向九松 刘菁
摘 要:DNS是国家互联网的核心基础设施,而根是整个DNS系统的根本,其数据的准确性及响应速度直接影响着各类互联网应用的业务感知。通过分析当前DNS系统架构在解析时延、网络安全、可扩展性等方面存在的问题,结合DNS系统IPv6根的发展现状和技术优势,文章提出了基于国内IPv6根+本地根镜像的DNS优化思路,并就具体实践过程中安全、冗余、监控等关键要点进行阐述。
关键词:DNS;IPv6根;根镜像
中图分类号:TP393.4 文献标识码:A 文章编号:2096-4706(2020)18-0078-03
Abstract:DNS is the core infrastructure of the national internet,and the root is the foundation of the entire DNS system. Its data accuracy and response speed directly affect the business perception of various internet applications. By analyzing the problems of the current DNS system architecture in terms of resolution delay,network security,scalability,etc.,combined with the development status and technical advantages of the IPv6 root of the DNS system,the idea of DNS optimization based on domestic IPv6 root + local root mirroring is proposed. It also elaborates on the key points of safety,redundancy,and monitoring in the specific practice process.
Keywords:DNS;IPv6 root;root mirror
0 引 言
隨着互联网的迅猛发展,各类互联网应用层出不穷,域名服务系统(DNS,Domain Name System)作为重要枢纽单元之一,其数据准确性及响应速度直接影响着互联网的业务感知。我国在传统互联网领域起步较晚,虽然中国有十几亿手机和宽带用户,但全球13个DNS根节点全部在国外,中国并不掌握根区的数据内容和运行控制能力。IPv6提供了一个改变旧规则、重新划定起跑线的机会。目前中国、美国、日本、俄罗斯等全球16个国家共完成了25台IPv6根服务器架设,其中3台为主根服务器,1台主根服务器和3台辅根服务器部署在中国,打破了我国过去没有根服务器的困境。江苏电信作为省内重要的互联网基础服务提供商,率先同下一代互联网国家工程中心在DNS IPv6根领域展开了联合探索,此项举措将为我国进一步规模化部署IPv6提供技术支撑,也为巩固我国在IPv6技术研究领域的领先地位贡献一份力量。
1 传统架构存在问题
1.1 时延问题
目前IPv4架构下的13个主根均不在中国,即使国内有少量根镜像服务器,其稳定性也不高,这导致传输时延会很大,递归解析时经常会因为解析超时导致解析失败。另外自暴风影音事件以来,以随机域名为对象的泛域名攻击逐渐成为DNS的主要攻击方式,根服务器出于自身安全考虑有时也会对递归进行限速,此举进一步加大了DNS的解析时延,严重时还可能导致递归服务器瘫痪。
1.2 安全问题
由于我国并不掌握根区数据内容及运行控制能力,DNS安全存在如下隐患。
(1)停止服务:就理论而言,在特殊背景下国外可以通过操控主根使某个国家或顶级域的域名无法访问,进而严重影响互联网业务的正常开展。
(2)域名劫持:递归服务器向国际根发送递归请求时,中间涉及许多网络环节,这会给恶意分子可乘之机,通过域名劫持实现虚假信息的发布。
(3)信息监控和分析:递归解析时会携带服务器地址、域名等信息,掌握根服务器的机构就可以开展针对性的信息监控和大数据分析,进而会对国家安全、信息安全造成威胁。
1.3 扩展性问题
IPv6替代IPv4已成大势所趋,伴随着5G、物联网等大规模的推广,激活的IPv6地址数量将会数十倍的增加,解析需求也会剧增,现有的DNS架构在传输时延、解析效率、单点服务能力、新功能支持等方面都会成为制约业务发展的瓶颈。
2 IPv6根+根镜像的技术优势
为了解决传统根架构上的缺陷,国内外技术专家也进行了若干技术尝试。互联网工程任务组2015年发布了RFC7706协议,其原理是根服务器定时将根区数据同步到本地递归服务器上,递归服务器利用环回端口运行权威根服务,权威根服务和递归服务互不干扰,但此方案会存在权威服务和递归服务争夺系统资源的问题。也有方案在RFC7706基础上进行了优化,通过设立IPv4本地根镜像的方式规避资源争夺的问题,但是此方案仍然要依靠国外的根传输数据,在安全性和可靠性方面仍然存在缺陷。相较于其他方案,IPv6根+本地镜像的方案具有以下几点优势。
2.1 缩短解析时延
通过在本地部署IPv6根镜像服务器,IPv6根镜像服务器直接向国内IPv6根同步数据,递归服务器直接向IPv6根镜像发送解析请求,传输时延和处理时延可以控制在1 ms以内。
2.2 安全可控
IPv6根镜像就部署在DNS系统内部,不会存在递归向国际根解析时可能面临的阻断、篡改、窃听等问题,IPv6根国内完全可控,且IPv6根镜像与国内IPv6根进行数据同步过程中可以通过数据加密、隧道隔离等手段确保数据的安全。
