《运营商智能DNS系统》由会员分享,可在线阅读,更多相关《运营商智能DNS系统(10页珍藏版)》请在金锄头文库上搜索。
1、成果上报申请书成果名称运营商智能DNS系统成果申报单位北京公司成果承担部门/分公司网络部、网运中心项目负责人姓名项目负责人联系电话和Email项目参与人姓名白爱军成果专业类别*数据网络所属专业部门*网络线条成果研究类别*新产品开发省内评审结果*优秀关键词索引(35个)运营商 智能 DNS IDC应用投资80万元产品版权归属单位北京移动对企业现有标准规范的符合度:项目成果符合企业现有的标准规范。如果该成果来源于研发项目,请填写研发项目的年度、名称和类型(类型包括:集团重点研发项目、集团联合研发项目、省公司重点研发项目、其他研发项目),可填写多个:集团2010年联合研发项目,成果内容均由北京公司独
2、立承担完成。成果简介:简要描述成果目的和意义,解决的问题,取得的社会和经济效益。随着中国移动数据业务的大力发展,网内IDC资源不足的问题越发突出,然而在中国移动引入部分IDC资源后我们发现,尽管中国移动引入了IDC资源,部分中国移动用户不能访问中国移动引入的这些IDC资源,反而还去访问在电信联通网内的相同资源,其本质问题是DNS技术体制的问题,同时,我们发现由于DNS技术架构的问题,运营商DNS服务器解析效率低、安全性差(电信5.19 DNS重大电信故障就是由于DNS架构不合理所导致);另外,由于运营商DNS完全是一个通道,其解析结果完全受ICP的授权DNS服务器“控制”,降低了其解析效率和性
3、能。 北京公司通过详细分析传统DNS技术体制的不足结合中国移动数据业务发展的实际需求,在体系架构、解析流程、个性化功能等多层面对传统DNS技术的架构和体制进行优化完善,形成了整套的技术方案并成功开发了一套运营商智能DNS系统,系统即将上线运行,相关成果已申请四项国家专利(两项已通过集团评审、另外两项专利正在集团评审中),依托该系统正在撰写运营商智能DNS技术规范。该系统能够实现本网用户访问本网IDC资源的智能导向控制,并通过多种手段提升系统的解析效率及安全性,大大提高了用户感知,其主要功能如下:n 优化系统架构:现网DNS服务器升级为前端DNS服务模块,处理缓存查询;后端智能DNS服务器处理迭
4、代查询及其它优化功能;n IDC资源定位精确性:DNS递归查询结果经智能DNS处理后,可准确定位至用户归属ISP的内部IDC资源,解析结果不再受ICP及其它授权域名服务器控制;n 优化解析流程,提升DNS解析效率:优化解析流程,由智能DNS代理前端DNS完成递归查询功能,并对递归查询结果的TTL位及TC位进行优化改写;智能DNS仅完成缓存查询及本域查询功能;n 安全性提升:前端DNS关闭TCP查询功能,规避基于TCP的网络攻击;TTL值的优化改写,规避缓存毒化的网络攻击;前端DNS/智能DNS上启用对源地址的限制功能,规避了其它运营商用户的网络攻击;有条件地启用DNSsec功能;n 启用ANY
5、CAST:前端多点DNS服务器启用anycast的负载均衡方式,并统一将迭代查询forward给后端智能DNS服务器;n 域名封堵及增值功能:实现不良信息网站域名的封堵;能够实现将错误域名访问、不良信息网站访问解析至预配置页面(广告页面等);同时利用此功能,可满足预制域名功能;省内试运行效果:描述成果引入后在本省试运行方案、取得的效果、推广价值和建议等。本系统的部署非常简单,如下图所示,仅需将现网DNS服务器关闭迭代查询功能,将需要迭代查询的域名forward给后端智能DNS服务器即可,智能DNS服务器下挂在CMNET网络上,前端DNS服务器与智能DNS服务器之间的通信通过CMNET的IGP协
