运营商智能DNS系统.doc

《运营商智能DNS系统.doc》由会员分享，可在线阅读，更多相关《运营商智能DNS系统.doc（10页珍藏版）》请在三一办公上搜索。

1、成果上报申请书成果名称运营商智能DNS系统成果申报单位北京公司成果承担部门/分公司网络部、网运中心项目负责人姓名项目负责人联系电话和Email项目参与人姓名白爱军成果专业类别*数据网络所属专业部门*网络线条成果研究类别*新产品开发省内评审结果*优秀关键词索引（35个）运营商 智能 DNS IDC应用投资80万元产品版权归属单位北京移动对企业现有标准规范的符合度：项目成果符合企业现有的标准规范。如果该成果来源于研发项目，请填写研发项目的年度、名称和类型（类型包括：集团重点研发项目、集团联合研发项目、省公司重点研发项目、其他研发项目），可填写多个：集团2010年联合研发项目，成果内容均由北京公司独

2、立承担完成。成果简介：简要描述成果目的和意义，解决的问题，取得的社会和经济效益。随着中国移动数据业务的大力发展，网内IDC资源不足的问题越发突出，然而在中国移动引入部分IDC资源后我们发现，尽管中国移动引入了IDC资源，部分中国移动用户不能访问中国移动引入的这些IDC资源，反而还去访问在电信联通网内的相同资源，其本质问题是DNS技术体制的问题，同时，我们发现由于DNS技术架构的问题，运营商DNS服务器解析效率低、安全性差（电信5.19 DNS重大电信故障就是由于DNS架构不合理所导致）；另外，由于运营商DNS完全是一个通道，其解析结果完全受ICP的授权DNS服务器“控制”，降低了其解析效率和性

3、能。 北京公司通过详细分析传统DNS技术体制的不足结合中国移动数据业务发展的实际需求，在体系架构、解析流程、个性化功能等多层面对传统DNS技术的架构和体制进行优化完善，形成了整套的技术方案并成功开发了一套运营商智能DNS系统，系统即将上线运行，相关成果已申请四项国家专利（两项已通过集团评审、另外两项专利正在集团评审中），依托该系统正在撰写运营商智能DNS技术规范。该系统能够实现本网用户访问本网IDC资源的智能导向控制，并通过多种手段提升系统的解析效率及安全性，大大提高了用户感知，其主要功能如下：n 优化系统架构：现网DNS服务器升级为前端DNS服务模块，处理缓存查询；后端智能DNS服务器处理迭

4、代查询及其它优化功能；n IDC资源定位精确性：DNS递归查询结果经智能DNS处理后，可准确定位至用户归属ISP的内部IDC资源，解析结果不再受ICP及其它授权域名服务器控制；n 优化解析流程，提升DNS解析效率：优化解析流程，由智能DNS代理前端DNS完成递归查询功能，并对递归查询结果的TTL位及TC位进行优化改写；智能DNS仅完成缓存查询及本域查询功能；n 安全性提升：前端DNS关闭TCP查询功能，规避基于TCP的网络攻击；TTL值的优化改写，规避缓存毒化的网络攻击；前端DNS/智能DNS上启用对源地址的限制功能，规避了其它运营商用户的网络攻击；有条件地启用DNSsec功能；n 启用ANY

5、CAST：前端多点DNS服务器启用anycast的负载均衡方式，并统一将迭代查询forward给后端智能DNS服务器；n 域名封堵及增值功能：实现不良信息网站域名的封堵；能够实现将错误域名访问、不良信息网站访问解析至预配置页面（广告页面等）；同时利用此功能，可满足预制域名功能；省内试运行效果：描述成果引入后在本省试运行方案、取得的效果、推广价值和建议等。本系统的部署非常简单，如下图所示，仅需将现网DNS服务器关闭迭代查询功能，将需要迭代查询的域名forward给后端智能DNS服务器即可，智能DNS服务器下挂在CMNET网络上，前端DNS服务器与智能DNS服务器之间的通信通过CMNET的IGP协