2.3 可扩展性强
IPv6是下一代互联网的核心技术之一,在可扩展方面具有原生优势,除了海量地址空间外,扩展报文头的自定义能力为后续DNS技术演进预留了无限可能。递归和根镜像服务器均进行了IPv6化改造,它可以更好地支撑互联网域名系统安全扩展、多语种域名、新顶级域、流分类等新技术,后续也可以更加方便地逐步向纯IPv6规模部署演进。
2.4 运营能力强
通过设置大容量的高速缓存,IPv6根镜像可以快速响应递归的请求,避免因递归服务器过度等待或重复查询而浪费系统资源,可更好地满足未来海量IPv6地址的解析请求,还可以根据运营者的需求实施定制化策略。
3 实现
3.1 系统功能概述
为解决递归解析时延大、安全性低、可扩展性差等问题,需要对系统架构和解析流程进行优化。一个正常的解析流程如下:
第一步:当本地的DNS服务器收到客户解析请求后,就先查询本地DNS缓存,如果有该纪录项,则高速缓存服务器就直接将查询的结果返回给用户;
第二步:如果缓存中没有该纪录,则由DNS递归服务器就直接把请求发给根域名服务器
第三步:根域名服务器通常返回自己知道的顶级域名服务器IP;
第四步:递归服务器再向上一步返回的域名服务器发送查询请求;
第五步:重复第四步,直到找到正确的纪录,并将结果缓存后返回给用户。
现在需要对第二和第三步根递归查询的环节进行优化,在DNS系统节点内部署IPv6根镜像服务器,根镜像定时与国内IPv6根进行数据同步,正常情况下递归直接向本地根镜像查询顶级域的信息;如果根镜像出现异常,自动切换至IPv6根或者原来的IPv4根,优化前后解析对比如图1所示。
优化后的DNS系统将由安全防护、查询解析、根区解析、系统监控、系统管理五大功能模块组成,具体系统架构如图2所示。
3.2 冗余设计
IPv6根服务器的业务设计采用分布式和模块化的设计思想,通过BGP+Anycast技术实现多根+多镜像分布的部署方式,共同承担网络中的递归解析查询。节点内部部署多台本地根镜像服务器实现负载均衡,在根镜像上部署路由模拟软件Zebra,在服务器和交换机之间启OSPF路由协议,每台服务器上发布相同的服务地址实现节点内业务的负载均衡。
为了确保DNS系统在根区解析环节的稳定性,需要在递归系统上部署根指向切换程序,实现本地根镜像、IPv6根服务器、默认国际根服务器之间的无缝切换。
3.3 安全设计
数据传输的安全:IPv6根节点与本地IPv6根镜像之间的根区文件下发,采用加密方式(TSIG)传送,确保根区数据内容自主可控。
地址限制:在DNS本地节点和IPv6国内根节点上均设置严格的白名单,仅允许特定地址、特定端口进行访问。
根镜像的安全:利用DBDK、DPI等技术实现畸形报文过滤、攻击检测、缓存限速等功能,确保单台服务器抗攻击能力超过百万QPS。
3.4 性能监测
根服务监控:通过自动化脚本实现对根服务的监控,包括进程、并发量、同步状态等,出现异常情况立即发出异常报警。
安全监控:通过实时监控网络或服务器,监视分析网络和系统的行为,评估数据的完整性,自动识别攻击行为,对异常行为进行统计和跟踪。
网络监控:实时监控承载网络的链路质量和设备质量,实时记录各类主机的流量,并设置突变阈值确保发生DDOS攻击时能够发现并处理。
业务拨测:通过拨测系统分别模拟终端用户、高速缓存、递归服务器、根镜像服务器对下一级服务器进行业务拨测,验证每个业务环节是否正常。
3.5 优化结果验证
对解析数据从解析效率、准确性、冗余性等方面进行分析和统计,得到优化结果如下。
IPv6根服务器在TOP10万正常域名和TOP10万异常域名测试中,平均解析速度快于默认根,去除网络抖动和权威限制等因素,解析成功率高于默认根2%左右。
IPv6根在10 000随机TLD域名解析中,域名平均解析速度明显快于默认根差距在100 ms之间,解析成功率高于默认根5%左右。
在江苏电信现网实际部署后,递归平均递归解析成功率从90.7%提升至95.1%,在无递归攻击的情况下平均递归时延下降8%。
IPv6根在单个根服务器宕机的情况下,递归域名解析结果正常,IPv6根在故障和恢复的过程中时可以和默認根之间达到无缝平滑切换。
4 结 论
IPv6根服务器的规模推广,将打破国外互联网强国垄断根服务器的局面,会对国家信息安全和国家下一代互联网发展产生不可估量的影响。未来网络将从传统的“以网络资源为中心”转变为“以应用服务为中心”,作为互联网应用的重要枢纽,高效、安全、可控、可编程的智能DNS将在5G云时代发挥举足轻重的作用。
参考文献:
[1] 王相林.IPv6网络——基础、安全、过渡与部署 [M].北京:电子工业出版社,2015.
[2] 田延伟,李杰,师震宇.IPv6环境下递归DNS系统的安全风险与挑战 [C]//公安部网络安全保卫局.2019互联网安全与治理论坛论文集.公安部网络安全保卫局:《信息网络安全》北京编辑部,2019:4.
[3] 延志伟,耿光刚,李洪涛,等.DNS根服务体系的发展研究 [J].网络与信息安全学报,2017,3(3):1-12.
[4] 张宇,夏重达,方滨兴,等.一个自主开放的互联网根域名解析体系 [J].信息安全学报,2017,2(4):57-69.
[5] 庄天舒,刘文峰,李东.基于区块链的DNS根域名解析体系 [J].电信科学,2018,34(3):17-22.
作者简介:向九松(1976—),男,汉族,江苏扬州人,高级工程师,本科,研究方向:IP承载网、DNS;刘菁(1982—),女,汉族,江苏南京人,工程师,本科,研究方向:IP承载网。