6、议进行联通。由后端智能DNS服务器完成递归查询及其它优化功能。本系统的开发完全是中国移动自主知识产权,相关成果已申请四项国家专利(两项已通过集团评审、另外两项专利正在集团评审中),依托该系统正在撰写运营商智能DNS技术规范。本系统的推广价值极高,通过部署能够解决现网IDC资源定位差、系统架构不合理、安全性差及解析效率低等诸多不足,改善用户感知,提高DNS系统本身性能。外省对该系统的引入不需要每省部署一个智能DNS系统,可以多个省共用一个智能DNS后端服务器实现,大大降低投资成本。文章主体(3000字以上,可附在表格后):根据成果研究类别,主体内容的要求有差异,具体要求见表格后的“填写说明6”。
7、一项目背景1DNS在互联网访问中的作用DNS解析是用户访问互联网的第一步,将用户需要访问的网站域名翻译为响应的服务器IP地址,为用户与网站服务器的连接进行导航,DNS解析结果的合理性本质决定用户访问网页的感知。 一般用户在浏览器输入域名时,本地DNS系统会根据不同类型域名对应三种不同的解析策略:n 本域查询:若是查询本地域名,会直接返回网站服务器的IP地址,比如北京移动接入用户访问北京移动网站时,由于北京移动网站是归属于北京移动本地DNS服务器解析,北京移动本地DNS服务器会直接把北京移动网站的IP地址返回给用户;n 缓存查询:若是查询非本地域名,但在DNS服务器的缓存中有相关域名的解析记录(
8、最近一段时间内,解析过此域名的IP,相关记录保存在缓存中还没有删除),DNS服务器会到缓存中提取域名的解析IP地址返回给用户;n 迭代查询:若是查询非本地域名,且需要查询的域名在缓存中也没有相关记录,则通过迭代过程查询该域名对应的IP地址,以查询为例,其迭代查询过程如下: 用户主机将域名查询请求发给本地DNS服务器; 本地DNS服务器收到请求后在本地域名数据库及缓存中查找,如果查找到相关记录,就将该域名对应的IP地址发给用户主机; 若DNS服务器在本地域名数据库及缓存中未查询到相关记录,本地DNS服务器向自己的根域服务器发出解析请求; 若根域DNS服务器无法解析,则返回管理cn域的DNS服务器
9、的IP地址; 本地DNS服务器再将请求交给管理cn域的DNS服务器; 若管理cn域的DNS服务器无法解析,则返回管理域的DNS服务器的地址; 本地DNS服务器再次把请求交给管理域的DNS服务器,管理域的DNS服务器再返回域名服务器的地址; 最终,本地DNS服务器从域名服务器获得网站服务器的IP地址结果,并将结果返回给接入用户;2运营商侧的DNS系统在数据业务体验中的不足: (1)传统DNS系统解析地址不能贴近用户归属运营商网络由于DNS技术本身的问题,会导致中国移动引入的IDC资源不能被部分中国移动用户访问,并且该IDC资源还会被部分联通电信用户访问。 如上图所示,中国移动在引入某些网站的ID
10、C资源以后,中国移动用户还会访问在联通和电信网内的这些IDC资源。这条访问路径会跨越两个运营商网络,访问路由变长,在其它运营商网络内的路径无法保障其QOS,会导致数据丢包、时延抖动增加,严重影响用户感知。即中国移动在引入IDC后希望中国移动用户按照流量1的路由访问,但目前中国移动用户还是按照流量2的路由访问。下表为实际测试数据,表明运营商A的接入用户在分别访问新浪网站在运营商A的接入服务器和运营商B的接入服务器时的数据对比,从实测数据中可以发现,PING时延最大相差100倍以上,网页总时延及网页总速度相差2倍,在网页访问成功率上也有一定差距。表1:中国移动接入用户访问ICP资源的不同路由的指标