6、议进行联通。由后端智能DNS服务器完成递归查询及其它优化功能。本系统的开发完全是中国移动自主知识产权，相关成果已申请四项国家专利（两项已通过集团评审、另外两项专利正在集团评审中），依托该系统正在撰写运营商智能DNS技术规范。本系统的推广价值极高，通过部署能够解决现网IDC资源定位差、系统架构不合理、安全性差及解析效率低等诸多不足，改善用户感知，提高DNS系统本身性能。外省对该系统的引入不需要每省部署一个智能DNS系统，可以多个省共用一个智能DNS后端服务器实现，大大降低投资成本。文章主体（3000字以上，可附在表格后）：根据成果研究类别，主体内容的要求有差异，具体要求见表格后的“填写说明6”。

7、一项目背景1DNS在互联网访问中的作用DNS解析是用户访问互联网的第一步，将用户需要访问的网站域名翻译为响应的服务器IP地址，为用户与网站服务器的连接进行导航，DNS解析结果的合理性本质决定用户访问网页的感知。 一般用户在浏览器输入域名时，本地DNS系统会根据不同类型域名对应三种不同的解析策略：n 本域查询：若是查询本地域名，会直接返回网站服务器的IP地址，比如北京移动接入用户访问北京移动网站时，由于北京移动网站是归属于北京移动本地DNS服务器解析，北京移动本地DNS服务器会直接把北京移动网站的IP地址返回给用户；n 缓存查询：若是查询非本地域名，但在DNS服务器的缓存中有相关域名的解析记录（

8、最近一段时间内，解析过此域名的IP，相关记录保存在缓存中还没有删除），DNS服务器会到缓存中提取域名的解析IP地址返回给用户；n 迭代查询：若是查询非本地域名，且需要查询的域名在缓存中也没有相关记录，则通过迭代过程查询该域名对应的IP地址，以查询为例，其迭代查询过程如下： 用户主机将域名查询请求发给本地DNS服务器； 本地DNS服务器收到请求后在本地域名数据库及缓存中查找，如果查找到相关记录，就将该域名对应的IP地址发给用户主机； 若DNS服务器在本地域名数据库及缓存中未查询到相关记录，本地DNS服务器向自己的根域服务器发出解析请求； 若根域DNS服务器无法解析，则返回管理cn域的DNS服务器

9、的IP地址； 本地DNS服务器再将请求交给管理cn域的DNS服务器； 若管理cn域的DNS服务器无法解析，则返回管理域的DNS服务器的地址； 本地DNS服务器再次把请求交给管理域的DNS服务器，管理域的DNS服务器再返回域名服务器的地址； 最终，本地DNS服务器从域名服务器获得网站服务器的IP地址结果，并将结果返回给接入用户；2运营商侧的DNS系统在数据业务体验中的不足： （1）传统DNS系统解析地址不能贴近用户归属运营商网络由于DNS技术本身的问题，会导致中国移动引入的IDC资源不能被部分中国移动用户访问，并且该IDC资源还会被部分联通电信用户访问。 如上图所示，中国移动在引入某些网站的ID

10、C资源以后，中国移动用户还会访问在联通和电信网内的这些IDC资源。这条访问路径会跨越两个运营商网络，访问路由变长，在其它运营商网络内的路径无法保障其QOS，会导致数据丢包、时延抖动增加，严重影响用户感知。即中国移动在引入IDC后希望中国移动用户按照流量1的路由访问，但目前中国移动用户还是按照流量2的路由访问。下表为实际测试数据，表明运营商A的接入用户在分别访问新浪网站在运营商A的接入服务器和运营商B的接入服务器时的数据对比，从实测数据中可以发现，PING时延最大相差100倍以上，网页总时延及网页总速度相差2倍，在网页访问成功率上也有一定差距。表1：中国移动接入用户访问ICP资源的不同路由的指标

11、对比发生这种现象的本质原因是尽管中国移动引入了IDC，但ICP的授权DNS服务器反馈给运营商DNS服务器的域名解析IP地址依旧是在电信联通网内的网站IP地址，也就是说运营商DNS服务器还完全是一个通道，尽管引入了IDC资源，但中国移动用户是否能访问到本网内的IDC资源还由ICP决定。（2）传统DNS服务器系统安全行差传统DNS服务器的安全性主要体现在两个方面: 一时容易收到缓存攻击，攻击者会冒充ICP的DNS授权服务器给运营商DNS服务器发虚假的DNS响应报文，并篡改报文中的A记录和TTL时间，把用户请求正常域名劫持到一个非法网站上并将TTL值修改为一个极大的时间，使得在相当长一段时间内,运营

