路由牵引方式
旁路抢答方式(分光镜像+抢先应答)
PBR 策略路由方式
简单防止抢答方式已经无效了。
文字正文
1 异网 DNS 现状分析
DNS 是互联网的入口,DNS 请求发生在用户访问互联网的第一环节,ICP 内容资源、CDN 等都依赖于 DNS 的正确调度才能将用户流量引导到最合适的资源节点。正常情况下用户终端应该使用 ISP 分配的官方 DNS,然而用户终端设置的 DNS 由用户自身决定,不处于 ISP 可控范围。现网流量监测系统发现 ISP 网络存在着一定比例的异网 DNS 流量,配置不合适的异网 DNS 不仅会降低用户上网体验,带来安全风险,对中小 ISP 而言还提高了流量结算成本。如何选择一种最优的技术方案,对异网 DNS 流量进行有效管控,实现资源调度的优化,是文中重点论述的问题。
1.1 异网 DNS 来源和影响分析
异网 DNS 流量的主要来源如下。
● 策反转网的用户未修改 DNS 配置:专线用户情况尤为突出,用户由于缺乏专业网管技术人员,转网时只调通网络,而不重视配置调优,转网后仍使用原运营商的 DNS,常常在报障网速慢后才发现 DNS 配置错误。
● 用户自主修改 DNS:第三方公众 DNS 借助网络广泛宣传,部分用户盲目迷信网上教程,手工修改路由器或本机的 DNS 配置为谷歌 DNS 8.8.8.8、114 DNS 等公众 DNS,造成内容资源访问时“舍近求远”,难以实现本网已引入资源的精准调度。
● 用户被动修改 DNS:部分互联网公司借助终端软件积极推行自己的 DNS,用户在不知情的情况下,DNS 被一些声称能优化网络和修复网络的软件所修改,如 360 DNS 优选、腾讯 DNS 优选等。
● 用户 DNS 被黑客劫持:黑客利用路由器存在弱口令、安全漏洞、恶意代码等将用户路由器或终端电脑上的 DNS 篡改为黑客所控制的非法 DNS。当不知情的用户使用非法 DNS 访问网上银行或购物网站等敏感网站时,可能被指向假冒的欺诈网页,造成信息泄露和重大损失。
● 某些互联网产品在出厂时内置了 DNS:如各类电视盒子、免费 Wi-Fi 等设备可能内置了公共 DNS。
以上原因导致了异网 DNS 的存在,而使用不合理的异网 DNS 进行域名解析,会造成解析时间长、解析成功率降低、调度准确性降低等诸多问题,甚至带来安全风险。
1.2 异网 DNS 的流量占比
现网监测数据表明城域网中有 10%~ 15%的 DNS 递归请求去往异网 DNS,而异网 DNS 流量中谷歌 DNS 又占据着较大份额。
1.3 异网 DNS 管控目标
逐个通知客户变更 DNS 是一项棘手而低效的工作,迫切需要有一种技术手段,能将流向异网 DNS 的请求重新引导回 ISP 官方 DNS,实现异网 DNS 请求的网内解析,达到如下的管控目标:
● 对异网 DNS (不可信 DNS )的解析请求返回 ISP 官方 DNS 的最佳解析结果,实现 DNS 请求 100%可管控;
● 所有操作和处理过程均在用户无感知和不影响使用的情况下完成;
● 可实现调度策略的灵活配置,能针对具体用户 IP 和 DNS 进行定向调度;
● 优化用户体验,降低安全风险的同时,缩减网间流量结算成本。
2 异网 DNS 管控技术探讨
2.1 路由牵引方式
路由牵引方式首先需要获知异网 DNS 的 IP 地址,再通过路由发布的方式将这些 IP 指定 ISP 官方 DNS,用户访问这些特定 IP 的 DNS 请求将被牵引至运营商 DNS, 从而实现对异网 DNS 流量的拦截。
优势:部署快,现网无需新增设备投资和调整网络。
劣势:仅能覆盖已知的异网 DNS,未知 DNS 不能覆盖,存在路由广播合法性风险。
