运营商智能DNS系统

1 成果上报申请书 成果名称 运营商智能 DNS 系统 成果申报单位 北京公司 成果 承担 部门 /分 公司 网络部、网运中心 项目负责人姓名 项目负责人联系电话 和 Email 项目参与人姓名 白爱军 成果专业类别 * 数据网络 所属专业部门 * 网络线条 成果研究类别 * 新产品开发 省内评审结果 * 优秀 关键词索引（ 3 5个） 运营商 智能 DNS IDC 应用投资 80 万元 产品版权归属单位 北京移动 对企业现有标准规范的符合度： 项目成果符合企业现有的标准规范。 如果该成果来源于研 发项目，请填写研发项目的年度、名称和类型（类型包括：集团重点研发项目、集团联合研发项目、省公司重点研发项目、其他研发项目），可填写多个： 集团 2010 年联合研发项目，成果内容均由北京公司独立承担完成。 成果简介： 简要描述成果目的和意义，解决的问题，取得的社会和经济效益。 随着中国移动数据业务的大力发展，网内 IDC 资源不足的问题越发突出，然而在中国移动引入部分 IDC 资源后我们发现， 尽管 中国移动引入 了 IDC 资源，部分中国移动用户不能访问中国移动 引入的这些 IDC 资源，反而还去访问在电信联通网内的相同资源，其 本质问题是 DNS 技术体制的问题，同时，我们发现由于 DNS 技术架构的问题，运营商 DNS 服务器解析效率 低 、安全性差 （电信 5.19 DNS 重大 电信 故障就是由于 DNS 架构不合理 所 导致） ； 另外， 由于 运营商 DNS完全是一个通道，其解析结果完全受 ICP 的授权 DNS 服务器“控制”，降低了其解析效率和性能 。 北京公司通过详细分析传统 DNS 技术体制的不足结合中国移动数据业务发展的实际需求，在体系架构、解析流程 、个性化功能 等多层面 对传统 DNS 技术 的架构和 体制 进行优化完善， 形成了整套的技术方案并成功开发了一套运营商智能 DNS 系统，系统即将上线运行，相关成果已 2 申请四项国家专利（两项已通过集团评审、另外两项专利正在集团评审中）， 依托该系统正在撰写运营商智能 DNS 技术规范。 该系统能够实现本网用户访问本网 IDC 资源的智能导向控制，并通过多种手段提升系统的解析效率及安全性，大大提高了用户感知 ，其主要功能如下： 优化系统架构： 现网 DNS 服务器升级为前端 DNS 服务模块，处理缓存查询；后端智能DNS 服务器处理迭代查询及其它优化功能 ； IDC 资源定位精确性： DNS 递归查询结果经 智能 DNS 处理后，可准确定位至用户归属 ISP的内部 IDC 资源 ，解析结果不再受 ICP 及其它授权域名服务器控制； 优化解析流程，提升 DNS 解析效率： 优化解析流程，由 智能 DNS 代理 前端 DNS 完成递归查询功能，并对递归查询结果的 TTL 位及 TC 位进行优化改写； 智能 DNS 仅完成缓存查询及本域查询功能； 安全性提升： 前端 DNS 关闭 TCP 查询功能，规避基于 TCP 的网络攻击； TTL 值的优化改写，规避缓存毒化的网络攻击； 前端 DNS/智能 DNS 上启用对源地址的限制功能，规避了其它运营商用户的网络攻击；有条件地启用 DNSsec 功能； 启用 ANYCAST： 前端多点 DNS 服务器启用 anycast 的负载均衡方式，并统一将迭代查询forward 给后端智能 DNS 服务器； 域名封堵及增值功能： 实现不良信息网站域名的封堵；能够实现将错误域名访问、不良信息网站访问解析至预配置页面（广告页面等）；同时利用此功能，可满足预制域名功能； 省内试运行效果： 描述成果引入后在本省试运行方案、取得的效果、推广价值和建议等。 本系统的部署非常简单， 如下图所示，仅需将现网 DNS 服务器关闭迭代查询功能，将需要迭代查询的域名 forward 给后端智能 DNS 服务器即可，智能 DNS 服务器下挂在 CMNET 网络上，前端 DNS服务器与智 能 DNS服务器之间的通信通过 CMNET 的 IGP协议进行联通。 由后端智能 DNS服务器完成 递归查询 及其它优化功能。 