DNS授权服务器的标准⑶，这个就可以灵活、快速的进行配置，提供极高的性能和可靠性；从管理角度，今后的域名服务器将会是一个综合的IP网络地址管理系统，是的IP网络的部署和管理更为简单。1.4代理介绍1.4.1背景代理（Proxy）是位于客户端与服务器之间的一种中介，它分析客户端向服务器的请求，如果请求的数据在代理缓存中已经存在，则会代替服务器进行响应[4]。相对服务器，代理与客户端在网络上的距离比较近，于是就可以更快地为客户端提供服务。本章介绍有关代理服务器的原理、以与Squid代理服务器的安装、运行与配置等容。代理服务的种类非常多，如果按所支持的协议来分的话，可以有代理、FTP代理、SSL代理、POP3代理、SOCKS代理等。其中，代理（也称为Web代理）的应用最为广泛。代理服务器一般构建在部网络和Internet之间，负责转发网计算机对Internet的访问，并对转发请求进行控制和登记。它的优势是可以起到防火墙的作用，提高客户机的安全性能，访问受限的服务器和减少流量出口。1.4.2代理种类1、传统代理即为普通的代理服务，一般以提供、ftp代理为主，需要客户端在浏览器中指定代理服务器地址和端口（默认为3128）。对于企业的局域网来说通过代理服务器同样可以接入Internet，但一般只能访问web和FTP站点。同时，通过代理的缓存机制，局域网用户访问web站点的速度可以得到显著的提高，如图1.1所示：图1.1传统代理架构2、透明代理透明代理除了为网机子提供外网的访问服务外，它最大的特点是不需要客户端做任何设置，但是需要出口路由器或防火墙的配合，如图1.2所示：图1.2透明代理架构3、反向代理反向代理服务器的主要功能是代理外部网络上的主机访问部网络。反向代理主要为一个或几个本地作缓存，以加快Web服务器的响应速度；或者代理外网的机子访问部的服务器，以加强Web服务器的安全，如图1.3所示：HTTP苦挨沽建反向■代理图1.3反向代理架构1.5负载均衡介绍1.5.1负载均衡种类HTTP苦挨沽建反向■代理图1.3反向代理架构1、硬件负载均衡硬件负载均衡［5解决方案是直接在服务器和外部网络间安装负载均衡设备，这种设备我们通常称之为负载均衡器。但是，硬件负载均衡在功能、性能上优于软件方式，不过成本昂贵。2、软件负载均衡软件负载均衡是指在一台或多台服务器相应的操作系统上安装一个或多个附加软件来实现负载均衡。它的优点是基于特定环境，配置简单，使用灵活，成本低廉，可以满足一般的负载均衡需求。软件解决方案缺点也较多，因为每台服务器上安装额外的软件运行会消耗系统不定量的资源，越是功能强大的模块，消耗得越多，所以当连接请求特别大的时候，软件本身会成为服务器工作成败的一个关键；软件可扩展性并不是很好，受到操作系统的限制；由于操作系统本身的Bug，往往会引起安全问题。3、本地负载均衡本地负载均衡能有效地解决数据流量过大、网络负荷过重的问题，并且不需花费昂贵开支购置性能卓越的服务器，充分利用现有设备，避免服务器单点故障造成数据流量的损失。其有灵活多样的均衡策略把数据流量合理地分配给服务器群的服务器共同负担。即使是再给现有服务器扩充升级，也只是简单地增加一个新的服务器到服务群中，而不需改变现有网络结构、停止现有的服务。4、全局负载均衡全局负载均衡主要用于在一个多区域拥有自己服务器的站点，为了使全球用户只以一个IP地址或域名就能访问到离自己最近的服务器，从而获得最快的访问速度，也可用于子公司分散站点分布广的大公司通过Intranet（企业部互联网）来达到资源统一合理分配的目的。1.5.2相关技术1、集群和集群化集群通信系统⑹是一种用于集团调度指挥通信的移动通信系统，主要应用在专业移动通信领域。该系统具有的可用信道可为系统的全体用户共用，具有自动选择信道功能，它是共享资源、分担费用、共用信道设备与服务的多用途、高效能的无线调度通信系统。集群化是指创建一组用于一样途径的服务器：分担负载，以与在某个集群成员出现故障时，有其他成员来处理该成员的负载。由于大多数集群化的系统都通过全自动或者半自动的方式来应对集群中其他服务器的故障，这些系统能够瞬间就恢复工作，但是，这个时间不包括修复服务器所需的时间，或重新配置集群来永久删除问题的服务器所需的时间。2、单边加速单边加速就是为了解决客户端访问发布的服务速度较慢时提供解决方案。它的优点是可以避免拥塞，能够快速的准确的预估出网络中可用带宽，并根据估计值确定拥塞避免窗口，从而最大限度的利用网络带宽。进行快速重传、快速恢复和慢启动，充分利用连接带宽。3、商业智能商业智能⑺描述了一系列的概念和方法，通过应用基于事实的支持系统来辅助商业决策的制定。商业智能技术提供使企业迅速分析数据的技术和方法，包括收集、管理和分析数据，将这些数据转化为有用的信息，然后分发到企业各处。现在最为流行的是BI系统，是为将企业中现有的数据转化为知识，帮助企业做出明智的业务经营决策的工具。4、缓存缓存⑻是一组被保存起来以备将来使用的东西。缓存不是我们生存所必须的，但是高速的需要缓存。无论企业有多大，Web缓存都有助于优化性能和节省带宽。而且如果选择了正确的缓存解决方案，它可以随着企业网络的增长而扩大，而无需进行昂贵且耗时的重建。1.6当前DNS瓶颈问题与国现状1、技术方面的问题RFC10359规定DNS协议基于UDP，最长只能是512字节，全球最多只能有13台根服务器，IP分片难以处理，DNSSEC和IPv6也难以支持等。解决的方案提出了两个，一是虽然做7ENDS0的扩展但实际应用的很少，二是鼓励基于TCP的DNS但可能会带来更大的问题。其他的问题还有缓冲区投毒，无法知道非法的gTLD和ccTLD［10］而导致的根服务器污染，UDP的欺骗攻击，DNSSEC中的根密钥管理和更新问题等，与IPv6共存时DNS串行解析增加的新延迟，利用相似字符进行网络钓鱼等。2、实现方面的问题常用的名字服务器软件(BIND和Windows)历史上有一些可以被利用的安全漏洞，可用来做投毒、中间人攻击和DOS攻击［11］等，尤其是在递归解析时。另外，由于无效TLD、重复解析和源地址错误(如RFC1918)等，根服务器上75%—98%的流量实际上是没必要的，缺少缓存、UDP缺乏循环监测机制和anycast以与超额部署DNS，都污染了DNS。