杜小飞
摘要:在目前的ISP网络中,均出现了不同程度的异网DNS流量,这给本网络的数据安全造成了一定的威胁,同时也降低了本网DNS服务质量,造成了DNS时延的上升,最终影响了用户的体验度,给ISP的整张运营带来了不利影响。该文从网络信息处理的角度出发,对PBR策略路由方式、路由牵引方式和旁路抢答方式这三种常用的DNS管控机制进行研究和探讨,对比分析了这些管控机制的管控策略的优缺点,对提高异网DNS管控质量起到了一定的参考价值。
关键词:DNS管控;PBR策略路由、路由牵引;旁路抢答
1概述
域名解析系统DNS负责为用户解析域名至lP地址的映射关系,当用户通过浏览器登录Internet时,往往无法准确的记住所访问站点的IP地址,而域名通常简单易记,因此对于绝大多数的网络使用者而言,DNS服务是非常方便且必不可少的,甚至可以将其视为互联网的人口,其他的网络服务如ICP内容资源、CDN等若要能正常运转并帮助用户搜索到最合适的资源站点,其前提就是DNS能够正确反馈回相关的域名映射。
异网DNS则是指某个ISP的用户并未使用本IPS所提供的DNS服务,而向其他网络中的DNS服务器发出申请,发生这种情况的原因是多种多样的,如病毒或黑客攻击所致、一些应用软件自动设置所致,但其中最主要原因还是因为用户在设置DNS服务器的IP地址时人为选择了异网提供的服务器地址。配置不合适的异网DNS不仅会降低用户上网体验,带来安全风险,对中小ISP而言还提高了流量结算成本。因此,从ISP的角度出发,选择科学合理的管控机制,对异网DNS进行有效的约束与控制,具有十分重要的现实意义。
2异网DNS现状概述
2.1流量来源分析
首先从源头来分析异网DNS流量的特点,其主要来源于以下几种情况:
1)某些网络用户在改变ISP时没有更改设置:这种情况比较普遍,网络用户大多数不具备对网络进行灵活设置的能力,因此在转网后往往仍然在沿用以前的DNS服务,这就造成异网DNS流量,通常在网络出现故障后的检修过程中才能被发现;
2)用户自主修改DNS:这种情況往往是由于网络用户收到了第三方公众DNS的宣传误导而人为进行修改设置的,这些第三方机构通常利用大规模的用户基数来实现其商业目的,如推送广告等,这显然会使得网络用户的DNS功能舍近求远,性能大大下降;
3)用户被动修改DNS:部分互联网公司借助终端软件积极推行自己的DNS,用户在不知情的情况下,这些软件一旦被下载运行,就会在后台自动地将DNS地址修改,造成本网络DNS流量的流失;
4)用户DNS被黑客劫持:黑客利用路由器存在弱口令、安全漏洞、恶意代码等将用户路由器或终端电脑上的DNS篡改为黑客所控制的非法DNS,而这些DNS往往会将网络用户引导至黑客预先成立的钓鱼网站,从而获得用户账户的关键信息;
5)某些网络硬件设备内置DNS:如各类电视盒子或在公共场合中的免费Wi-Fi等设备就有可能在出厂时内置了公共DNS。
通过以上分析与总结,可以看出,异网DNS流量的出现,原因是多样的,但造成的结果都类似,即给用户带来访问时延增长、网络性能下降、DNS服务成本提高以及数据安全性的降低,因此必须通过可靠机制对其加以改善。
2.2异网DNS管控目标
所谓的异网DNS管控,即通过科学合理的手段,对异网DNS流量进行约束控制和压缩,尽可能地将异网DNS请求引导回其所在的ISP网络,从而保障本网络的DNS服务质量,现根据工作实践经验,将异网DNS管控的目标总结如下:
1)对异网DNS的解析请求返回ISP官方DNS的最佳解析结果,即将所有的异网DNS请求排除在本网服务范围之外;
