1 现状分析
DNS是互联网的入口,DNS请求发生在用户访问互联网的第一环节,ICP内容资源、CDN等都依赖于DNS 的正确调度才能将用户流量引导到最合适的资源节点。正常情况下,用户终端应该使用ISP分配的官方DNS,然而用户终端设置的DNS由用户自身决定,一般情况下不处于ISP可控范围。用户使用异网DNS主要有以下原因[1]。 (1)用户自主修改DNS
第三方公众DNS借助网络广泛宣传,部分用户盲目迷信网络教程,自主手动修改本机或路由器DNS,造成访问内容资源“舍近求远”,难以实现本网资源的精准调度,对运营商本地优质资源造成浪费。
(2)用户被动修改DNS
部分互联网公司借助终端软件推行自己的DNS,用户在不知情的情况下,DNS被一些所谓的“优化”软件修改。
(3)用户DNS被黑客劫持
黑客利用路由器存在弱口令、安全漏洞等将用户路由器或终端上的DNS改为黑客控制的非法DNS。当不知情的用户使用非法DNS访问一些网
宏大自动络筒机了站时可能被指向非法的钓鱼网页,造
成信息泄露和重大损失。
(4)某些网络产品出厂内置DNS
如某些智能电视机、OTT盒子、
免费Wi-Fi等内置了公共DNS。
使用不合理的异网DNS进行域名
解析,会造成解析时间长、解析成功
率降低、调度准确性降低等诸多问题,
甚至带来安全隐患。
逐个通知用户变更DNS设置是
一项低效繁琐而又容易疏漏的工作,
而等待用户报修后再上门修改DNS设
置又较为被动,因此,运营商迫切需
要一种手段,使其能够对用户DNS请
求进行统一管控,将用户异网DNS的
请求重新引导回ISP官方DNS,实现
异网DNS的网内解析。所有操作及处
理过程均在用户无感知且不影响使用
的情况下完成,可实现调度策略的灵
活配置,对具体用户IP、具体DNS、
人脸识别考勤
具体域名配置策略,实现DNS请求
100%的可管可控。
等离子发动机2.2 异网DNS重定向系统原理
异网DNS重定向系统工作原理如
婴儿电动摇篮床图1所示。
(1)用户终端DNS被篡改到异
网DNS,经过城域网出口时,通过在
3ku设备上配置镜像的方式,将DNS流量
牵引到DNS重定向接收模块。
DNS应答到达用户之前,将递归请求
转发到运营商的本地DNS系统去解析,
做微秒级抢答动作(如图1中②所示),
直接返回给用户解析结果。外部DNS
的应答后到,会被用户终端自动抛弃。
(3)系统支持大容量超高速DNS
缓存,动态缓存3000万条以上的DNS
记录,并采用先应答再递归机制,避
免去做DNS递归而导致其他DNS响应
抢先到达。微秒级抢答时间,确保抢
答成功。
(4)系统采用旁路部署方式,系
统软硬件故障不会对原有的DNS系统
及业务造成任何影响。
3 异网DNS重定向系统部署
在无锡分公司的核心层出口交换
机华为12808上,通过流镜像方式对
异网DNS请求数据流(UDP目标53
基于镜像抢答机制的异网DNS重定向系统
在广电宽带中的应用
郭检柟 江苏省广电有线信息网络股份有限公司无锡分公司
摘要:现网流量监测系统发现ISP网络存在着一定比例的异网DNS流量,约占总的DNS请求的20%左右。
使用不合适的异网DNS不仅会降低用户上网体验还会对网络安全产生巨大隐患,部署异网DNS重定向系统可对用
户DNS请求做相应地管控,在提高用户体验的同时又加强了网络运营商对整个网络的管控能力,取得了良好的社
会经济效益。
关键词:异网DNS 重定向 镜像抢答
110《广播电视网络》 2021年第5期 总第377期
111
《广播电视网络》 2021年第5期 总第377期
端口)进行汇聚,将流量复制到DNS 重定向抢答服务器去处理,从而实现DNS 重定向抢答的功能,
进而对宽带用户的DNS 服务进行管理控制。
如图2所示,出口设备的镜像流量直接接入到重定向抢答服务器;重定向抢答服务器与交换机之间连接4条链路,实现业务管理分离。这4条
链路中,1条用来接受12808汇聚的异网DNS 请求数据(eth1);1条用来将分析过滤后需要重定向的异网DNS 请求吐给交换机(eth2);1条用来接受交换机转发的异网DNS 请求和本网DNS 服务器间递归查询,给本网用户发送抢答DNS 报文(eth3);1条用来作为管理链路(eth0)。管理
链路使用独立交换机,业务流量与管理流量相互独立。
系统硬件配置2台通用服务器。其中重定向抢答服务器使用浪潮NF5280;管理服务器使用通用Linux 服务器。系统软件安装信风DNS 重定向软件(信风DNS 加固系统软件V2.1)。
4 测试结果
相同测试环境下,在重定向抢答功能未开启及开启时,对相同域名解析做对比测试,结果如表1所示。
因此,该系统可实现DNS 重定向抢答相关功能,实现用户DNS 请求流量的完全管控。
5 结论
该系统上线后有效规避了有关用户终端DNS 的配置或被软件劫持的相关报修,从相关工程师反馈的报修数据来看,此类故障从之前的月均数十起降低为0。通过监测,上线前后城域网出口的内网流量明显增加。异网DNS 用户的请求访问被系统抢答,原先异网DNS 用户去往外网的流量被正确的引导至公司内网资源,优化用户体验的同时降低了运营商流量结算成本。系统上线后,为用户提供的DNS 服务均在本地内网,经过测试,解析效率有了
明显提升。另外,系统还屏蔽了黑客DNS,降低了用户信息安全风险。
因此,从经济、技术、安全等各方面考虑,该系统对宽带运营商而言具有普遍的现实意义及推广价值。
参考文献
[1]巫俊峰,沈瀚.基于旁路抢答机制的异网DNS 管控实践[J].电信技术,2016(1):64-67+74.RTN
表1 异网DNS 重定向系统测试结果
测试项
重定向抢答功能未开启
重定向抢答功能开启使用本地DNS 解析结果182.61.200.6/7182.61.200.6/7使用8.8.8.8 DNS 解析结果
112.80.248.73/74182.61.200.6/7使用114.114.114.114 DNS 解析结果
61.135.169.121/125
182.61.200.6/7使用错误DNS 解析结果无法解析182.61.200.6/7
本地DNS 解析时间8ms 8ms 8.8.8.8 DNS
解析时间
13ms 8ms 114.114.114.114 DNS 解析时间
32ms 8ms 错误DNS 解析时间
无法解析
8ms
降弓
图1 系统工作原理
图2 系统组网拓扑
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议