另外，WEB浏览器也喜欢为应用增加一些没法解析的名字上去。3、近期出现的dns事故2010年3月16日前，中国大陆有F、I这2个根域DNS镜像，但因为多次发生DNS污染而影响外国网络，威胁互联网安全和自由而被撤销路由通告。2014年1月21日下午15时左右，中国大陆DNS被污染，导致众多顶级域名被错误的解析到“78”。百度、新浪、淘宝等众多中国大陆无法访问。4、国现状全球共有13台根服务器，其中一台主根服务器在美国。其他12台均为辅助根服务器，其中9个放置在美国，欧洲2个，位于英国和瑞典，亚洲1个，位于日本。DNS根服务器是DNS树型域名空间的“根”，负责TLD的解析，对于域名解析起着极其关键的作用。另外借由任播(Anycast)技术［⑵，部分根域名服务器在全球设有多个镜像服务器(mirror)［既，因此可以抵抗针对其所进行的分布式拒绝服务攻击(DDoS)。1.7论文结构概述论文共分为四章，第一章为绪论，主要进行背景介绍和现状分析。第二章为需求分析和方案设计，主要介绍了DNS的体系结构相关原理、代理的原理和负载均衡算法等，便于其他章节引用。第三章系统实现，实现了对对外访问的多链路自动选择，与网络负载均衡技术。第四章为结论，总结了本课题的研究成果和今后的工作展望。第二章需求分析与方案设计DNS服务器的工作原理DNS体系与原理互联网中的主机是使用IP地址来标识的，但是即便是32位的IPv4地址转化为十进制后也将是4组0—25的数字，而记住这一大堆数字组合对普通人来讲是件困难的事情，所以我们给主机起一个便于记忆的名字，并借助DNS将其解析成IP地址，这样只需在URL栏中输人某台主机的名字，就可以访问到它了。当然DNS也承担着将I地址解析成域名的任务，也就是反向解析，如图2.1所示：图2.1DNS数据库结构图DNS层次结构全国共有15台根服务器，这15个根域名服务器作为全球DNS层次结构的顶

层，他们可以为其他方式无法解析的所有域名查找提供最终的源。域名从树底部开始并且向上工作，每个域名跟随一个句点，为域名部分定界，最后一个句点代表DNS层次结构本身的根，如图2.2所示：TLDs&ccTLDs图2.2TLDs&ccTLDs图2.2DNS层次结构图2lds―3ldsDNS查询算法1、DNS递归查询递归查询是一种DNS服务器查询的模式，在该模式下递归查询是一种DNS服务器查询的模式，在该模式下DNS服务器接收到客DNS服务器本地户机的请求，必须使用一个准确查询的结果回复客户机。如果没有存储查询DNS的信息，那么该服务器会询问其他的服务器，并将返回的查询结果提交给客户机，如图2.3DNS服务器本地图2.3图2.3DNS递归查询如要递归查询fz.example的地址，首选DNS服务器通过分析完全合格的域名，向顶层域com查询，而com的DNS服务器与example服务器联系以获得更进一步的地址。这样循环查询直到获得所需要的结果，并一级级向上返回查询结果，最终完成查询工作。需要注意的是，为了让DNS服务可以正确运行递归查询，需要有一些必要的信息，该信息通常是以根目录的形式来提供，借助使用根目录提示寻找根域服务器，DNS服务器可以完成递归查询。2、DNS迭代查询DNS迭代查询就是DNS服务器会向客户机提供其他能够解析查询请求DNS服务器地址，当客户机发送查询的请求时，DNS服务器并不直接回复查询的结果，而是告诉客户机另一台DNS服务器的地址，客户机再向这台DNS服务器提交请求，依次循环直到返回查询结果为止，如图2.4所示：图2.4DNS迭代查询如要迭代查询user.fz.example的地址，首先DNS服务器在本地查询不到客户端请求的信息时，就会以DNS客户端的身份向其他配置的DNS服务器继续进行查询，以便解析该名称。在大多数情况下，可能会将搜索一直扩展到Internet上的根域服务器，但根域服务器并不会对该请求进行完整的应答，它只会返回example服务器的IP地址，这时DNS服务就根据该信息向example服务器查询，由example服务器完成对user.fz.example域名的解析后，再将结果返回DNS服务器。2.2负载均衡算法1、轮叫调度(RoundRobin)轮叫调度[14](RoundRobinScheduling)算法就是以轮叫的方式依次将请求调度不同的服务器，即每次调度执行i=(i+1)modn，并选出第i台服务器。算法的优点是其简洁性，它无需记录当前所有连接的状态，所以它是一种无状态调度。轮叫是基站为终端分配带宽的一种处理流程，这种分配可以是针对单个终端或是一组终端的UR。为单个终端和一组终端连接分配带宽，实际上是定义带宽请求竞争机制，这种分配不是使用一个单独的消息，而是上行链路映射消息中包含的一系列分配机制。假设有一组服务器S={S0,S1,…，Sn-1},一个指示变量i表示上一次选择的服务器，W(Si)表示服务器Si的权值。变量i被初始化为n-1，其中n>0。j=i;do{j=(j+1)modn;if(W(Sj)>0)(i=j;returnSi;}}while(j!二i);returnNULL;如图2.5所示：.…Internet奔尸端E33gE踌图2.5轮叫调度的逻辑实现图2、无须等待调度(NeverQueueScheduling)无须等待调度(NeverQueueScheduling)采取双速模式：当有空闲服务器可用时，作业将被发送到空闲服务器，而不是等待速度较快的那一台。若没有空闲服务器可用时，作业将被发送到可用最小化预期延迟的那台服务器。2.3代理原理Squid[16是linux系统中很常用的一款开源代理服务软件，可以很好的实现、FTP以与DNS查询、SSL等应用的缓存代理，功能十分强大。客户端通过代理请求web页面时，指定的代理服务器会先检查自己的缓存，如果缓存中有客户需求的页面，则直接将缓存中的页面反馈给客户端；如果没有，则缓存服务器自己向internet中发送请求，获得所需页面后，会将页面保存在自己的缓存中并发送给客户端。DNS数据包分析2.4.1响应时间响应时间（responsetime）是指系统对给定输入作出反应所需要的时间。在交互式的处理中，可能定义为用户最后一次击键和开始在计算机上显示结果间的时间间隔。