当前位置: 首页 > 解决方案 > 运营商DNS解决方案
易天系列泰策DNS运营商解决方案

DNS在安全、管理、性能和用户体验等方面都面临着严峻的挑战。由于DNS对于业务的重要性,运营商需要慎重面对,以保证正常、高效、安全的通信。
作为业界领先的DNS方案提供商,针对运营商在DNS上所面临的挑战,泰策经过多年的研究和开发,推出了全面的应对措施,包括安全防护、轻松管理、性能提升和智能DNS等几方面。


        DNS承担着多种职责。对于一个缓存域名服务器,需要从缓存中响应用户的请求,或者是发起递归请求,将结果回复给用户,并将结果缓存;对于一个授权域名服务器,需要给出其负责的域名与IP的最终对应关系。
        随着信息技术的不断发展,DNS系统正面临着多种挑战。
        安全
        最近几年,DNS系统暴露出的安全问题层出不穷。
        2008年US-CERT发布的DNS 800113缓存投毒漏洞,导致了全球近一半DNS服务器的软件升级,2009年7月底被披露的Bind9的高危漏洞,影响也波及全球数万台域名解析服务器。2009年12月,Twitter的DNS遭受了攻击,并造成约一个小时的服务中断。巴西一家最大银行Bandesco,在2009年4月遭受了DNS缓存病毒攻击,受到影响的用户会被重定向至一个假冒的银行网站,该假冒网站试图窃取用户密码并安装恶意软件。
        在国内,2009年的“519”事件,造成多家运营商的DNS服务受到严重影响,百度等知名的互联网公司也曾由于DNS的攻击造成了严重后果。
        管理
        DNS的管理问题主要体现在两个方面。
        首先,是配置管理。很多DNS服务器没有一个图形化的管理界面,而且DNS 协议和DNS配置的句法是比较复杂的。很简单的一些问题,比如缺少了分号、数字被调换了、不正确的断句以及一些其他的句法错误就能使得DNS的服务中止。甚至那些很熟练的管理员也会在保持DNS正常运行上碰到很多问题,由于DNS的配置错误而导致的问题也层出不穷。
        其次,是系统监控。由于DNS服务的重要性,所以对DNS系统的运行状态进行全面、及时的了解,对于保持DNS系统的正常运行非常必要,这包括您有多少台DNS服务器;您的DNS用的是什么系统、什么版本;您的DNS系统的负载情况怎么样等。
        性能
        DNS的性能,主要通过每秒能够响应的请求数QPS来表征。
        由于网络规模的日益扩大和应用(包括个人应用和企业应用)种类越来越多,DNS的性能要求也越来越高。有研究表明,大约每6个月,DNS的QPS都会翻一番。
        此外,随着IPv6的采用和未来DNSSEC的引入,还将导致对DNS系统性能要求的进一步提高。 
        用户体验
        由于网间互通问题或者网络本身的延迟,用户在访问其它网络或区域的服务器时的体验不如访问本网或本区域的服务器体验好。
但是,DNS系统在收到用户对于某个域名的请求后,在该用户的网内或区域内有该域名的资源时,却不能保证用户一定访问的是该网内或区域内的资源,而是经常将该用户指向了其它资源。
        所以,需要从技术上确保用户可以获得最好的访问体验。

        DNS在安全、管理、性能和用户体验等方面都面临着严峻的挑战。由于DNS对于业务的重要性,运营商需要慎重面对,以保证正常、高效、安全的通信。
作为业界领先的DNS方案提供商,针对运营商在DNS上所面临的挑战,泰策经过多年的研究和开发,推出了全面的应对措施,包括安全防护、轻松管理、性能提升和智能DNS等几方面。
       安全防护
       针对DNS的安全问题,我们有多重防护措施。
       DDoS攻击是DNS遭受最多的攻击种类,我们提供多种过滤和限速策略,确保各种异常的请求包,不会影响正常的DNS解析,比如DNS节点整体请求限速;按请求域名、源IP请求限速;异常请求包(如伪造成53端口的请求包)的直接丢弃;异常回复包的直接丢弃(杠杆攻击)等。我们专门的基于多核的硬件架构的安全防护产品Protector,在高性能的安全防护的基础上,可提供全面的一般性DDoS攻击防护和深入的DNS的攻击防护。
       其次,针对域名授权数据的安全,我们提供重点域名的监测功能,这包括对相关域名的资源记录进行监测,同时定义重点域名对应的可信IP地址群(经过人工校验后确认的IP地址)。当从重点域名的授权域名服务器返回的数据有变化的时候,且变化后的IP地址不在可信IP地址群中,或者变化后的IP地址不包含可信IP地址群中的IP,则产生告警。
       另外,对于缓存投毒,我们的措施有:
       >隐藏递归IP
       >随机递归端口:理论上提供216随机端口
       >随机递归ID:ID号可达216
       >采用0x20+技术:这给递归请求增加了更多的随机性
       计算表明,如果要使我们DNS系统缓存中毒,需要在2秒内发送4万多亿个攻击包,这在理论上是几乎不可能完成的。
       最后,DNS服务器在做递归请求时,需要占用更多的资源,所以DNS服务软件能够支持的并发递归数有限。这样黑客就会利用发送大量的递归请求来耗尽DNS服务器的递归资源,导致正常的DNS递归解析失败,这比传统的DNS DDoS攻击的难度要小很多。为了应对这种攻击,我们的DNS产品特别设计了一套递归淘汰机制,该机制可在递归资源几乎都被占用时,通过递归淘汰算法判断出可能是黑客发出的攻击递归请求,并释放这些递归资源。
       轻松管理
       对于配置管理,我们提供全面的图形化配置界面,涵盖了缓存和授权DNS所需要的各种功能。同时,我们还支持在多台DNS服务器之间的配置同步,这避免了在重复操作中可能因人的主观原因造成的错误。


