DNS的安全部署与实现

汤剑++胡洪新

摘要：域名解析是互联网的一项基础服务，当DNS受到攻击或不可用时互联网服务将受到影响，分析造成域名解析服务故障的原因，应用负载均衡、服务分流、集中管理、日志分析、访问列表控制等技术，实现DNS的高可用性与安全可控。

关键字： 域名解析；日志分析；访问控制；安全管理

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2015）21-0043-02

Security Deployment and Implementation of DNS

TANG Jian， HU Hong-xin

（Suzhou Vocationai University， Suzhou 215104， China）

Abstract： Domain name resolution is an Internet-based service.When DNS attack or unavailable Internet services will be affected.Analyze the reasons for failure of the DNS.Apply load balancing， service diversion， centralized management， log analysis， access control lists and other technical.To achieve high availability and security of DNS controlled。

Key words： DNS；log analysis；access control；safety management

1现状简述

现阶段大量的信息系统是WEB服务的形式展现，使用者访问都是通过域名来访问，对外开放的信息系统可以直接在外网通过域名直接访问，如果对外的DNS域名解析服务出现故障，当故障时间超过了DNS记录的有效时间，外网域名的解析记录就会清除掉，外网就不能访问到单位的信息系统，内网的信息系统的域名解析信息仅存在于DNS服务器中，如果DNS解析服务故障将导致内网信息系统全部中断，导致有关系统的工作都无法展开。现在的使用环境是内外同用一个服务器，当内网服务突然增长时服务器的性能会下降，当外网的服务量突然增加的时候容易出现故障或当机，导致系统内所有的DNS服务不可用。现在DNS配置有外网的主机解析信息和内网的主机解析信息，外网的主机解析信息用来解析对外开放的主机公网IP信息，通过该接口将信息传递给上层的服务器，内网的主机信息主要用来解析只在内网使用但不对外开放的主机，内网或外网来源引起的主机故障都会影响整个全系统的系统服务。

2 问题分析

恶意访问导致的响应缓慢，当恶意DNS访问请求产生时，首先出现的情况时DNS服务设备的CPU使用率升高，然后会产生大量的日志信息导致磁盘空间占用率迅速上升，进行影响到系统服务的正常缓存空间使用，导致DNS服务响应慢或不可用。恶意攻击导致的服务停止，DNS服务受到来自外网的恶意攻击，系统出现响应故障并伴有DNS记录无法正常解析，大量的无用数据包拦截了正常的DNS解析数据，内外网用户无法得到正常的DNS服务，并且有可能DNS解析记录被恶意修改且被重定向到有恶意软件的网址，导致全网出现访问故障安全威胁漏洞。硬件故障导致的服务停止：DNS的主机出现硬件故障，导致主机无法开机且无法提供服务，因为DNS服务做的操作是进行主机记录的查询及日志信息的写入，这样的操作会经常读写系统硬盘，反复的读写会缩硬件的使用周期，正常情况的DNS解析服务会产生同数量级的日志，当DNS被恶意访问解析的时候会产生大量的无用日志，硬盘读写操作就会成倍增长，由于DNS的数据与日志都存在硬盘中，当日志大量写入导致的硬盘发生硬件错误时，由于系统程序及DNS服务数据都在硬盘，数据读取错误进而导致DNS服务无法工作。

3 改进的方案

对前面的问题进行分析后，总结出部署架构着重关注负载大时的自动化性能调整优化、系统的可靠性、服务的稳定性提升等方面，再综合考虑DNS服务的有效性、高效性、稳定性、安全性、可控性等因素后，整体结构采用主从DNS服务模式、内外DNS服务分离、前端负载均衡、实时分析过滤相结合的方式实现DNS部署，具体为内网使用主从二台DNS服务器，前置负载用来平衡分流主从两台DNS的解析任务，外网DNS服务采用单独的主机部署方式，一台性能监控及日志分析服务器采集各设备的性能信息及日志。

3.1 增加前端的智能负载均衡

通过前端负载设备来保证后端服务的安全与稳定性，按照方案后端部署的主从DNS做为服务端，当其中一个DNS服务器负载较大或性能差时，智能负载设备能够有效的检测到该信息并避开该服务器，保证前端服务的稳定性，部署方式是在内网主从DNS服务器加前端负载均衡服务器部署，出于稳定性要求按服务类型对部分客户端配置定向分流。