对不同的应用程序，可能需要稍有不同的定义。一般来说，响应时间指系统响应请求并执行特定任务所花费的时间。在这里，也就是指DNS服务器响应用户的DNS请求并将DNS解析后的结果返回给用户所花费的时间。DNS协议报文结构DNS协议分成和数据两部分，如下图，该报文由12字节的首部和4个长度可变的字段组成，如表2.1所示：表2.1DNS查询和响应报文的一般格式表0151631标识标志问题数资源记录数授权资源记录数额外资源记录数查询问题回答（资源记录数可变）授权（授权记录可变）额外信息（资源记录数可变）这个报文是由12字节的首部和4个长度可变的字段组成。标识字段由客户端程序设置并由服务器返回结果，一般来说该字段是一个序列号，客户程序通常用它来判断响应和查询是否匹配。标志字段占用16bit,被划分为若干个子字段,所示，描述了该DNS报文的类型，需要的服务等，如表2.2所示：表2.2DNS报文首部的标志字段表QROpcodeAATCRDRA(ZERO)Rcode14111134RD：表示期待递归，在查询报文中填写，在响应报文中返回。该标志告诉服务器必须处理这个查询，如果被请求的服务器没有对应的授权回答，该标志告诉服务它需要返回给客户端一个能解答该查询QR:一个1位的字段，1表示响应报文，O表示查询报文。OPcode:0表示标准查询，1表示反向查询,2表示服务器状态请求,3表示保留将来使用。AA:“权威回答(AuthoritativeAnswer)”，由响应服务器填写。TC:表示相应数据包可截断。的其他名字服务器列表。RA:表示可用递归，如果服务器支持递归查询，在响应中置位。除了根服务器,都应该支持递归查询。Zer0:必须为0,保留将来使用。Rcode:响应码,0表示没有差错，1表示格式错误,2表示服务器故障,3表示名字错误,4表示没有实现，名字服务器不支持查询请求的种类，5表示拒绝,6—15保留将来使用。首部标志后面的四个16bit的字段说明最后四个变长字段包含的条目数。问题数：它指定问题段中的条目数。资源记录数：它指定响应段中的资源记录数。授权资源记录数：它指定权威记录段中的名字服务器资源记录数。额外资源记录数：它指定附近记录段中的资源记录数，如表2.3所示：表2.3DNS查询报文中的问题段的格式表0151631查询名查询类型查询类表中查询名就是要查找的名字，是一个可变长的序列，而且无需以整32bit边界结束，它的结束标志为一个“0”，因此无需填充字节。查询类通常都为lN,代表互联网地址，即常说的IP地址，当然，某些站点也支持非lP地址。这里需要说明的是查询类型，每一个问题都有一个查询类型，而每一个响应（也就是资源记录,RR）也有一个类型。在下表中列举了一些常用的类型和查询类型，查询类型是类型的一个超集（suPerset）。最常用的类型是A,也就是期望获得查询主机名的IP地址;对于反向查询，期望获得一个IP地址对应的域名，则为PTR类型。类型很重要，它规定了服务器作何种动作，如表2.4所示：表2.4DNS问题和相应的类型值和查询类型值表名字数值描述A1IP地址NS2名字服务器CNAME5别名，规名称PTR12反向记录，指针信息HINFO13主机信息MX15交换记录SOA6区域记录AXFR252对区域交换的请求ANY255对所有记录的请求DNS报文最后的三个字段，即问答字段，授权字段和附加信息字段都是采用RR（ResourceRecord）格式，如表2.5所示：表2.5DNS资源记录（RR）格式表0151631域名类型类生存时间资源数据长度资源数据域名字段是记录中资源数据对应的名字，它和查询问题字段中的查询域名格式一样。类型字段说明RR的类型，查询类型是一样的。类通常为1N,指Intemet数据。生存时间（TTL）通常指数据在客户端或者cache中保存的时间，一般来说资源记录通常的生存时间为2天。资源数据长度说明资源数据（RData）的数量，一个资源数据字段可能有多条资源数据，RData的格式依赖于类型字段的值，不同的资源记录类型的资源数据格式是不一样的，例如对于A类型，资源数据是四字节的IP地址。这里要提到一个资源记录集（RRs）的概念，一般来说具有一样域名（Name）•类型（type）、类（Class）的资源记录被称为资源记录集（也称为资源记录序列，RRset，双s）。2.4.3数据包的传送过程如图2.6所示：Client:portServer:port图2.6数据包传送过程1、使用UDP消息通过UDP的53端口进行传输。UDP传输的消息严格要求限制在512字节（不包括IP和UDP头）。长报文被截断，同时置报文头的TC标志位°UDP不能用于区域传输，主要用在标准的域名查询。报文通过UDP可能会丢失，所以重传机制是需要的，请求和应答可能在网络中或者服务器处理的时候被重新排序，所以解析客户端不能依赖请求的发送顺序。UDP的最优重传策略会因为网络的性能，客户的需要而不同，但是下面是推荐的：-客户端在对一台固定的服务器重试之前，尝试一下其他的服务器。-如果可能的话，重传的时间间隔需要建立在统计分析数据的基础上，太快的重试可能因为量太大导致服务器响应慢。建议的重试时间为2-5秒。2、使用TCP通过TCP发送的报文使用53端口，报文的前面有个字节表示后面报文的长度，长度不包括自己占用的2个字节，这个长度使得底层收取完整的报文后在交给上层处理。很多连接管理策略如下：-服务器不能阻塞其他传输TCP数据的请求。-服务器需要支持多连接-服务器要等客户端主动关闭连接，除非所有的数据都已经传输完了。-如果服务器想关闭没有通讯的连接来释放资源，那么需要等待大约2分钟的时间。特别是要等SOA和AXFR（刷新操作中）在一个连接上传输完。服务器关闭连接的时候可以单方面的关闭，或者直接reset掉连接。DNS主辅同步1、DNS辅助服务器为了防止DNS服务器由于各种软硬件故障导致停止DNS服务［17，］建议在同一个网络中部属两台或两台以上的DNS服务器。其中一台作为主DNS服务器，其他的作为辅助DNS服务器。当主DNS服务器正常运行时，辅助DNS服务器只起备份作用。当主DNS服务器发生故障后，辅助DNS服务器立即启动承担DNS解析服务。