3 C M NE T 北京城域网四层交换机（内置防火墙）望京节点菜市口节点四层交换机（内置防火墙）T D NST D NSS - D NS仅需现有 D N S进行数据配置新增仅需现有 D N S进行数据配置本系统的开发完全是中国移动自主知识产权，相关成果已申请四项国家专利（两项已通过集团评审、另外两项专利正在集团评审中），依托该系统正在撰写运营商智能 DNS 技术规范。 本系统的推广价值极高，通过部署能够解决现网 IDC 资源定位差、系统架构不合理、安全性差及解析效率低等诸多不足， 改善用户感知 ，提高 DNS 系统本身性能 。 外省对该系统的引入不需要 每省部署一个智能 DNS 系统，可以多个省共用一个智能 DNS 后端服务器实现，大大降低投资成本。 文章主体（ 3000 字以上，可附在表格后）： 根据成果研究类别，主体内容的要求有差异，具体要求见表格后的“填写说明 6”。 4 一项目 背景 1 DNS 在互联网访问中的作用 DNS 解析是用户访问互联网的第一步，将用户需要访问的网站域名翻译为响应的服务器 IP 地址，为用户与网站服务器的连接进行导航， DNS 解析结果的合理性本质决定用户访问网页的感知 。 一般用户在浏览器输 入域名 时 ，本地 DNS 系统 会 根据 不同类型 域名 对应 三种不同的解析策略： 本域查询：若是 查询 本地域名，会直接返回网站服务器的 IP 地址，比如北京移动接入用户访问北京移动网站时，由于北京移动网站是归属 于 北京移动本地 DNS 服务器解析，北京移动本地 DNS 服务器会直接把北京移动网站的 IP 地址返回给用户； 缓存查询：若是 查询 非本地域名，但在 DNS 服务器的缓存中有相关域名的解析记录（最近一段时间内，解析过 此 域名的 IP，相关记录保存在缓存中还没有删除）， DNS 服务器会到缓存中提取域名的解析 IP 地址返回给用户； 迭代查询：若是 查询 非本地域名，且需要查询的域名在缓存中也没有相关记录，则通过迭代过程查询该域名对应的 IP 地址，以查询 为例，其迭代查询过程如下： 用户主机将域名查询请求发给本地 DNS 服务器； 本地 DNS 服务器收到请求后在本地域名数据库及缓存中查找，如果查找到相关记录，就将该域名对应的 IP 地址发给用户主机； 若 DNS 服务器在本地域名数据库及缓存中未查询到相关记录，本地 DNS 服务器向自己的根域服务器发出解析请求； 若根域 DNS 服务器无法解析，则返回管理 cn 域的 DNS 服务器的 IP 地址； 本地 DNS 服务器再将请求交给管理 cn 域的 DNS 服务器； 若管理 cn 域的 DNS 服务器无法解析，则返回管理 域的 DNS 服务器的地址； 本地 DNS 服务器再次把请求交给管理 域的 DNS 服务器，管理 域的 DNS 服务器再返回 域名服务器的地址； 最终，本地 DNS 服务器从 域名服务器获得 网站服务器的 IP 地址结果，并将结果返回给接入用户； 2运营商侧的 DNS 系统在数据业务体验中的不足： （ 1） 传统 DNS 系统解析地址不能贴近用户归属运营商网络 5 由于 DNS 技术本身的问题，会导致中国移动引入的 IDC 资源不能被部分中国移动用户访问，并且该 IDC 资源还会被部分联通电信用户访问。 如上图所示，中国移动在引入某些网站的 IDC 资源以后，中国移动用户还会访问在联通和电信网内的这些 IDC 资源。这条访问路径会跨越两个运营商网络，访问路由变长，在其它运营商网络内的路径无 法保障其 QOS，会导致数据丢包、时延抖动增加，严重影响用户感知。 即中国移动在引入 IDC 后希望中国移动用户按照流量 1 的路由访问，但目前中国移动用户还是按照流量 2 的路由访问。 下表 为实际测试数据，表明运营商 A 的接入用户在分别访问新浪网站在运营商 A 的接入服务器和运营商 B 的接入服务器时的数据对比， 从实测数据中可以发现， PING 时延最大相差 100 倍以上，网页总时延及网页总速度相差 2 倍，在网页访问成功率上也有一定差距。 表 1：中国移动接入用户访问 ICP 资源的不同路由的指标对比 发生这种现象的本质原因 是 尽管中国移动引入了 IDC，但 ICP 的授权 DNS 服务器反馈监测点 指标 运营商 A 接入的新浪资源 运营商 B 接入的新浪资源运营商 A 的接入用户站点 IP 221.179.180 .83 218.30.108. 