       对于系统监控,我们采集DNS服务器的CPU利用率、RAM利用率、QPS、请求成功率、请求延迟等多种系统健康性指标,并且通过图形化界面,直观地展现出来。并且在相关指标超出预设阀值时,产生各种形式的告警。


       我们的管理系统,同时支持各种报表导出和SNMP等。
       性能提升
       作为DNS服务器的一个关键指标,性能一直以来都是DNS用户和DNS厂商非常关注的问题。经过多年的技术积累和研究开发,泰策DNS服务器的性能得到了大幅提升。
首先,我们对DNS服务器的缓存存储和应答算法进行了梳理和优化。其次,我们采用了零拷贝技术,极大地提高了数据包的处理效率。最后,我们还采用了多核和多CPU优化技术,从而可以更好地利用基础硬件的升级给性能带来的提升空间。
       目前,在双CPU4核的PC服务器上,我们的DNS服务器的缓存性能可达四十万QPS,远远超出业界正常水平,是目前世界上性能最高的DNS服务器软件。
       智能DNS
       为了更好地提高用户体验,我们提供完整的智能DNS功能。
       首先是授权域名服务器的智能DNS功能。如果域名在多个网络中或不同区域中都有对应的服务器,当有来自不同网络或不同区域的请求时,授权域名服务器返回该网络或该区域中服务器群的IP地址,从而可以避免跨网络或跨地域访问。
       其次是递归域名服务器的智能DNS功能。如果授权域名服务器不具备智能DNS功能,也就是不能根据请求的来源有区别地回复不同的结果。而是将多个对应的请求结果(如IP地址),回复给递归域名服务器,而用户则会在这些结果中随机访问。 
       泰策的递归域名服务器具备递归结果筛选的功能,当授权回复的地址中有本网或本区域的IP地址时,则优先将该IP地址回复给用户。

       为了更好地服务用户,结合DNS的功能特点和用户的业务需求,我们推出了多个基于DNS的增强功能。
       用户保护
       近年来,网络病毒泛滥,网络诈骗也层出不穷,对互联网用户造成了极大的威胁,比如垃圾邮件、挂马网站、僵尸网络、钓鱼网站等。通过与业界领先厂商的合作,泰策DNS系统可及时地更新最新发现的有威胁的或者是与威胁相关的域名,当用户访问这些域名时,系统可产生相关提示,从而保护用户。
       对于有着敏感信息的用户,比如政府、军队、金融等单位,该功能不仅可以保护用户,还可避免敏感信息泄露所造成的不可估量的损失。
       业务负载均衡和容灾
       对关键业务进行负载均衡和异地容灾等,是用户经常考虑的问题。传统的方案都是采用四层交换机(L4)和全局服务器负载均衡设备(GSLB)来实现的。实际上,基于DNS完全可以实现相关功能要求。
       泰策的业务负载均衡和容灾方案,完全基于DNS,结合对应用服务器的可用性监测和灵活的流量分配策略(事先预置权重或根据服务器负载情况等动态调整权重),可帮用户轻松实现业务负载均衡和容灾等要求,而且与采用L4和GSLB相比,实施极为简单,并且节省大量成本。
       上网行为管理
       互联网的内容越来越丰富,2008年谷歌(Google)的检测数据表明,互联网上独立页面的数量超过了1万亿个,而且每天新增加数十亿个网页。很多员工利用上班时间进行炒股、玩游戏、看视频、网络聊天等等,影响了单位的工作风气,降低了工作效率,而且占用了网络带宽,因此进行上网行为管理是非常必要的。
       业界有很多对于流量、内容的上网行为管理方案,这些产品都是基于硬件的。在提供精细的内容识别的功能的同时,也带来诸如成本高、部署不方便的缺点,而且,基于应用的方案还需要克服HTTP加密、端口变化等技术问题。
       基于全面的URL库和DNS服务器,泰策的上网行为管理功能,为用户提供了一种配置灵活、部署简单、成本低廉的选择,而且不影响正常的DNS解析性能。
       用户行为分析
       实际上,由于绝大多数应用都需要通过DNS,通过DNS可以清晰地了解谁在什么时间访问了什么域名,所以DNS还是一个很好的用户行为分析的数据源。泰策高性能、全面的分析系统除了进行用户行为分析外,还具备安全分析功能,可以发现用户的异常访问情况,从而提前排除隐患。