另外，辅助DNS服务器会自动从主DNS服务器中获取相应的数据，因此无需在辅助DNS服务器中添加各个主机记录。2、DNS主辅同步原理如图2.7所示：tipdat-irdrecords1、主服务器向从服务器发送notify消息2、从服务器收到主服务器发送notify消息，向主服务器返回一个notifyresponse消息。同时，从服务器向主服务器发送SOAquery消息。3、主服务器向从服务器返回SOAresponse消息。4、从服务器收到SOAresponse消息后，比对自身的Serial值，如果发现主服务器的Serial值大于自身的Serial值，那么就发送Zonetransferrequest消息。5、从服务器向主服务器发送Zonetransferrequest消息请求AXFR。6、主服务器返回Zonetransferresponse消息，主服务器执行Zonetransfer。Heartbeat工作机制Heartbeat"包括心跳监测和资源管理两个部分，其中心、跳监测通过网络链路和串口进行，支持冗余链路，两者之间通过互发报文告诉对方自己的当前的状态，如果指定的时间双方没有收到对方的发送的报文，就可以表示对方失效了，这时需要启动资源接管模块来接管运行在对方主机上的资源或者服务。（1）集群成员一致性管理模块（CCM）CCM用于管理集群节点成员，同时管理成员之间的关系和节点间资源的分配。Heartbeat模块负责检测主次节点的运行状态，以决定节点是否失效。ha-logd模块用于记录集群中所有模块和服务的运行信息。（2）本地资源管理器（LRM）LRM负责本地资源的启动、停止和监控，一般由LRM守护进程lrmd和节点监控进程StonithDaemon组成。lrmd守护进程负责节点间的通信；StonithDaemon通常是一个Fence设备，主要用于监控节点状态，当一个节点出现问题时处于正常状态的节点会通过Fence设备将其重启或关机以释放IP、磁盘等资源，始终保持资源被一个节点拥有，防止资源争用的发生。（3）集群资源管理模块（CRM）CRM用于处理节点和资源之间的依赖关系，同时，管理节点对资源的使用，一般由CRM守护进程crmd、集群策略引擎和集群转移引擎3个部分组成。集群策略引擎（Clusterpolicyengine）具体实施这些管理和依赖；集群转移引擎

(Clustertransitionengine)监控CRM模块的状态，当一个节点出现故障时，负责协调另一个节点上的进程进行合理的资源接管，如图2.8所示：客户靖上聚务嚣3R公兵网珞图2.8heartbeat架构D公共网络备I打服务费客户靖上聚务嚣3R公兵网珞图2.8heartbeat架构D公共网络备I打服务费3.1软件安装1、linux系统安装RedHatEnterpriseLinuxServerrelease5.8下载地址：.linuxidc./Linux/2013-01/78017.htm虚拟机下载地址：.ihacksoft./vmware-workstation-900.html，如图3.1所示:

DeEditYimVMlab-stHpA『I|七屯日.|WH_M■'i1HwieX■Create】NkvuVir4uslMachig匚【vlriujliruchinawiihkwnTpulwr,VirtualNstuvorkEditor匚hsgeEgnQ-n^orkconfi^dFiailonii^odbyvirtunlrachinflaonCreate】NkvuVir4uslMachig匚【vlriujliruchinawiihkwnTpulwr,VirtualNstuvorkEditor匚hsgeEgnQ-n^orkconfi^dFiailonii^odbyvirtunlrachinflaonthiscompuler.Opw«Virtu#!M«cKlh«Openavirtu』macHne-onth15Comoliter.敝|*略融1叫iPr*痴Cu^toniiipVMware-Wo<i：&tflliontoyourws^fatworidng.儡Ccnricctto3RemoteServe-r□penwirtudliHdchrmon9ren-iobeIDg”QSoftwareUpdatesCheckior^aftwisrsupdisne-sFarVMwareWaHLtlMJan.准备安装环境，其中每台linux的服务器的安装环境都一样，如表3.1所示:表3.1服务器硬件环境存512M硬盘（SCSI）40G网卡2块连接方式桥接接着安装，具体的安装步骤不在这里做详细的介绍，安装完成后对系统进行相应的优化。其中优化项目有：开机使用字符界面启动；关闭不必要的服务，如防火墙、selinux、sendmail、postfix等将开机的时间减短为0秒Linux系统安装完成截图，如图3.2所示：图3.2linux系统开机2、BIND安装配置linuxyum仓库，安装DNS服务器软件bind和bind-chroot，安装命令：yuminstallbindbind-chroot--nogpgcheck-y查看安装是否成功：[rootDBSERVER~]#rpm-qa|grepbindbind-devel-9.3.6T6.P1.el5bind-libs-9.3.6-16.P1.el5bind-9.3.6T6.P1.el5bind-utils-9.3.6T6.P1.el5bindTibbind-devel-9.3.6T6.P1.el5bind-chroot-9.3.6T6.P1.el5bindTibbind-devel-9.3.6T6.P1.el5bind-devel-9.3.6T6.P1.el5bindTibs-9.3.6T6.P1.el5bind-sdb-9.3.6T6.P1.el5如上所示，如果有出现以上的输出，则表示已经安装成功。3、squid源码安装下载squid源码包，下载地址：./Versions/v3/3.3/squid-3.2.13.tar.gz，进行解压安装首先创建squid用户并创建squid安装目录：useraddsquidmkdir-p/user/local/squid安装步骤如下：tar-zxvfsquid-3.2.13.tar.gzcd./configure--prefix=/usr/local/squid--sysconfdir=/etc/squid--enable-storei。