63ping 最大时延 ( ms) 4 423ping 最小时延 ( ms) 4 246ping 平均时延 ( ms) 4 269ping 抖动 ( ms) 0 0ping 丢包率 (%) 0% 0%内嵌完成百分比 100% 99%网页总时延 ( ms) 8 7 8 2 1 6 5 3 6网页总速度 ( 字节 /s) 4 2 6 1 8 2 4 2 5 0访问成功率 (%) 1 0 0 % 9 5 . 5 0 % 6 给 运营商 DNS 服务器的域名解析 IP 地址依旧是在电信联通网内的网站 IP 地址，也就是说运营商 DNS 服务器 还完全是一个通道，尽管引入了 IDC 资源，但中国移动用户是否能访问到本网内的 IDC 资源还由 ICP 决定。 （ 2） 传统 DNS 服务器系统安全行差 传统 DNS 服务器的安全性主要体现在两个方面 : 一时容易收到缓存攻击，攻击者会冒充 ICP 的 DNS 授权服务器给运营商 DNS 服务器发虚假的 DNS 响应报文，并篡改报文中的 A 记录和 TTL 时间，把用户请求正常域名劫持到一个非法网站上并将 TTL 值修改为一个极大 的时间，使得在相当长一段时间内 ,运营商服务范围的所有用户都会被劫持到非法网站，这种方式目前只能通过手工的缓存清除方式进行解决； 另外一个安全问题， DNS 应用是基于 TCP 和 UDP 的 53 号端口，用户首先基于 UDP的 53 号端口进行访问，在访问失败后会启动 TCP 的 DNS 请求，然而，针对 DNS的攻击有基于 UDP 的 DDOS 和基于 TCP 的 DDOS，系统大部分时间不利用 TCP 进行DNS 的应用，确为基于 TCP 的 DDOS 攻击打开了攻击的大门。 （ 3）传统 DNS 服务器的解析效率低 传统 DNS 服务器的解析效率低主要体现在三 个方面 : 首先是传统的 DNS 服务器是将本域查询与迭代查询 在一个物理实体上实现 。缓存查询占整个 DNS 解析量的 80以上，解析时延一般为毫秒级，时延相对较短；迭代查询量不到整个 DNS 解析量的 20，解析时延一般为秒级，时延相对较长。当不足分析二：现有 IS P - D NS 系统安全性能差I S P D N S 系统其他 D N S 服务器国际顶级 D N S 服务器呵呵，看我怎么干掉你，T C P / U D P 两个手段我都用假冒 D N S 服务器，我来欺骗一下，呵呵 ! 7 DNS 服务器被攻击时，一般针对迭代查询，系统会被迭代查询占用掉所有 系统资源（ CPU 及内存等），使得系统无法再为大量的缓存查询提供服务。逻辑上分开后，即使网络遭受针对迭代查询的攻击，缓存查询不会受到影响。 传统的 DNS 解析流程中，缓存查询及迭代查询在一个物理系统中实现，他们之间的实现逻辑顺序是，当之前 DNS 解析结果的生命周期为 0 时，解析记录在缓存中删除，若再有用户请求该域名，运营商 DNS 发起迭代查询，这个时间一般会比较长（秒级），同时，在迭代查询过程中，若有同样的 DNS 域名请求，运营商 DNS还会发起同样的域名解析请求进行迭代查询。也就是说按照传统流程的解析过程，一方面使得 DNS 解析时延非常大，另外会发生在迭代查询阶段，会同时挂起多个针对同一个域名的解析请求，大大消耗进程资源及系统资源、降低 DNS 解析效率，并容易收到 DNS 攻击流量的控制。 TTL 值不合理导致 DNS 解析效率低下： 部分 DNS 解析报文到达用户本地 DNS 服务器后，其报文生命周期（报文中通过 TTL 值标识）很短，比如 TTL 17 时（甚至部分 DNS 响应报文中 TTL 0），该报文只在缓存中生存 17 秒后就被删除，也就是说， 17 秒之内有用户请求同一个域名解析时，采用缓存查询，当 17 秒之后在有用户请求该域名的解析时，采用迭代查询。 TTL 值偏小，会使得 DNS 系统在短期内重复迭代查询同一个域名的 IP 地址，降低整个 DNS 系统的解析效率。 （ 4）传统 DNS 系统无法对不良域名进行封堵 错误域名 的 解析 量 占总解析量的 14， 大大降低了 DNS 系统的解析效率，传统 DNS服务器无法规避 ，不良信息网站访问如何 通过智能 DNS 系统进行可配置的规避。 