第27期2018年9月No.27September ,2018
朱红杰,黄俊
(江苏有线南京分公司运维播控中心,江苏南京210001)
摘要:广电网络运营商基于自身网络发展宽带业务是大势所趋,通过大力建设内网资源,从而节约出
口成本,提升用户使用体验。文章介绍了南京广电网络通过DNS 防劫持系统建设,统一使用广电自有DNS 系统,杜绝了全网无序DNS 设置,最大限度地将用户流量留在网内。关键词:广电网络;内网资源;DNS ;防劫持中图分类号:TN91文献标识码:A 江苏科技信息
Jiangsu Science &Technology Information
作者简介:朱红杰(1972—),男,江苏南京人,高级工程师,学士;研究方向:有线电视网络。
引言
在三网融合的大潮中,广电运营商在守住电视业务的同时,利用自身双向化网络的优势,大力发展宽带业务,但是由于广电目前没有独立宽带出口,大量宽带内容受制于传统宽带运营商,因此广电运营商将互联网优质资源引入广电网络内部,进行了大量的宽带业务内网内容建设,提升了用户体验。同时为了保障网内用户访问到内网资源,必须保证使用广电自身的DNS 系统进行目标解析。
但是随着互联网业务日新月异,出于利益驱动,各大客户端软件正在篡改用户终端数据包信息,其中包括篡改DNS 信息,强制将用户上网请求指向特定的DNS 去解析,以达到控制入口流量及商业目的。另外,由于用户使用习惯、终端设备智能化、转网后未修改等原因,用户使用异网DNS 的情况较为普遍[1]。1南京广电宽带业务DNS 防劫持系统建设 以往由于技术手段欠缺,南京广电DNS 系统不具备异网DNS 重定向的处理能力,无法实现对网内用户的DNS 管控,造成用户内容资源访问“舍近求远”、用户体验质量下降明显、流量成本支出大幅上升。 经过前期监测,这些异网DNS 稳定性很差,服务质量不可靠,对用户上网造成一定影响。另外,这种篡改DNS 行为会使用户上网绕开运营商DNS 系统的监管,网络安全隐患巨大,若不加以扼制,运营商对整个网络运营的控制力度会逐渐丧失。基于这样的情况,需要具备统一规划统一部署DNS 的手段,以保证网络的安全、稳定、高效。1.1项目简介
DNS 作为互联网宽带业务重要的基础服务,在网
站运行和维护中起着至关重要的作用。关注DNS 的安
全,关系着互联网的未来,关系着广电宽带业务发展。
本次项目部署异网DNS 重定向功能,旨在解决用户使用异网DNS 带来的一系列问题,实现对用户DNS 请求100%管控,将异网DNS 请求引导至网内解析。通过该系统,能真正掌控DNS 解析的主导权,可以使网内的资源得到最大化地利用,减少出网流量,降低网间结算费用,减少响应时延,解决了异网DNS 问题,提高了本网率,也提升了用户体验。
该系统由DNS Cache 和DNS 保护两个关联的模块及管理模块构成,将原有DNS 系统的服务性能和抵御针对DNS 的DOS 和DDOS 攻击性能大大提升,从而大幅提高现有DNS 系统的可用性和可靠性。1.2系统架构设计
系统采用旁路的模式部署重定向服务器,不影响现网环境[2]。在南京广电网络的核心层出口设备40E_A 及40E_B 上,通过流镜像方式对异网DNS 请求数据流,涵盖UDP 目标53端口进行汇聚,将流量复制到DNS 重定向服务器去处理,来实现DNS 重定向的功能(见图1)。具体为: (1)出口设备出来的两条镜像端口接入三层交换机G1/0/4、G1/0/29口,再将其镜像汇聚到G1/0/28
口输出,接入重定向服务器。
(2)重定向服务器与交换机之间连接4条链路,实现业务管理分离。一条用来接受采集交换机汇聚的DNS 请求数据;一条用来将分析过滤后需要重定向的异网DNS 请求吐给交换机;一条用来接受交换机转发的异网DNS 请求和本网DNS 服务器间递归查询、给本网用户发送抢答DNS 报文;一条用来作为管
理链路。
(3)管理服务器接入一条链路到交换机,交换机单独划分一个vlan 用来作为管理网段,接入专门的管理网络。
经过部署相关DNS 重定向功能后达到的目标:一是监测南京广电DNS 被篡改用户TOP 值;二是给相关用户提供安全、可靠的DNS 服务;三是将原先这部分被旁路的DNS 解析错误请求重新引导至南京广电DNS ;四是提升内网资源利用率,改善用户体验度。
标志107
牌位架2系统功能介绍及技术创新点2.1系统功能介绍
(1)基本功能。在出口链路上采集异网DNS 流量,根据用户的请求内容给用户回复伪造应答报文。由于重定向服务器所在位置物理链路路径较异网DNS 服务器近,重定向服务器发送的伪造报文先于异网DNS 服务器回应答报文到达用户端。
(2)性能指标。业务应答性能:100万QPS ;DDoS 攻击处理性能:100万QPS ;应答成功率>99%;处理平均时延<0.1毫秒;设备最大域名缓存容量3000万。
(3)源地址白名单功能。可以通过配置开启丢弃省外DNS 请求功能,然后将白名单用户IP 地址段加入省内地区地址段中,实现源地址白名单功能。
(4)目标地址白名单功能。在服务器ipforward 模块中将不劫持的目标DNS 地址加入,过滤该段地址,实现目标地址白名单。
(5)取消Nxdomain 纠错。重定向系统没有Nxdomain
纠错,也不需要Nxdomain 纠错。
(6)解析失败域名旁路功能。重定向服务器在解析用户请求时,当解析某个域名解析失败,服务器不会向用户发送伪造报文,用户只会得到异网DNS 服务器应答的报文。
食品罐(7)特定域名控制策略。当一些特定域名需要封堵或者指向特定的IP 时,可以添加代应答域名管理,例如某个钓鱼网站想要封堵,可以将该域名代应答到127.0.0.1。
(8)泛域名DDoS 自动防御。当某个异网DNS 遭受泛域名DDoS 攻击时,重定向服务器也会收到该攻击的报文,重定向服务器会自动丢弃攻击报文,不将这些请求转发给本网dns 服务器,从而避免服本网DNS 系统被殃及。