="aufs,diskd,ufs”--enable-err-language="Simplify_Chinese”--enable-default-errTanguage="Simplify_Chinese"--enable-snmp--with-large-filesmakemakeinstall4、dnstop工具源代码安装tardnstop-20121017.tar.gztar-xfdnstop-20121017.tar.gzcddnstop-20121017./configuremake3.2系统部署3.2.1智能DNS服务器配置服务器的主要配置主要涉与到name.conf全局配置文件，电信用户对应的正向解析文件cnc..zone，网通用户对应的正向解析文件ctc..zone，本地网络用20/48户对应的正向解析文件.conf配置文件概要：acllocal{/8;/16;};aclc{/24;/24;/16;};aclctc{/24;/16;};//定义三个acl，分别对应本地IP地址段、电信IP地址段和网通IP地址段。view"cnc"(//第一个视图“cnc”，匹配客户端ACL“cnc”电信地址段。match-clients{keyjin-key;c;};recursionyes;zone"fz.”{typemaster;filecnc.fz..zone;allow-transfer{any;};also-notify{5;6;};allow-update{5;6;};};};view"ctc"{//定义第二个视图，匹配与客户端ACL"ctc”网通地址段match-clients{keyying-key;ctc;};recursionyes;zone"fz.”{typemaster;file"ctc.fz..zone";allow-transfer{5;6;};also-notify{5;6;};};};view"local"(//定义第三个视图，匹配与客户端ACL"local”本地地址段。match-clients{keykey-any；local；}；recursionyes；zone"."IN{typehint；file"named.root"；}；zone"fz."{typemaster；file"cnc.fz..zone"；//如果是本地地址则解析到电信的服务器上。allow-transfer{5；6；}；also-notify{5；6；}；}；}；配置ctc.fz..zone正向解析$ORIGINfz..$TTL0INSOActc.root(3397；serial(d.adams)3H；refresh15M；retry0W；expiry1D)；minimum

INNSctc.INA2INA3INA4INA5INA6INA7INA8INA9imgINA2mailINA2ftpCNAME配置cnc.fz..zone正向解析$ORIGINfz..$TTL0INSOAcnc.root(3550;serial(d.adams)3H;refresh13M;retry1W;expiry1D);minimumINNSctc.INA1//这个一个A记录对应多个域名，实现DNS负载衡INA1INA2INA3INA4INA5

INA6INA7imgINA1mallINA1在DNS服务器中我总共定义了三个ACL规则，分别对应于电信IP地址段、网通IP地址段和本地地址段。当用户IP为电信IP地址段时，访问DNS服务器的时候，首先会匹配视图“cnc”，返回对电信用户可以访问的相关服务器的域名与IP地址信息，也就是我的电信代理服务器也就是1。当用户为网通IP地址段时，访问DNS服务器时，会匹配到“ctc”，返回对网通用户可以访问INA1INA2INA3INA4INA5INA6INA7imgINA1mallINA1在DNS服务器中3.2.2代理服务器配置修改配置文件/etc/squid.conf:在1上：aclmanagerprotocache_objectacllocalhostsrc/32aclto_localhostdst//32acllocalnetsrc/8acllocalnetsrc/12acllocalnetsrc/16_port80accelvhostvport_accessallowallcache_peer3parent800no_queryoriginserverround-robinname=cache_peer_domain.fz.在2上：_port80accelvhostvport//vhost和vport表示之处虚拟主机和虚拟端口，同事设置反向代理服务器的监听端口为80。cache_peer4parent800no_queryoriginserverround-robinname二img//cache_peer表示如果本机缓存中找不到客户端请求的数据，将于主机1以parent类型进行联系，no-query表示不使用ICP协议进行联系，而是使用协议进行联系，联系端口是80，originserver表示此服务器是源服务器，name表示别名。cache_peer_domainimg.fz.//设置别名对应的域名，如果cache_peer中使用域名而不是IP的话，那么cache_peer_domain中一定要用一样的域名，否则无法访问。DNS主辅服务器的搭建主服务器：34从服务器：2主服务器的主配置文件：zone"fz.”(typemaster；filefz..zone；notifyyes；##每次主DNS修改完成后重启服务会传送notify值allownotify(2；｝；allow-transfer(2；｝；allow-update｛none；｝；recursionyes；##进行递归查询｝；zone”213.31.172."IN(typemaster；file”172.31.213.zone”；｝；主服务器的区域文件:$ORIGINfz..

