DNS在安全、管理、性能和用户体验等方面都面临着严峻的挑战。由于DNS对于业务的重要性,运营商需要慎重面对,以保证正常、高效、安全的通信。
作为业界领先的DNS方案提供商,针对运营商在DNS上所面临的挑战,泰策经过多年的研究和开发,推出了全面的应对措施,包括安全防护、轻松管理、性能提升和智能DNS等几方面。
安全防护
针对DNS的安全问题,我们有多重防护措施。
DDoS攻击是DNS遭受最多的攻击种类,我们提供多种过滤和限速策略,确保各种异常的请求包,不会影响正常的DNS解析,比如DNS节点整体请求限速;按请求域名、源IP请求限速;异常请求包(如伪造成53端口的请求包)的直接丢弃;异常回复包的直接丢弃(杠杆攻击)等。我们专门的基于多核的硬件架构的安全防护产品Protector,在高性能的安全防护的基础上,可提供全面的一般性DDoS攻击防护和深入的DNS的攻击防护。
其次,针对域名授权数据的安全,我们提供重点域名的监测功能,这包括对相关域名的资源记录进行监测,同时定义重点域名对应的可信IP地址群(经过人工校验后确认的IP地址)。当从重点域名的授权域名服务器返回的数据有变化的时候,且变化后的IP地址不在可信IP地址群中,或者变化后的IP地址不包含可信IP地址群中的IP,则产生告警。
另外,对于缓存投毒,我们的措施有:
>隐藏递归IP
>随机递归端口:理论上提供2
16随机端口
>随机递归ID:ID号可达2
16
>采用0x20+技术:这给递归请求增加了更多的随机性
计算表明,如果要使我们DNS系统缓存中毒,需要在2秒内发送4万多亿个攻击包,这在理论上是几乎不可能完成的。
最后,DNS服务器在做递归请求时,需要占用更多的资源,所以DNS服务软件能够支持的并发递归数有限。这样黑客就会利用发送大量的递归请求来耗尽DNS服务器的递归资源,导致正常的DNS递归解析失败,这比传统的DNS DDoS攻击的难度要小很多。为了应对这种攻击,我们的DNS产品特别设计了一套递归淘汰机制,该机制可在递归资源几乎都被占用时,通过递归淘汰算法判断出可能是黑客发出的攻击递归请求,并释放这些递归资源。
轻松管理
对于配置管理,我们提供全面的图形化配置界面,涵盖了缓存和授权DNS所需要的各种功能。同时,我们还支持在多台DNS服务器之间的配置同步,这避免了在重复操作中可能因人的主观原因造成的错误。
对于系统监控,我们采集DNS服务器的CPU利用率、RAM利用率、QPS、请求成功率、请求延迟等多种系统健康性指标,并且通过图形化界面,直观地展现出来。并且在相关指标超出预设阀值时,产生各种形式的告警。
我们的管理系统,同时支持各种报表导出和SNMP等。
性能提升
作为DNS服务器的一个关键指标,性能一直以来都是DNS用户和DNS厂商非常关注的问题。经过多年的技术积累和研究开发,泰策DNS服务器的性能得到了大幅提升。
首先,我们对DNS服务器的缓存存储和应答算法进行了梳理和优化。其次,我们采用了零拷贝技术,极大地提高了数据包的处理效率。最后,我们还采用了多核和多CPU优化技术,从而可以更好地利用基础硬件的升级给性能带来的提升空间。
目前,在双CPU4核的PC服务器上,我们的DNS服务器的缓存性能可达四十万QPS,远远超出业界正常水平,是目前世界上性能最高的DNS服务器软件。
智能DNS
为了更好地提高用户体验,我们提供完整的智能DNS功能。
首先是授权域名服务器的智能DNS功能。如果域名在多个网络中或不同区域中都有对应的服务器,当有来自不同网络或不同区域的请求时,授权域名服务器返回该网络或该区域中服务器群的IP地址,从而可以避免跨网络或跨地域访问。
其次是递归域名服务器的智能DNS功能。如果授权域名服务器不具备智能DNS功能,也就是不能根据请求的来源有区别地回复不同的结果。而是将多个对应的请求结果(如IP地址),回复给递归域名服务器,而用户则会在这些结果中随机访问。
泰策的递归域名服务器具备递归结果筛选的功能,当授权回复的地址中有本网或本区域的IP地址时,则优先将该IP地址回复给用户。
为了更好地服务用户,结合DNS的功能特点和用户的业务需求,我们推出了多个基于DNS的增强功能。
用户保护
近年来,网络病毒泛滥,网络诈骗也层出不穷,对互联网用户造成了极大的威胁,比如垃圾邮件、挂马网站、僵尸网络、钓鱼网站等。通过与业界领先厂商的合作,泰策DNS系统可及时地更新最新发现的有威胁的或者是与威胁相关的域名,当用户访问这些域名时,系统可产生相关提示,从而保护用户。
对于有着敏感信息的用户,比如政府、军队、金融等单位,该功能不仅可以保护用户,还可避免敏感信息泄露所造成的不可估量的损失。
业务负载均衡和容灾
对关键业务进行负载均衡和异地容灾等,是用户经常考虑的问题。传统的方案都是采用四层交换机(L4)和全局服务器负载均衡设备(GSLB)来实现的。实际上,基于DNS完全可以实现相关功能要求。
泰策的业务负载均衡和容灾方案,完全基于DNS,结合对应用服务器的可用性监测和灵活的流量分配策略(事先预置权重或根据服务器负载情况等动态调整权重),可帮用户轻松实现业务负载均衡和容灾等要求,而且与采用L4和GSLB相比,实施极为简单,并且节省大量成本。
上网行为管理
互联网的内容越来越丰富,2008年谷歌(Google)的检测数据表明,互联网上独立页面的数量超过了1万亿个,而且每天新增加数十亿个网页。很多员工利用上班时间进行炒股、玩游戏、看视频、网络聊天等等,影响了单位的工作风气,降低了工作效率,而且占用了网络带宽,因此进行上网行为管理是非常必要的。
业界有很多对于流量、内容的上网行为管理方案,这些产品都是基于硬件的。在提供精细的内容识别的功能的同时,也带来诸如成本高、部署不方便的缺点,而且,基于应用的方案还需要克服HTTP加密、端口变化等技术问题。
基于全面的URL库和DNS服务器,泰策的上网行为管理功能,为用户提供了一种配置灵活、部署简单、成本低廉的选择,而且不影响正常的DNS解析性能。
用户行为分析
实际上,由于绝大多数应用都需要通过DNS,通过DNS可以清晰地了解谁在什么时间访问了什么域名,所以DNS还是一个很好的用户行为分析的数据源。泰策高性能、全面的分析系统除了进行用户行为分析外,还具备安全分析功能,可以发现用户的异常访问情况,从而提前排除隐患。