12、商服务范围的所有用户都会被劫持到非法网站，这种方式目前只能通过手工的缓存清除方式进行解决； 另外一个安全问题，DNS应用是基于TCP和UDP的53号端口，用户首先基于UDP的53号端口进行访问，在访问失败后会启动TCP的DNS请求，然而，针对DNS的攻击有基于UDP的DDOS和基于TCP的DDOS，系统大部分时间不利用TCP进行DNS的应用，确为基于TCP的DDOS攻击打开了攻击的大门。（3）传统DNS服务器的解析效率低传统DNS服务器的解析效率低主要体现在三个方面: 首先是传统的DNS服务器是将本域查询与迭代查询在一个物理实体上实现。缓存查询占整个DNS解析量的80以上，解析时延一般为毫秒级

13、，时延相对较短；迭代查询量不到整个DNS解析量的20，解析时延一般为秒级，时延相对较长。当DNS服务器被攻击时，一般针对迭代查询，系统会被迭代查询占用掉所有系统资源（CPU及内存等），使得系统无法再为大量的缓存查询提供服务。逻辑上分开后，即使网络遭受针对迭代查询的攻击，缓存查询不会受到影响。 传统的DNS解析流程中，缓存查询及迭代查询在一个物理系统中实现，他们之间的实现逻辑顺序是，当之前DNS解析结果的生命周期为0时，解析记录在缓存中删除，若再有用户请求该域名，运营商DNS发起迭代查询，这个时间一般会比较长（秒级），同时，在迭代查询过程中，若有同样的DNS域名请求，运营商DNS还会发起同样的域

14、名解析请求进行迭代查询。也就是说按照传统流程的解析过程，一方面使得DNS解析时延非常大，另外会发生在迭代查询阶段，会同时挂起多个针对同一个域名的解析请求，大大消耗进程资源及系统资源、降低DNS解析效率，并容易收到DNS攻击流量的控制。 TTL值不合理导致DNS解析效率低下：部分DNS解析报文到达用户本地DNS服务器后，其报文生命周期（报文中通过TTL值标识）很短，比如TTL17时（甚至部分DNS响应报文中TTL0），该报文只在缓存中生存17秒后就被删除，也就是说，17秒之内有用户请求同一个域名解析时，采用缓存查询，当17秒之后在有用户请求该域名的解析时，采用迭代查询。TTL值偏小，会使得DNS

15、系统在短期内重复迭代查询同一个域名的IP地址，降低整个DNS系统的解析效率。（4）传统DNS系统无法对不良域名进行封堵错误域名的解析量占总解析量的14，大大降低了DNS系统的解析效率，传统DNS服务器无法规避，不良信息网站访问如何通过智能DNS系统进行可配置的规避。 二解决方案详细内容1解决方案详细介绍通过对传统DNS技术架构进行优化，将传统DNS服务器按照功能割裂为前端DNS服务模块和后端智能DNS服务模块，前端DNS服务模块负责本地查询和缓存查询，将需要迭代查询的域名发送给后端智能DNS服务模块；后端智能DNS服务模块负责迭代查询，并针对迭代查询结果（ICP侧DNS解析服务器返回的DNS解

16、析响应）进行应用层信息改写A记录改写，对应用层信息中的所有A记录进行查询，将对应IP地址是归属运营商的A记录放在DNS响应报文的第一个位置，报文重新封装后返回给前端DNS服务模块；若所有A记录中均没有归属运营商的IP地址，则不作处理直接将迭代查询得到的DNS响应报文直接透传给前端DNS服务模块。针对可能存在的为接入用户提供DNS服务的DNS服务器归属的运营商与接入用户所属的运营商不一致的情况，前端DNS服务模块接收到接入用户的域名解析请求时，将接入用户的IP地址与归属运营商的IP地址段进行匹配，如果匹配正常执行后续流程，如果不匹配，说明接入用户来自其它运营商的网络，仅为其进行本域查询（比如：D