$TTL86400INSOA.fz..root(42;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimumINNSINAINAAAA::1INA34mailINA2ftpINA主服务器验证：90[rootORACLEetc]#>.fz.nslookupServer：34Address：34#53Name：.fz.Address：34mail.fz.Server：34Address:34#53Name:mail.fz.Address:2ftp.fz.Server:34Address:34#53Name：ftp.fz.Address：9034Server：34Address:34#5372.name二.fz..90Server：34Address:34#5372.name二ftp.fz..从服务器的配置：zone"fz.”(typeslave；masters(34；}；file"slaves/fz..zone”；};配置完从服务器之后，重启服务器，在/var/named/chroot/var/named/slaves目录中会自动生成它的区域文件，如果想要添加记录，则将序列号加1。自动生成的配置文件：$ORIGIN.$TTL86400；1dayfz.INSOA.fz..root.fz..(43；serial##序列号我加了110800；refresh(3hours)900；retry(15minutes)604800；expire(1week)86400；minimum(1day))

NS.fz..AAAAA:：1$ORIGINfz..ftpA90mailA2A34slvINA2###这一条是我自己添加的A记录主从同步测试，如图3.3所示：;:globaloptions:printcmdNOERR0R.id：5894?:1.AUTHORIT\r;1.ADDITIONAL;:globaloptions:printcmdNOERR0R.id：5894?:1.AUTHORIT\r;1.ADDITIONAL:;:Gotanswer:;;-»HEAiDER«-opcode;QUERY,status:;;flags:qraardra;QOERY：1,ANSWER::QUESTIONSECTION：;wwwiFz-comi・IN;;AMSLERSECTION;Avjvm.fz-com-86400IN£；AUTHORITYSECTION：A172-31.213.234-S6400IN;;Querytin*e:0msecN5www-"F.DiG9.3.6-Pl-RedHat-9.3.5-16.Pl.el5-tAwww_.3L.2G0.42；rSERVER；2^53(1"?.31r200r12^;;WHEN：TueApr1j13:47：197Q14；；msgSizrrcvd：58图3.3主从测试图3.2.4主从服务器的优化1、使用allow-transfer｛｝；允许哪个ip在主服务器上进行传输，达到一定的安全效果。在主服务器的主配置文件中加入：allow-transfer(2；｝；###表示只允许2从主服务器上进行传输。allow-query｛!any；2；｝；##不允许任何IP进行查询，只允许2。做到这里虽然达到了一定的安全性，但是如果别人进行IP地址伪装的话，也可以访问我的主服务器，所以基于IP地址的验证还是不适合，不安全，所以还要进行进一步的优化。2、DNS的高级特性：基于密码的IP地址验证修改主配置文件，添加增量区域传送：Increamentalzonetransfer(IXFR)使用命令dnssec-keygen生成密钥对，如图3.4所示：rk^iianic-*-i-<-a.iq-*-!-*.lu^-ikcy?1口1・1匚】十，£1iiu*.iv-alc[root@ORACLEetc]#dnssec-keygen-aHMAC-MDS-b512-nTOSTstation234-station42Kstatiion234-station42.+157+44882[root@ORACLEetc]#Isa.conf1oca1timemanned.root.hintskstation23^4-station42.+157444882-key_named.confrndc.confKs;ta1:icin2M4named.rfcl912.zonesrndc.key图3.4秘钥生成图生成一对秘钥，将公钥发送给从服务器，如图3.5所示：i%ui^lxuuuiick^>I_iluu■uitii<■.-uii・■—ri-r」一卜■・*u、『i-■r&'i—j*[roctOoit^LEetc]#s-cpK5ta.tion2B4-stat-ior>42-+157+44882-key172..Jl.JtXlu42:/var/namedl/chroot/etc./rwtS2b5.password™K5catfon234-statioM2B+157+WS82,key1D0K1290,lKB/s00:00图3.5公钥发送图修改主服务器的主配置文件添加，如图3.6所示：ke/(al^rith"hpac-Fid5'jseciet"BCqlpUMkx.UbBsoJIyyLPciiTTl^TsKk9^K\r7aOG1^11dsPX6dbRUvdY^GCZcOLB5IxUVAhEkAQOxRWUqlEttf^"li图3.6主服务器配置在从服务器的主配置文件中添加，如图3.7所示：keystation234-statioiM2.(iihmhmac-rnd5^secret"0Cq|lpiJF4kxUbEsd]ly^1_PoiTTTrhTsaOGhfiMIdsPKGdbRUvd^GCZcOt8iIkUVAbEkAQ3xR.WIUqlE&tQ="server172.31.213„234{keys(station2?4-etation42«]■f酒图3.7从服务器配置搭建辅助服务器是为了减轻网络拥塞的问题，但是这样，并不安全，随便一台主机都可以指向主服务器。所以，我们还要进行优化。在优化的过程当中，实际上任意一台辅助服务器只要将它的DNS指向我的主服务器就可以伪装成我的DNS服务器，所以需要对我的主从两台服务器进行加密，只允许有密码的服务器进行通信，这样我的智能服务器既可以达到减轻网络拥塞的问题，也可以提高他的安全性。搭建Heartbeat在上述的实验过程中，代理服务器有现实环境中有可能在异常情况下会当机，考虑到这种单点故障的因素，我有联想到在代理服务器这里使用Heartbeat的原理，如果一台代理服务器当机，服务器之间会通过心跳线将VIP转移到另一台服务器上，使服务正常运行，重点是在主从服务器之间建立一个VIP。这里具体的配置文件我不做详细的解读。重点配置：Udpport694默认使用UDP694端口Bcasteth0在eth0上发送心跳信息Bcasteth0eth1在eth0和eth1上同时发送信条信息Logfile/var/log/ha-log指定heartbeat日志生成Deadtime30指定备份服务器在30秒后没收到心跳信息，认定主服务器发生了故障Keepalive2指定心跳脉搏Initdead120指定heartbeat进程启动时，他将等待120s后再启动主服务器的特定服务指定心跳群中的所有节点时，注意：节点的名字请在群中各台服务器使用“uname-n”命令获取并且确保一致。