中国移动运营商智能DNS.ppt

《中国移动运营商智能DNS.ppt》由会员分享，可在线阅读，更多相关《中国移动运营商智能DNS.ppt（21页珍藏版）》请在三一办公上搜索。

1、移动互联网业务服务智慧通道研究及应用“运营商智能DNS”子课题结题报告,是否集团重点项目：是,智能DNS系统,项目背景,项目目标,项目方案,项目成效,A.,B.,C.,D.,项目背景运营商DNS系统面临的一些问题,DNS,1,5,2,4,3,部分中国移动用户无法访问网内IDC资源,DNS系统架构不合理,系统安全性差,受ICP DNS影响，ISP DNS系统解析效率低,错误域名及不良信息网站无法规避,迭代查询攻击容易造成整个DNS系统瘫痪，影响大面积用户,5月19日，江苏、河北、山西、广西、浙江等省出现互联网故障，导致部分互联网用户的服务受到影响，原因在于(即暴风影音官方网站)域名解析系统遭网络

2、攻击，导致运营商递归域名解析服务器拥塞，进而发生大面积用户无法上网；。,1.缓存查询及迭代查询基于同一物理DNS服务器实现；,2.迭代查询没有相关的限制及访问过滤机制；,3.ICP DNS服务器故障时导致ISP DNS系统迭代查询数目剧增；,4.导致ISPDNS系统资源耗尽瘫痪，从而影响整个网络用户的HTTP访问；,由于该类问题所导致的重大网络故障：中国电信519事件,项目背景运营商DNS系统面临的一些问题,问题一：DNS系统架构不合理,问题二：部分中国移动用户无法访问网内IDC资源,由于DNS本身技术体制的问题，导致中国移动引入的IDC资源不能被部分中国移动用户访问，并且该IDC资源还会大量

3、被部分联通电信用户访问；,业务流1：中国移动接入用户访问内网IDC资源（正常流量）业务流2：中国移动接入用户在拥有网内IDC资源条件下，还依旧访问外网IDC资源（需规避流量）,项目背景运营商DNS系统面临的一些问题,问题三：系统安全性差,同时利用TCP/UDP进行网络DDOS攻击,假冒DNS服务器，反馈虚假DNS响应报文：DNS劫持缓存毒化,正常用户,正常用户,正常用户,正常用户,国际顶级DNS服务器,A,B,项目背景运营商DNS系统面临的一些问题,问题三：系统安全性差,A.迭代查询的报文没有任何加密保护，极易受到DNS劫持及攻击,DNS系统受到网络攻击导致缓存毒化，使得TTL值巨大，并将用户

4、请求被劫持到其它非法网站，目前仅能通过缓存清理解决；,项目背景运营商DNS系统面临的一些问题,问题三：系统安全性差,B.传统DNS系统同时开启UDP/TCP的53号端口，加大了基于TCP的网络攻击的可行性,DNS域名解析协议规定采用UDP53号端口和TCP53号端口进行域名解析的查询和响应工作，首先，采用UDP53号端口进行域名查询，若DNS应答长度超过512字节，则只返回前512个字节，这时DNS认为UDP查询失败，就需要使用基于连接并可分片的TCP重发原来的查询请求；,UDP连接的失败，会导致重新发起TCP连接，导致DNS时延增加，同时，TCP对超长报文的切片和重组也增加了DNS的解析时间

5、。DNS时延的增加使得用户感知下降，恶劣情况下，可能会导致用户无法访问ICP资源；,项目背景运营商DNS系统面临的一些问题,问题四：受ICP DNS影响，ISP DNS系统解析效率低,本地DNS服务器接收到DNS响应包中的TTL时间偏短会引起短时间内同一网址请求的再此迭代查询，增加DNS系统负荷同时提升DNS查询时延；,ICP考虑到自身利益，通过将DNS响应报文中的TTL值设置的很小，使得ISP DNS会在短时间内反复针对同一域名多次发起DNS迭代解析，大大消耗DNS系统资源，降低DNS解析效率，并增长了DNS响应时延，降低了用户感知；,项目背景运营商DNS系统面临的一些问题,B.不良信息网站