17、NS服务器归属运营商的官方网站等等），不执行缓存查询和解析查询。同时在后端智能DNS服务模块根据需求添加TTL值策略改写和TC为改写功能：TTL值改写：将传统DNS优化为前端及后端两级架构并分别在前端模块及后端模块上实现缓存功能，前端缓存及后端缓存的TTL值能够智能修改并将二级缓存的TTL值设置一定的时间差值，以保证能对ICP返回的不合理TTL值进行智能修改，更重要的是，由于时间差的存在，完全规避了在用户发起DNS请求时进行DNS迭代查询的可行性，大大提高DNS解析时延、设备性能及安全性。TC位改写：基于UDP的DNS响应报文超过512个字节时，DNS响应报文只返回前512个字节，并将DNS响

18、应报文中TC位为置位为1，表示该响应报文是被截断的，此时用户会认为该报文不完整，重新基于TCP发起DNS的请求。通过在后端智能DNS服务器上实现响应报文改写功能对超长报文只保留DNS响应报文中前N个IP地址的完整信息（N为一设定数量，N小于等于27时，能保证字节在512以内）；TC位重置功能针对于超长的UDP响应报文进行TC位重置，由“1”改为“0”，当这个被修改过的响应报文返回给前端DNS服务模块后，前端DNS服务模块会认为该报文是正常的DNS响应报文，返回给用户后，不再会发起基于TCP的连接。通过屏蔽基于TCP的DNS连接，规避了系统受到基于TCP的DDOS攻击，提升了系统的抗DDOS攻击

19、能力。同时，由于不会再发起TCP的连接进行域名的重新查询，提高了DNS解析效率，降低了DNS的解析时延，大大提高了用户访问ICP资源的感知。2现网部署方式本系统的部署非常简单，如下图所示，仅需将现网DNS服务器关闭迭代查询功能，将需要迭代查询的域名forward给后端智能DNS服务器即可，智能DNS服务器下挂在CMNET网络上，前端DNS服务器与智能DNS服务器之间的通信通过CMNET的IGP协议进行联通。由后端智能DNS服务器完成递归查询及其它优化功能。外省对该系统的引入不需要每省部署一个智能DNS系统，可以多个省共用一个智能DNS后端服务器实现，大大降低投资成本。三项目主要创新点北京公司通

20、过详细分析传统DNS技术体制的不足结合中国移动数据业务发展的实际需求，在体系架构、解析流程、个性化功能等多层面对传统DNS技术的架构和体制进行优化完善，形成了整套的技术方案并成功开发了一套运营商智能DNS系统。本系统的开发完全是中国移动自主知识产权，相关成果已申请四项国家专利（两项已通过集团评审、另外两项专利正在集团评审中），依托该系统正在撰写运营商智能DNS技术规范。本系统通过部署能够解决现网IDC资源定位差、系统架构不合理、安全性差及解析效率低等诸多不足，改善用户感知，提高DNS系统本身性能。其主要创新点如下：n 优化系统架构：现网DNS服务器升级为前端DNS服务模块，处理缓存查询；后端智

21、能DNS服务器处理迭代查询及其它优化功能；n IDC资源定位精确性：DNS递归查询结果经智能DNS处理后，可准确定位至用户归属ISP的内部IDC资源，解析结果不再受ICP及其它授权域名服务器控制；n 优化解析流程，提升DNS解析效率：优化解析流程，由智能DNS代理前端DNS完成递归查询功能，并对递归查询结果的TTL位及TC位进行优化改写；智能DNS仅完成缓存查询及本域查询功能；n 安全性提升：前端DNS关闭TCP查询功能，规避基于TCP的网络攻击；TTL值的优化改写，规避缓存毒化的网络攻击；前端DNS/智能DNS上启用对源地址的限制功能，规避了其它运营商用户的网络攻击；有条件地启用DNSsec功能；n 启用ANYCAST：前端多点DNS服务器启用anycast的负载均衡方式，并统一将迭代查询forward给后端智能DNS服务器；n 域名封堵及增值功能：实现不良信息网站域名的封堵；能够实现将错误域名访问、不良信息网站访问解析至预配置页面（广告页面等）；同时利用此功能，可满足预制域名功能；