修改主机名：NETWOTKING二yesHOSTNAME二host01.example.修改/etc/hosts文件：9host01.example.1host02.example.修改heartbeat的配置文件/etc/ha.d/ha.cf文件bcasteth0##开启广播帧nodehost01.example.#设置节点，与主服务器和辅助服务器主机名一致nodehost02.example.修改heartbeat的配置文件/etc/ha.d/hareresource文件：定义了主服务器，提供客户端访问的虚拟IP，以与相关failover的服务。请确保群中各个服务器的此配置文件的一样，可以在一台主机上设置scp复制给其他主机。heartbeat按照/etc/rc.d/init.d，再/etc/ha.d/resource.d的方式查找受heartbeat所控制的服务启动脚本。格式：主服务器的节点名称虚拟对外的IPHost01.example.2/16/eth1squid修改/etc/ha.d/authkeys文件：auth3crcsha1HI!md5bdb52aae3b5566607f3e6023ef2e74e5生成密钥的方法：:read!echo“redhat”|opensslsha1注意：确保此密钥文件的权限为600，否则heartbeat服务启动不了。chmod600/etc/ha.d/authkeys3.4使用dnstop进行DNS流量监控首先，源代码安装编译dnstop监控软件。由于该软件依赖tcpdump和pcap抓包库（libpcap）对网络上传输的数据包进行截获和过滤，所以用户需要确保系统安装相应软件后才能正常安装和使用dnstop。通常情况下，这两种必须的库都已经在系统中预装。流量监控方法展示，如图3.8所示：./dnstop-4-Q-Reth0//查看eth0的所有dns请求Queries:0new,17totalTuercb1804:12:3020HSourcesCount黑cumK192.168.1.ISO52.952.9192.L63.L.1O5147.1100.0图3.8dnstop结果展示图3.5实验结果验证方式：1、IP为/24的电信客户端来访问fz时，会访问到1的squid上，同时能完成所有的访问。修改linux测试主机的ip为4,精确匹配到/24网段IP，通过DNS服务器解析结果，如图3.9所示：[root@445qu.id]4IfccnfigethOeth.0Linkencap:?LhernetHWacidr00:C2:39:94inetaddr:4Ecast:55M£S：<:255.255.C.0inet6addr:fe80::20c:29ff:febT:3994/64Scope:LinkUPBROADCASTRUNNINGMULTICASTM7U:lcOOMetric:1RXpackets:24D3157errors:131dropped:Coverruns:0frame:0TXpackets:102358errors:0dropped:0overruns:0carrier:0co_li5ion5：.OLxque_ielen:LOODRXby^es:230757280[26^.7MiB)TXbytes:2315&344[27.0MiE)interrupt:£7B33eaddress:0x2000[root@445qu.idnslcokupwww.fz>comServer:-1J2.24-11C.43Address:LT2.24.11C.43#53Mans:www.±z.coinAddress:1C.10.1.11图3.9结果1图2、IP为/16和/24的网通客户端来访问fz时，会访问到2的squid上，同时能完成所有的访问。修改linux测试主机的ip为2网段时，精确匹配到/16网段IP，通过DNS服务器解析结果，如图3.10所示：[xoot@4^squid-)#ifconfigethOezhOLinkenc^p:EthernetHWaddr00:DC:29：B7:39:94inet_addr:172.24»60.12:172.24^255.255Mask;255.255»0►Cinet€addx:zeSO::20c:29ff:zebJ:3934/64Scope:LinkU?EROADCASTROWINGMULTICASTMTU：1500Metric：1RXpackets:2906441errors:131dropped;0overruns:00TXpacketsr1C2547errors:Ddropped:0overruns:Ccarrier:0collisions:Dtaqueuelen:1000RXbytes:2BL021235(268.0MiB)TXbyte.5:25L76Er27<27.3MiB)interrupt:67Easeaddress:0x20DO[i?oot@44squid-JServer:172*24.110.43Address:LT2.24.110Name:www*Address:10,10.1,12图3.10结果2图3、其他IP段的也都访问到的节点上修改linux测试主机的ip为，精确匹配到，通过DNS服务器解析结果，如图3.11所示:[root@44squid〜]#nslookupwww»server;172,24.110.fiddress:172,24,110.43*53Name:www.fcomAddress:1图3.11结果3图4、Heartbeat的结果展示刚开始时，我的VIP2是在主服务器9上面，如图3.12所示:Eizoot®lcong39tia.d.]#ipm1:Lo:<LOOPBACK,UP,LOWER_UP>mtn16436qdiscnoqulink:/Looploack00:00:00:00:00:00brd.00:00:00:0inet127.0.O.L/SscopeiiostJ_oinet6::1./1.28scopetiostwmLzLd_Lftfoxevez:pizefexzzed_Iftfoxever:SthO：<BROADCASTfMULTICAST,UP,,LOWER_UP^ITltU150linkz/etiiej：O0:Oc:29:30:31d:S9匕工dff:ff:ff:ff:finet172,24,110,39/16lord172,24,255.255scopeinet&feB0::2C»c:29ff:fe30:3b89/64scopeln_nk:va11d_1ftforeverpreferred_lftforever:ethl:<BROADCAST,MULTICAST,UPyLOWER_UP>mtu.150link/ether00:50:56:26:c3:d9lordfF:ft:ft:ft:tinet10-10*1*16/16bud10-10*255-255scopegio.inetID.10.1.L2/16fojrd10-ID.255-255scopegioinet6e80;;250;56ff:fe26:c3d.9/64scope1j_nkva1id_1ftforeverpreferred_1ftforever:sit0:<WOAKP>-mtu148□qdiscnooplinK/miLlz。