活动方案之关于异网DNS管控方案的对比分析

关于异网DNS管控方案的对比分析摘要：在目前的isp网络中，均出现了不同程度的异网dns流量，这给本网络的数据安全造成了一定的威胁，同时也降低了本网dns服务质量，造成了dns时延的上升，最终影响了用户的体验度，给isp的整张运营带来了不利影响。该文从网络信息处理的角度出发，对pbr策略路由方式、路由牵引方式和旁路抢答方式这三种常用的dns管控机制进行研究和探讨，对比分析了这些管控机制的管控策略的优缺点，对提高异网dns管控质量起到了一定的参考价值。关键词：dns管控；pbr策略路由、路由牵引；旁路抢答1概述域名解析系统dns负责为用户解析域名至lp地址的映射关系，当用户通过浏览器登录internet时，往往无法准确的记住所访问站点的ip地址，而域名通常简单易记，因此对于绝大多数的网络使用者而言，dns服务是非常方便且必不可少的，甚至可以将其视为互联网的人口，其他的网络服务如icp内容资源、cdn等若要能正常运转并帮助用户搜索到最合适的资源站点，其前提就是dns能够正确反馈回相关的域名映射。异网dns则是指某个isp的用户并未使用本ips所提供的dns服务，而向其他网络中的dns服务器发出申请，发生这种情况的原因是多种多样的，如病毒或黑客攻击所致、一些应用软件自动设置所致，但其中最主要原因还是因为用户在设置dns服务器的ip地址时人为选择了异网提供的服务器地址。配置不合适的异网dns不仅会降低用户上网体验，带来安全风险，对中小isp而言还提高了流量结算成本。因此，从isp的角度出发，选择科学合理的管控机制，对异网dns进行有效的约束与控制，具有十分重要的现实意义。2异网dns现状概述2.1流量来源分析首先从源头来分析异网dns流量的特点，其主要来源于以下几种情况：）某些网络用户在改变isp时没有更改设置：这种情况比较普遍，网络用户大多数不具备对网络进行灵活设置的能力，因此在转网后往往仍然在沿用以前的dns服务，这就造成异网dns流量，通常在网络出现故障后的检修过程中才能被发现；）用户自主修改dns：这种情况往往是由于网络用户收到了第三方公众dns的宣传误导而人为进行修改设置的，这些第三方机构通常利用大规模的用户基数来实现其商业目的，如推送广告等，这显然会使得网络用户的dns功能舍近求远，性能大大下降；）用户被动修改dns：部分互联网公司借助终端软件积极推行自己的dns，用户在不知情的情况下，这些软件一旦被下载运行，就会在后台自动地将dns地址修改，造成本网络dns流量的流失；）用户dns被黑客劫持：黑客利用路由器存在弱口令、安全漏洞、恶意代码等将用户路由器或终端电脑上的dns篡改为黑客所控制的非法dns，而这些dns往往会将网络用户引导至黑客预先成立的钓鱼网站，从而获得用户账户的关键信息；）某些网络硬件设备内置dns：如各类电视盒子或在公共场合中的免费wi-fi等设备就有可能在出厂时内置了公共。通过以上分析与总结，可以看出，异网dns流量的出现，原因是多样的，但造成的结果都类似，即给用户带来访问时延增长、网络性能下降、dns服务成本提高以及数据安全性的降低，因此必须通过可靠机制对其加以改善。2.2异网dns管控目标所谓的异网dns管控，即通过科学合理的手段，对异网dns流量进行约束控制和压缩，尽可能地将异网dns请求引导回其所在的isp网络，从而保障本网络的dns服务质量，现根据工作实践经验，将异网dns管控的目标总结如下：）对异网dns的解析请求返回isp官方dns的最佳解析结果，即将所有的异网dns请求排除在本网服务范围之外；21所有策略的实施与操作都必须是透明的，即上层用户无法感知到这些dns重定向的过程，所有环节均自动完成并能够自适应的进行调整，从而降低dns服务的使用门槛；）在自动调度之外，还必须提供手动调度功能，以提高调度机制的灵活性；）在保障用户体验度的同时，尽可能降低运营成本。根据以上的异网dns管控目标，目前市面上主流的管控机制有三种，以下分别对其优缺点进行介绍。3异网dns管控技术对比分析3.1pbr策略路由方式该机制需要在isp出口设备进行策略路由的预先设定，将53端口流量策略路由至网内，指向专门部署的dns重定向系统，该系统向isp官方dns发起解析请求并获取到解析结果，在得到确切的反馈信息后，将结果传回给最初发出申请的网络用户。在此应答报文中，将最初用户的源地址地址作为目的地址，从而实现数据包的反向流动，这些操作全部自动进行，通过运输层和网络层就可解决，因此对于更高层的应用层而言，用户是无法感知到此过程的进行的。该方法的优点在于隐蔽性好，覆盖范围大，通用性也较强，可以适用于绝大部分的网络，且从理论上看，在网络性能不发生突变的前提下，调度的成功率应当达到；其缺点在于算法的复杂度较高，对数据包的操作环节过多，且省网网络设备必须要配置策略路由，这无疑也增加了设备投资成本。3.2路由牵引方式路由牵引方式首先需要获知异网dns的ip地址，再通过路由发布的方式将这些ip指定isp官方，用户访问这些特定ip的dns请求将被牵引至运商dns，这种方式显然针对性极强，在获知了异网dns服务器地址的情况下，可实现流量管控的最优化。通过数据包的定向转发，可以较好的节约网络资源，并有效的降低因转发错误而导致的数据包的丢失现象。从使用角度来看，该方法的主要优点在于部署快、成本低，对现存网络的影响最小，且调控效果好；但其缺点也是很明显的，即该方法只能适用于已知异网dns的情况，这显然大大限制了该方案的适用范围，若为了发现异网dns服务器地址而进行广播的话，又会大大增加网络拥塞发生的概率。3.3旁路抢答方式户ip，则说明该用户为合法用户，则系统放行该申请，否则即认定该申请为异网dns申请，此时将该申请通过forward机制重新引导回该用户所所属的isp网络；为了进一步提高搜索效率，可在重定向安全装置中开辟缓存空间用以存储本网dns的解析