2.2 旁路抢答方式(分光镜像+抢先应答)
通过分光镜像方式采集 53 端口的 DNS 请求给重定向系统,针对流向异网 DNS 的递归请求,由 DNS 重定向系统伪装异网 DNS,以抢先应答方式返回本地 DNS 的网内解析结果。
如图 1 所示,在 ISP 出口通过镜像或分光方式采集 DNS 请求,送给“ DNS 重定向安全装置”,由“ DNS 重定向安全装置”从 DNS 报文中提取 DNS 服务器地址,针对用户终端发出的 DNS 请求报文,根据事先定义的 DNS 服务器白名单进行逻辑决策,如果 DNS 服务器地址不是白名单之内的异网 DNS,去往该异网 DNS 的所有域名请求通过 Forward 机制重新引导回 ISP 官方 DNS,“ DNS 重定向安全装置”获得解析结果后,立刻构造一个新的 DNS 响应报文,改用用户请求的异网 DNS 服务器地址作为源 IP,以抢先应答方式回复用户;而去往白名单的本网及可信 DNS 请求不做任何处理,直接放行。“ DNS 重定向安全装置”有类似缓存的功能,可以存储本网 DNS 的解析结果。所以在系统稳定运行后可以进行微秒级响应,在用户配置的异网 DNS 之前优先返回给用户解析结果,用户会自动抛弃后收到的 DNS 响应。
优势:可以覆盖所有异网 DNS 流量,无单点故障隐患。
缺点:需要新增设备投资,隐蔽性稍差,用户收到两份 DNS 应答。
2.3 PBR 策略路由方式
在 ISP 出口设备配置策略路由,将 53 端口流量策略路由至网内,指向专门部署的 DNS 重定向系统,DNS 重定向系统向 ISP 官方 DNS 发起解析请求并获取到解析结果,最后由 DNS 重定向系统把结果返回给用户。DNS 重定向系统在返回给用户的应答报文中,使用用户请求报文的目的地址作为源地址,实现异网 DNS 无感知优化,处理流程如图 2 所示。
优势:可以覆盖所有异网 DNS 流量,隐蔽性强,DNS 调度优化成功率高。
缺点:省网网络设备要配置策略路由,策略复杂,需要新增设备投资,DNS 重定向系统串接在网络中,存在单点故障。
2.4 三种异网 DNS 管控技术比较
三种异网 DNS 管控技术比较见表 1。
综合以上方案,推荐采用旁路抢答方式作为首选部署方案。
3 旁路抢答 DNS 重定向系统的部署实施
2014 年 4 月起联合南京信风公司在江苏无锡城域网进行了试点测试,借助无锡城域网两台核心设备上行链路中已经部署过的 DPI 系统,提取出 53 端口的 DNS 流量,复制给 DNS 重定向系统。
3.1 DNS 重定向系统配置
DNS 重定向系统配置见表 2。
以上信风公司服务器配置可支持 50 万 QPS 处理能力。
3.2 DNS 重定向安全装置功能模块及处理流程
经过不断测试改良,完善的“ DNS 重定向安全装置”应包括如下功能模块。
(1)接收解析模块
接收通过镜像或分光方式复制过来的 DNS 流量,从 DNS 报文中解析出 DNS 服务器地址、用户请求源 IP、用户请求域名、是用户终端发出的递归请求还是 DNS 服务器发出的迭代请求。
(2)判断模块
仅处理用户终端发出的递归请求,不处理 DNS 服务器发出的迭代请求。
再根据内置的规则先判断 DNS 服务器地址是否是可信地址,再判读用户请求源 IP 是否属于直接放行地址。
系统将 DNS 服务器分为可信 DNS (或称合法 DNS )和非可信 DNS 两类。DNS 服务器白名单中的都是可信 DNS,包括 ISP 自建的本地 DNS、ISP 认可组织内部 DNS 等,白名单的描述形式可以是多个 IP 地址段的集合。发往 DNS 白名单的解析请求直接放行。