-0-0-。Lr日D-D-。-。图3.12结果4图当我模仿将主服务器宕机时，我的VIP会转移到从服务器上，如图3.13所示:Lroct@2cLone31ha.d]#ipaL:lo:CJOOPBACK,TJPfLOWER_UF>16^336qdiscnoqueuelink/1oopback00:00:QQ:00:DD:00lordOD:00:00：00:00:00inet127.□.0-1/8.5capelieszloinet6::1/128cop^liestvalid_lftforeverpjreferre±_lftforever:AtllO:<BROADCASTrMULTICASTFUP,LOWER_UP^-mtu1500qdiscpf1linlc/eT?ier00:0c:2^>:toC:cl:4Sb.rdff::fz:ftinetL72.24»110.31/1^brdL72.24.255f255?copeglobalethinet6f^80::20c:29ff:febO:仁L43/^43co<)elinkva1id_lftforeverpreferred_lftforever:etlil:<BROADCASTrMULTICASTrLOWEE._TJP>mtu1500qdiscpfj_lirLkz/ezrisjz00:0c:Z9:taC:cl:52bjzdff:£z:ffinet10.10.1,15/16Jd上日10,10.255.255scopsglobaletlilj.ne~tJ_D.—0.1-。^[[白lard1D.LD.#15-W55mcopeg1obalssaondainet6CeQO::20c:29ff:fet>0:clS2/^~scopalinkvalid_lft.foreverpreferred_lftforever4:sitO：<NOARP>mtn1480qdicnoepit0.0+0.0Q.0.0.0「5cc~i-—c~lInrx-j1_4kH图3.13结果5图5、验证DNS负载均衡，如图3.14所示:C=^UsersSAdmin1strator-_PC—20140107PUGR>nslookupuifu-Fz-comDNSrequesttlined,out.t：iine□ut：u-as2seconds：-月艮务器二UnKnownAddress=172_24-±10-43^<j^=LJLfU_f2_comAddr-e&ses:10_10.±_1910-10-1.134±0-±0-1.±510-10-1.1610-10-1.178图3.14结果6图第四章总结与展望4.1本论文所做的工作本文所做的工作主要有两点，一是利用智能DNS在多出口的环境中，如何解决非CERNet用户访问局域网资源时需要绕行到局域网的问题。二是对于DNS的查询数据流量监控，网络管理人员监控到异常的数据流时，分析情况，然后和其他的网络设备进行联动，保护DNS服务器。三是利用Heartbeat避免代理服务器单点故障问题，保证代理服务器正常运行。四是利用DNS负载均衡技术，搭建辅助服务器是为了减轻网络拥塞的问题。4.2论文的不足本课题还存在着很多不足之处，例如对于DNS查询的异常数据流的挖掘工作做的太少，对于DNS的各种攻击行为匹配特征研究的还不够。当得到一个DOS攻击的数据报告时，需要分析情况，再采取下一步的行动，智能性不够。当遇到假冒的源IP攻击时，本系统只能从上层的网络设备中进行一些相关的设置，最大程度的保护服务器的性能不受影响，而不能够真正的发现攻击源从根本上解决问题。4.3工作展望继续挖掘DNS在应用方面的潜在特性，提供更好的服务。对于采集到的DNS数据，进行挖掘，研究更多的DNS攻击数据流匹配的特征，能够随时发现问题，随时从网络的物理设备上阻断攻击源。参加此次的毕业设计，丰富了我的理论知识和实践经验，但是由于本人的经验尚且欠缺，论文中难免存在一些不足和错误之处，敬请各位老师多多指导。参考文献邱建波.高校校园网双出口环境下对DNS的智能改进[D].山西师大学；2008,29(8):26-29.成英，黎君.基于策略的DNS与其配置[J].江通信技术；2007,23(3)：1-3.馥娟.智能域名解析技术在多出口校园网中的应用II[J].计算机与数字工程.2009年11期吴江，雯，少杰.智能DNS系统在校园网的研究与实现I[J].微计算机信息；2010，26(3)：102-104.静梅，昊鹏.智能DNS系统的设计与实现II[J].计算机工程与应用；2007,43(11)：157-160.谭明佳.DNS技术的应用分析[J].计算机工程与设计；2004,25(4)：596-598.吴虎，云超.对DDOS攻击防策略的研究与若干实现.计算机应用研究；2002,19(8)：34-36.惠实.DNS体系结构分析[J].中国教育网络.许东民，任宇.基于智能DNS的校园网络双出口的设计和实现[D].信息工程学院学报，2007,22(6)：716-718.昕，岳敏楠.校园双出口DNS负载均衡的应用研究[J].计算机系统应用，2008年09期.文正，郭巧，王利，郭为民.Internet服务器负载均衡的研究与实现[J].计算机工程,2005年06期.峥嵘.基于DNS服务的校园网多出口负载均衡研究与实现[J].当代教育理论与实践;2011年07期.田绍亮，左明，吴绍伟.一种改进的基于动态反馈的负载均衡算法[J].计算机工程与设计;2007年03期.文伟平.基于CDN的视频网络架构与关键技术的研究与实现[D].邮电大学;2008年.小霞.浅析智能DNS在校园网中的应用[J].民营科技;2011年11期.垣，朔鹰，辛程华.基于DDNS技术的校园网多出口优化[J].电子世界;2012年24期.恩宝，文东，王超.域名系统的部署与安全性分析与建议[J].信息安全与通信；2010(5):81-83.RFC3658,DomainNames—implementationandSpecification^].RFC1034,DomainNames-conceptandFacilities[S].LeeK,KimJ.DDoSattackdetectionmethodusingclusteranalysis[J].ScienceDirect,2008,(34):1659-1665.ClaessensJ.Onthesecurityoftoday\'sonlineelectronicbankingsystems[D].Computer&Security,2002,21(3)：257-269.辞本课题作为我的毕业论文是在谭敏生老师的精心指导和大力支持下完成的，感他给予我充分的信赖和自由发挥的空间。谭老师以其认真负责的治学态度、孜孜以求的敬业精神和大胆创新的进取精神深深感染了我，对我今后的工作和学习也产生了深远影响，在此