acl "internal_ip"{

10.0.0.0/8；

172.16.0.0/12；

192.168.0.0/16；

219.219.160.0/20；}；

include "world_ip.acl"； /*外网服务地址及拒绝服务列表*/

3.2 内外网数据同步

采用上述DNS部署方式存在的问题是内网DNS与外网DNS分别存放二份本域DNS的解析数据，在内网DNS与外网DNS服务器上均存入本域主机的内外网解析信息，采用视图配置方案保证客户端访问时能够得到实际需要的数据，考虑到安全性的问题，数据是内网DNS的数据为基准，为保证外网DNS的安全且可独立配置性，外网DNS服务器不采用从服务器的模式来使用，而单独配置一台DNS设备，数据的准确性是以内网节点为标准，在内网DNS主服务器配置一个定期脚本每分钟周期性检查内网与外网DNS服务器上的本域的域名解析记录文件校验值，一旦发现二台机器上的本域域名解析记录文件不同，内网主DNS通过预设的脚本代码主动发送记录文件到外网DNS服务器，并远程让外网DNS重新载入解析记录文件，进而保证本域记录解析文件的统一性。

3.3 最小化工作负载

内网DNS负载解析的工作量较大，主要包括本单位所有内网域名的解析工作与对其它域名服务的请求转发工作，为了保障DNS服务的稳定，采用主、从二台内网DNS服务器来处理响应请，在负载一般的情况下仅公布从DNS服务器作为服务对象，在出现异常大的请求或故障时通过前端负载均衡设备让内网主DNS加入服务队例进行应急处理。外网DNS的解析工作仅包括单位域名下对外网开放的域名信息解析，其它域的解析采用配置进行了过滤与屏蔽，以最小化的服务项来保障外网DNS的性能可靠。

view "internal"{match-clients{"internal_ip"；}； allow-recursion {any；}；....}

view "world"{ match-clients{"world_ip"；}； allow-recursion {none；}；....}

3.4 实时性能分析与报警

配置并开启每台DNS服务器的SNMP监控数据采集服务，当某台出现故障不能服务时必须及时做出警告响应，用于采集主机CPU、内存、NAMED程序CPU、内存使用比例、网络接口数据流量、系统总的进程数等信息，并在监控主平台下配置好相应的预警条件，当各类数值达到预警条件、DNS不可服务、数据采集失败等情况出现时，监控平台及时发送报警信息提醒工作人员，保证DNS服务在最短的故障时间内被恢复。

3.5 恶意访问的过滤处理

恶意攻击和访问一直是困扰服务正常运行的问题，DNS服务也存在着这类问题，特别在外网DNS服务器上经常会出现些频繁的域名解析请求，该类IP地址发出的域名解析请求经常是一些无效的域名，做这些处理会让DNS浪费掉很多性能，为改善这种局面引入可疑IP名单与黑名单机制来保障服务，名单的获取依赖于DNS服务的查询、解析、安全等日志。

category queries{query_log；}；

category resolver{resolver_log；}；

category security{security_log；}；

在DNS服务器端配置每8小时为记录日志文件的周期，在监控平台服务器上配置每8小时采集最近的DNS服务的日志文件，同时监控平台的日志分析程序分析刚采集的DNS服务的各类日志文件，提取出里面的恶意解析请求信息及来源IP，同时将该IP添加到DNS服务的world_ip.acl的禁止服务IP名单中并归为可疑IP，如果在配置拒绝该IP的DNS解析请求后，该IP还是在频繁的发出访问请求，日志分析程序通过分析DNS服务的安全日志信息可以发现该IP，日志分析程序将该IP将被划入黑名单，同时通过预设脚本把该IP直接划入防火墙的拒绝列表。

4 总结与思考

在使用这种架构的DNS部署后，DNS的服务器的稳定性得到增强，在内网负载较大或出现内部主机中毒后的恶意访问时DNS服务也能正常工作，监控与日志分析平台能够及时发现恶意访问的主机地址并发出预警；在采用最小化服务及恶意访问名单控制后，外网DNS服务器没有出现过服务故障，总体该方案部署的服务提升了稳定及可控性。后期也发现该部署方案涉及的主机设备较多，整体控制管理集中到单台主机效果可能更佳，如何精简部署是后面加强的方向。

参考文献：

[1] 白戈力， 徐超. LVS集群在DNS服务器上的应用与研究[J]. 内蒙古农业大学学报， 2012，33（2）：193-195.

[2] 马斌. 基于189邮箱的DNS服务故障报警方案[J]. 武汉理工大学学报， 2010，32（12）： 140-142.

[3] 王艳歌. 一种基于智能DNS解析及静态地址映射的快速访问策略[J]. 科技通报，2012，28（12）：146-148.

[4] 顾炜江， 徐波. 复杂网络中利用DNS实现快速安全互访[J]. 煤炭技术，2012，31（10） ：230-232.

[5] 杜跃进， 张兆心. 基于用户感知的DNS解析网络性能测量技术[J]. 南京航空航天大学学报，2013，45（1）： 110-115.