非可信 DNS 是不在 DNS 白名单中的所有其他 DNS,默认为异网所有的 DNS。发往非可信 DNS 的解析请求原则上都将被转发处理模块处理,除非源 IP 属于请求源 IP 白名单。
为满足用户实际需要,还应设定 DNS 请求源 IP 白名单,这些源 IP 发起的请求不管 DNS 服务器地址可信或非可信,都将采取直接放行策略。
(3)查询模块
针对没有命中 DNS 白名单或没有命中 DNS 请求源 IP 白名单的解析请求,将通过自身迭代查询以获取域名数据对应的 IP 地址(也可以通过 Forward 机制转发给 ISP 自建的可信本地 DNS 以加快查询速度)。
(4)DNS 缓存模块
可以存储热点域名的解析结果,进行微秒级响应。
(5)发送模块
从 ISP 自建的本地 DNS 获得解析结果后,立刻构造一个新的 DNS 响应报文,改用非可信 DNS 服务器地址作为源 IP,以抢先应答方式回复用户。
相应的业务流程如图 3 所示。
4 DNS 重定向系统的应用效果
无锡移动部署异网 DNS 重定向系统后,成功地将流向异网 DNS 的请求重定向回本省官方 DNS。监控数据显示,城域网中原有 13%到异网 DNS 的请求,全部被 DNS 重定向系统 Forward 给省内官方 DNS,DNS 流量得到百分之百管控。
4.1 质量角度评估
基于 DNS 旁路抢答的 DNS 重定向系统提升了现有流量调度系统的有效性,不管用户使用什么 DNS,都能将解析结果自动修正指向到网内资源,并且 DNS 解析响应时间大大降低,试点地市再未接到集团用户因配置异网 DNS 而引发的网络慢类投诉。
www.youku.com 资源已经引入移动网内,没有使用 DNS 重定向系统前,如图 4 所示,谷歌 DNS 8.8.8.8 将 www.
youku.com 错误调度至网外的青岛联通 IP 119.167.145.19 ,DNS 解析时延高达 40ms。
使用 DNS 重定向系统后,如图 5 所示,谷歌 DNS 8.8.8.8 的解析结果被纠正为无锡移动网内地址 221.181.195.121 ,DNS 解析时延由 40ms 下降到 1ms。
据拨测系统统计,DNS 重定向优化后,热点网页打开时间比优化前缩短了 39%。
4.2 成本角度评估
异网流量下降明显,监控数据显示,对原来那些设置为异网 D N S 的用户而言,其流量本网率从 92.81%上升到 98.83%,其异网流量下降约 6 个百分点,达到了正确引导用户访问本网资源的预期效果。
4.3 安全角度评估
重定向系统屏蔽了黑客 DNS,用户信息安全风险降低。
5 结束语
基于 DNS 旁路抢答的异网 DNS 重定向系统,可让 ISP 合理管控域域网宽带用户终端发出的 DNS 请求流量,使用合法 DNS 以抢先应答的方式代替非可信 DNS 来回复用户解析请求,规避黑客 DNS 给用户带来的安全风险,有效提升了流量调度系统的准确性,降低了运营商的流量结算成本。
本技术方案能覆盖所有终端用户,不局限操作系统和设备类型,也不需要用户手工干涉,在用户无感知的情况下保护了域名数据安全,已经被申请为专利,对宽带电信运营商具有普遍适用性和推广价值。
原文地址
http://www.ttm.com.cn/article/2016/1000-1247/1000-1247-1-1-00064.shtmlhttp://www.ttm.com.cn/article/2016/1000-1247/1000-1247-1-1-00064.shtml
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.