21所有策略的实施与操作都必须是透明的,即上层用户无法感知到这些DNS重定向的过程,所有环节均自动完成并能够自适应的进行调整,从而降低DNS服务的使用门槛;
3)在自动调度之外,还必须提供手动调度功能,以提高调度机制的灵活性;
4)在保障用户体验度的同时,尽可能降低运营成本。
根据以上的异网DNS管控目标,目前市面上主流的管控机制有三种,以下分别对其优缺点进行介绍。
3异网DNS管控技术对比分析
3.1PBR策略路由方式
该机制需要在ISP出口设备进行策略路由的预先设定,将53端口流量策略路由至网内,指向专门部署的DNS重定向系统,该系统向ISP官方DNS发起解析请求并获取到解析结果,在得到确切的反馈信息后,将结果传回给最初发出申请的网络用户。在此应答报文中,将最初用户的源地址地址作为目的地址,从而实现数据包的反向流动,这些操作全部自动进行,通过运输层和网络层就可解决,因此对于更高层的应用层而言,用户是无法感知到此过程的进行的。该方法的优点在于隐蔽性好,覆盖范围大,通用性也较强,可以适用于绝大部分的网络,且从理论上看,在网络性能不发生突变的前提下,调度的成功率应当达到100%;其缺点在于算法的复杂度较高,对数据包的操作环节过多,且省网网络设备必须要配置策略路由,这无疑也增加了设备投资成本。
3.2路由牵引方式
路由牵引方式首先需要获知异网DNS的IP地址,再通过路由发布的方式将这些IP指定ISP官方DNS,用户访问这些特定IP的DNS请求将被牵引至运商DNS,这种方式显然针对性极强,在获知了异网DNS服务器地址的情况下,可实现流量管控的最优化。通过数据包的定向转发,可以较好的节约网络资源,并有效的降低因转发错误而导致的数据包的丢失现象。从使用角度来看,该方法的主要优点在于部署快、成本低,对现存网络的影响最小,且调控效果好;但其缺点也是很明显的,即该方法只能适用于已知异网DNS的情况,这显然大大限制了该方案的适用范围,若为了发现异网DNS服务器地址而进行广播的话,又会大大增加网络拥塞发生的概率。
3.3旁路抢答方式
通过分光镜像方式采集53端口的DNS请求给重定向系统,针对流向异网DNS的递归请求,由DNS重定向系统伪装异网DNS,以抢先应答方式返回本地DNS的网内解析结果,这是目前使用较多的一种异网DNS管控机制,其具体原理如图1所示,在ISP出口通过镜像或分光方式采集DNS请求,送给重定向安全装置,由该装置从DNS报文中提取服务器地址,针对用户终端发出的DNS请求报文进行解析,根据存放在DNS服务器内的合法用户表进行查询,若在该表中搜索道了用户IP,则说明该用户为合法用户,则系统放行该申请,否则即认定该申请为异网DNS申请,此时将该申请通过Forward机制重新引导回该用户所所属的ISP网络;为了进一步提高搜索效率,可在重定向安全装置中开辟缓存空间用以存储本网DNS的解析结果。当接受用户申请时,首先在该缓存中进行快速查找,若能够查到相应的结果,则可实现微秒级响应。该机制的优点较为突出,可适用于任何情况下的异网DNS流量控制场合,且本身不存在单点故障这一常见的问题;缺点则是需要投资购买新的DNS重定向安全装置,隐蔽性稍差。
4结束语
基于DNS旁路抢答的异网DNS重定向系统,可让ISP合理管控域网宽带用户终端发出的DNS请求流量,使用合法DNS以抢先应答的方式代替非可信DNS来回复用户解析请求,规避黑客DNS给用户带来的安全风险,有效提升了流量调度系统的准确性,降低了运营商的流量结算成本。相信随着信息技术的不断发展,针对异网DNS管控领域的研究成果会不断涌现,但ISP管理者必须根据自身运营的实际状况进行合理的技术选型,才能确保为本网络用户提供高效可靠的DNS解析服务。