11、对比发生这种现象的本质原因是尽管中国移动引入了IDC,但ICP的授权DNS服务器反馈给运营商DNS服务器的域名解析IP地址依旧是在电信联通网内的网站IP地址,也就是说运营商DNS服务器还完全是一个通道,尽管引入了IDC资源,但中国移动用户是否能访问到本网内的IDC资源还由ICP决定。(2)传统DNS服务器系统安全行差传统DNS服务器的安全性主要体现在两个方面: 一时容易收到缓存攻击,攻击者会冒充ICP的DNS授权服务器给运营商DNS服务器发虚假的DNS响应报文,并篡改报文中的A记录和TTL时间,把用户请求正常域名劫持到一个非法网站上并将TTL值修改为一个极大的时间,使得在相当长一段时间内,运营
12、商服务范围的所有用户都会被劫持到非法网站,这种方式目前只能通过手工的缓存清除方式进行解决; 另外一个安全问题,DNS应用是基于TCP和UDP的53号端口,用户首先基于UDP的53号端口进行访问,在访问失败后会启动TCP的DNS请求,然而,针对DNS的攻击有基于UDP的DDOS和基于TCP的DDOS,系统大部分时间不利用TCP进行DNS的应用,确为基于TCP的DDOS攻击打开了攻击的大门。(3)传统DNS服务器的解析效率低传统DNS服务器的解析效率低主要体现在三个方面: 首先是传统的DNS服务器是将本域查询与迭代查询在一个物理实体上实现。缓存查询占整个DNS解析量的80以上,解析时延一般为毫秒级
13、,时延相对较短;迭代查询量不到整个DNS解析量的20,解析时延一般为秒级,时延相对较长。当DNS服务器被攻击时,一般针对迭代查询,系统会被迭代查询占用掉所有系统资源(CPU及内存等),使得系统无法再为大量的缓存查询提供服务。逻辑上分开后,即使网络遭受针对迭代查询的攻击,缓存查询不会受到影响。 传统的DNS解析流程中,缓存查询及迭代查询在一个物理系统中实现,他们之间的实现逻辑顺序是,当之前DNS解析结果的生命周期为0时,解析记录在缓存中删除,若再有用户请求该域名,运营商DNS发起迭代查询,这个时间一般会比较长(秒级),同时,在迭代查询过程中,若有同样的DNS域名请求,运营商DNS还会发起同样的域
14、名解析请求进行迭代查询。也就是说按照传统流程的解析过程,一方面使得DNS解析时延非常大,另外会发生在迭代查询阶段,会同时挂起多个针对同一个域名的解析请求,大大消耗进程资源及系统资源、降低DNS解析效率,并容易收到DNS攻击流量的控制。 TTL值不合理导致DNS解析效率低下:部分DNS解析报文到达用户本地DNS服务器后,其报文生命周期(报文中通过TTL值标识)很短,比如TTL17时(甚至部分DNS响应报文中TTL0),该报文只在缓存中生存17秒后就被删除,也就是说,17秒之内有用户请求同一个域名解析时,采用缓存查询,当17秒之后在有用户请求该域名的解析时,采用迭代查询。TTL值偏小,会使得DNS
15、系统在短期内重复迭代查询同一个域名的IP地址,降低整个DNS系统的解析效率。(4)传统DNS系统无法对不良域名进行封堵错误域名的解析量占总解析量的14,大大降低了DNS系统的解析效率,传统DNS服务器无法规避,不良信息网站访问如何通过智能DNS系统进行可配置的规避。 二解决方案详细内容1解决方案详细介绍通过对传统DNS技术架构进行优化,将传统DNS服务器按照功能割裂为前端DNS服务模块和后端智能DNS服务模块,前端DNS服务模块负责本地查询和缓存查询,将需要迭代查询的域名发送给后端智能DNS服务模块;后端智能DNS服务模块负责迭代查询,并针对迭代查询结果(ICP侧DNS解析服务器返回的DNS解析响应)进行应用层信息改写A记录改写,对应用层信息中的所有A记录进行查询,将对应IP地址是归属运营商的A记录放在DNS响应报文的第一个位置,报文重新封装后返