二 解决方案 详细 内容 1解决方案详细介绍 通过对传统 DNS 技术架构进行优化， 将传统 DNS 服务器按照功能割裂为前 端 DNS 服务模块 和后端智能 DNS 服务模块，前端 DNS 服务模块负责本地查询和缓存查询，将需要迭代查 询的域名发送给后端智能 DNS 服务模块；后端智能 DNS 服务模块负责迭代查询，并针对迭代查询结果（ ICP 侧 DNS 解析服务器返回的 DNS 解析响应）进行应用层信息改写 A 记录改写，对应用层信息中的所有 A 记录进行查询，将对应 IP 地址是归属运营商的A 记录放在 DNS 响应报文的第一个位置，报文重新封装后返回给前端 DNS 服务模块；若所有 A 记录中均没有归属运营商的 IP 地址，则不作处理直接将迭代查询得到的 DNS 响应报 8 文直接透传给前端 DNS 服务模块。 针对可能存在的为接入用户提供 DNS 服务的 DNS 服务器归属的运营商与接入用户所属的 运营商不一致的情况 ， 前端 DNS 服务模块接收到接入用户的域名解析请求时，将接入用户的 IP 地址与归属运营商的 IP 地址段进行匹配，如果匹配正常执行后续流程，如果不匹配，说明接入用户来自其它运营商的网络，仅为其进行本域查询（比如： DNS 服务器归属运营商的官方网站等等），不执行缓存查询和解析查询。 同时在 后端智能 DNS 服务模块根据需求添加 TTL 值策略改写和 TC 为改写功能： TTL 值改写： 将传统 DNS 优化为前端及后端两级架构并分别在前端模块及后端模块上实现缓存功能，前端缓存及后端缓存的 TTL 值能 够智能修改并将二级缓存的 TTL 值设置一定的时间差值，以保证能对 ICP 返回的不合理 TTL 值进行智能修改，更重要的是，由于时间差的存在，完全规避了在用户发起 DNS 请求时进行 DNS 迭代查询的可行性，大大提高 DNS 解析时延、设备性能及安全性。 TC 位改写：基于 UDP 的 DNS 响应报文超过 512 个字节时 ， DNS 响应报文 只返回前 512个字节 ， 并将 DNS 响应报文中 TC 位为 置位为 1，表示该响应报文是被截断的， 此时 用户会认为该报文不完整，重新基于 TCP 发起 DNS 的请求。通过在后端智能 DNS 服务器上实现响应报文改写功能 对超 长报文只保留 DNS响应报文中前 N个 IP地址的完整信息（ N 为一设定数量， N 小于等于 27 时，能保证字节在 512 以内）； TC 位重置功能 针对于超长的 UDP 响应报文进行 TC 位重置，由“ 1”改为“ 0”，当这个被修改过的响应报文返回给前端 DNS 服务模块后，前端 DNS 服务模块会认为该报文是正常的 DNS 响应报文，运营商D N S服务器缓存查询本域查询迭代查询S IN A域名解析服务器IC PD N S服务器用户传统 D N S 解析流程智能 D N S 系统流程优化架构优化个性化功能用户前端模块缓存查询运营商侧智能 D N S本地查询域名预处理控制管理模块S IN A 域名解析服务器IC P D N S 服务器后端模块迭代查询IP 地址匘配TTL 值策略改写TC 位改写其它策略改写策略库 不良信息网站规避 个性定制化域名服务启用 D N S s e c增强安全性 9 返回给用户后，不再会发起基于 TCP 的连接。通过屏蔽基于 TCP 的 DNS 连接，规避了系统受到基于 TCP 的 DDOS 攻击，提升了系统的抗 DDOS 攻击能力。同时，由于不会再发起TCP 的连接进行域名的重新查询，提高了 DNS 解析效率，降低了 DNS 的解析时延，大大提高了用户访问 ICP 资源的感知。 2 现网部署方式 本系统的部署非常简单，如下图所示，仅需将现网 DNS 服务器关闭迭代查询功能，将需要迭代查询的域名 forward 给后端智能 DNS 服务器即可，智能 DNS 服务器下挂在CMNET 网络上，前端 DNS 服务器与智能 DNS 服务器之间的通信通过 CMNET 的 IGP 协议进行联通。由后端智能 DNS 服务器完成递归查询及其它优化功能。 外省对该系统的引入不需要每省部署一个智能 DNS 系统，可以多个省共用一个智能DNS 后端服务 器实现，大大降低投资成本。 三项目主要创新点 北京公司通过详细分析传统 DNS 技术体制的不足结合中国移动数据业务发展的实际需求，在体系架构、解析流程、个性化功能等多层面对传统 DNS 技术的架构和体制进行优化完善，形成了整套的技术方案并成功开发了一套运营商智能