(9)非递归请求处理。DNS 重定向系统不应答非递归请求,例如某个公司自己内部搭建了一套DNS 递归服务器,该公司的递归服务器向外网迭代查询的DNS 请求重定向服务器不应答。
(10)递归总流量限速。通过页面节点通信流量控制开关可以进行设置节点最大DNS 流量,达到流量限速。
(11)完善的统计报表日志功能。多种方式的统计分析:异网DNS 查询量、流量,异网DNS 访问TOP-N 域名(全称域名、泛域名),异网DNS 访问TOP-N 用户(见图2)。
影像处理
2.2系统技术创新点
系统采用先进、成熟的技术手段,针对用户
DNS
图1
电暖水袋组网拓扑
图2DNS 请求TOP-N 统计
Construction of DNS anti hijacking system in broadband network
Zhu Hongjie,Huang Jun
(Jiangsu Broadcasting Cable Information Network Corporation Limited Nanjing Branch,Nanjing 210001,China )Abstract:It is the trend of the times that CATV develop the broadband services based on their broadband network.Through introducing the Intranet resources.It has saved the cost of exports and improved the user experience.In this paper the construct of DNS anti hijacking system in the broadband network is introduced.And the unified CATV owns the DNS system,and eliminates disorderly DNS settings of users in the entire network,to the maximum extent of users traffic in CATV network.
Key words:CATV network;IDC;DNS;anti hijacking
出网设置的报修,转变思维模式,由点及面,处理方式
上积极主动。
(1)从全局入手,100%掌握控制权。随着广电宽带用户数的逐年增加,因DNS 问题导致的报修也是频频发生,呈上升趋势。在上网的过程中,有太多的因素可以影响到DNS ,如PC 的设置、路由器的设置、各厂商客户端软件的设置等。面对此类情况,DNS 重定向系统应运而生,在广电网络核心层进行控制,将异网DNS 的请求引导至广电自身DNS 进行解析,牢牢把握主动权,提升内网利用率,减少DNS 问题报修。
(2)利用率高,针对性强。重定向系统与广电自身的DNS 系统,相辅相成,实现1+1>2的效果,在提升利用率的同时,减轻了原解析服务器的压力;多层次、多节点的策略,加上相应的监控机制,安全可靠;在核心层网络设备上使用流镜像的方式(非端口镜像),只针对异网DNS 的请求报文(UDP53)进行镜像处理[3],过滤了大量冗余的数据流,避免了网络拥塞,极大地提高了效率。
(3)高性能缓存、微秒级抢答。DNS 重定向模块自带缓存功能,缓存命中时,可在外部DNS 应答到达用户之前,做微秒级抢答动作,直接返回给用户解析结果。外部DNS 的应答后到,会被用户终端自动抛弃;在缓存未命中时,设备会将递归请求转发到广电的DNS 系统去解析。系统支持大容量超高速DNS 缓存,动态缓存3000万条以上的DNS 记录,并采用先应答再递归机制,避免去做DNS 递归而导致其他DNS 响应抢先到达;微秒级抢答时间,确保抢答成功。
(4)多维度性能及完善的管控机制,方便现网运营维护。自动处理任何异网DNS 地址流量,不需要人工发现、录入异网DNS 地址。配置灵活,能够对指定异网DNS 地址进行处理或对指定异网DNS 地址不进行处理。
应对外部DNS 服务器地址变更,系统采用递归
DNS 服务IP 地址白名单机制,除此白名单之外的任
自锁器何递归DNS 服务IP ,都被DNS 重定向系统抢答。
(5)特别保障机制。可以对重点域名(中央政府机构、国际国内知名网站、运营商网站等)提供优先保障;可以对重点域名提供区分等级的优先保障;强制解析功能,并可通过Web 配置管理。3系统应用效果
自系统上线以来,通过统计,劫持异网DNS 请求数平均值约600qps 。与正常DNS 解析请求数平均值相较,占比8%。由于将DNS 被篡改的解析请求重新引导至南京广电DNS ,降低了外网请求数,给用户提供了优质的内网资源。经此调整,省数据内容峰值流量由17.8G 持续上升至19G ,峰值内网流量比上升至70.9%,较大程度缓解了出口压力。同时,因使用非广电DNS 而导致的故障类报修数量也大幅减少,明显改善了用户体验,降低了广电宽带的运营成本,提高了宽带竞争力。4结语
本次系统的建设,在关注DNS 安全及效率的前提下,以提升宽带用户体验度、流量引入内网为宗旨。通过对目前主流技术和产品的引进,使宽带业务方面能够有新的突破,无疑是对本身业务的巨大推动,也有效提升了广电宽带业务运维稳定性。参考文献[1]丁彬勇.关于运营商DNS 安全策略的研究[C ].全国信息安全等级保护技术大会,2014.[2]翁源,黄小红,李丹丹,等.基于DNS 的网络多出口流量调度方法[J ].东南大学学报(自然科学版),2017(A01):102-107.[3]寇晓蕤,罗军勇.网络协议分析[M ].北京:机械工业出版社,2009.
(责任编辑王雪芬)
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议