6、访问如何规避，如何利用个性化的域名定制服务开展经济潜力巨大的增值业务,问题五：错误域名及不良信息网站无法规避,A.异常的DNS包大约占全部查询的14%，大大降低了系统性能,项目背景运营商DNS系统面临的一些问题,智能DNS系统,项目背景,项目目标,项目方案,项目成效,A.,B.,C.,D.,项目目标,优化系统架构：将传统DNS服务器按照迭代查询功能及处理缓存查询功能分隔为物理隔离的前端模块及后端模块，后端智能DNS服务模块处理迭代查询及其它优化功能；IDC资源定位精确性：DNS递归查询结果经智能DNS处理后，可准确定位至用户归属ISP的内部IDC资源，解析结果不再受ICP及其它授权域名服务器控

7、制；优化解析流程，提升DNS解析效率：优化解析流程，由智能DNS代理前端DNS完成递归查询功能，并对递归查询结果的TTL位及TC位进行优化改写；智能DNS仅完成缓存查询及本域查询功能；安全性提升：前端DNS关闭TCP查询功能，规避基于TCP的网络攻击；TTL值的优化改写，规避缓存毒化的网络攻击；前端DNS/智能DNS上启用对源地址的限制功能，规避了其它运营商用户的网络攻击；有条件地启用DNSsec功能；启用ANYCAST：前端多点DNS服务器启用anycast的负载均衡方式，并统一将迭代查询forward给后端智能DNS服务器；域名封堵及增值功能：实现不良信息网站域名的封堵；能够实现将错误域名

8、访问、不良信息网站访问解析至预配置页面（广告页面等）；,智能DNS系统,项目背景,项目目标,项目方案,项目成效,A.,B.,C.,D.,项目方案,智能DNS总体技术架构,智能DNS总体功能架构,项目方案,智能DNS功能实现举例,优化DNS解析协议及流程，规避DNS报文超长时所引起的二次DNS解析请求，从而大大提高解析效率及用户感知；使得系统可以关闭TCP53号端口，规避基于TCP的所有网络攻击；,项目方案,智能DNS功能实现举例,前端缓存及后端缓存TTL值的双级智能处理；将二级缓存TTL值设置一定的时间差值，由于时间差的存在，完全规避了在用户发起DNS请求时进行DNS迭代查询的可行性，大大提高

9、DNS解析时延、设备性能及安全性，提高用户感知；,项目方案,智能DNS系统,项目背景,项目目标,项目方案,项目成效,A.,B.,C.,D.,节省互联互通流量,目前北京移动IDC出口带宽为1.66G1.27G2.93G,北京移动IDC已引入17个网站，IDC流控系统数据统计IDC流量中有68为中国移动服务（其中北京移动流量不到2）；通过北京移动IDC和北京CMNET的流控系统统计，在引入镜像网站资源后，用户访问这些网站的流量还有30要流向网外；可以计算，尽管引入了IDC，仅北京一个IDC依然有2.93G683/7=0.85G的出口带宽流向网外；,估计，全国23个IDC中心产生10G以上的可规避的出口带宽，智能DNS能完全将这些流量拉回网内，可节省费用上亿元,项目成效,通过TTL值优化、TC值优化规避了DNS的缓存毒化攻击、基于TCP的网络攻击。缓存查询和迭代查询的隔离更是在技术体制上规避了类似于“电信519重大事故”大面积互联网瘫痪的发生可能性，带来的经济效益和社会效益,不可估量；,安全加固互联网的“神经系统”DNS,智能DNS部署方式,省网独建模式,多省共建模式,项目成效,21,感谢各位领导和专家的聆听欢迎多提宝贵意见！,