活動(dòng)方案之關(guān)于異網(wǎng)DNS管控方案的對(duì)比分析

關(guān)于異網(wǎng)DNS管控方案的對(duì)比分析摘要：在目前的isp網(wǎng)絡(luò)中，均出現(xiàn)了不同程度的異網(wǎng)dns流量，這給本網(wǎng)絡(luò)的數(shù)據(jù)安全造成了一定的威脅，同時(shí)也降低了本網(wǎng)dns服務(wù)質(zhì)量，造成了dns時(shí)延的上升，最終影響了用戶的體驗(yàn)度，給isp的整張運(yùn)營帶來了不利影響。該文從網(wǎng)絡(luò)信息處理的角度出發(fā)，對(duì)pbr策略路由方式、路由牽引方式和旁路搶答方式這三種常用的dns管控機(jī)制進(jìn)行研究和探討，對(duì)比分析了這些管控機(jī)制的管控策略的優(yōu)缺點(diǎn)，對(duì)提高異網(wǎng)dns管控質(zhì)量起到了一定的參考價(jià)值。關(guān)鍵詞：dns管控；pbr策略路由、路由牽引；旁路搶答1概述域名解析系統(tǒng)dns負(fù)責(zé)為用戶解析域名至lp地址的映射關(guān)系，當(dāng)用戶通過瀏覽器登錄internet時(shí)，往往無法準(zhǔn)確的記住所訪問站點(diǎn)的ip地址，而域名通常簡(jiǎn)單易記，因此對(duì)于絕大多數(shù)的網(wǎng)絡(luò)使用者而言，dns服務(wù)是非常方便且必不可少的，甚至可以將其視為互聯(lián)網(wǎng)的人口，其他的網(wǎng)絡(luò)服務(wù)如icp內(nèi)容資源、cdn等若要能正常運(yùn)轉(zhuǎn)并幫助用戶搜索到最合適的資源站點(diǎn)，其前提就是dns能夠正確反饋回相關(guān)的域名映射。異網(wǎng)dns則是指某個(gè)isp的用戶并未使用本ips所提供的dns服務(wù)，而向其他網(wǎng)絡(luò)中的dns服務(wù)器發(fā)出申請(qǐng)，發(fā)生這種情況的原因是多種多樣的，如病毒或黑客攻擊所致、一些應(yīng)用軟件自動(dòng)設(shè)置所致，但其中最主要原因還是因?yàn)橛脩粼谠O(shè)置dns服務(wù)器的ip地址時(shí)人為選擇了異網(wǎng)提供的服務(wù)器地址。配置不合適的異網(wǎng)dns不僅會(huì)降低用戶上網(wǎng)體驗(yàn)，帶來安全風(fēng)險(xiǎn)，對(duì)中小isp而言還提高了流量結(jié)算成本。因此，從isp的角度出發(fā)，選擇科學(xué)合理的管控機(jī)制，對(duì)異網(wǎng)dns進(jìn)行有效的約束與控制，具有十分重要的現(xiàn)實(shí)意義。2異網(wǎng)dns現(xiàn)狀概述2.1流量來源分析首先從源頭來分析異網(wǎng)dns流量的特點(diǎn)，其主要來源于以下幾種情況：）某些網(wǎng)絡(luò)用戶在改變isp時(shí)沒有更改設(shè)置：這種情況比較普遍，網(wǎng)絡(luò)用戶大多數(shù)不具備對(duì)網(wǎng)絡(luò)進(jìn)行靈活設(shè)置的能力，因此在轉(zhuǎn)網(wǎng)后往往仍然在沿用以前的dns服務(wù)，這就造成異網(wǎng)dns流量，通常在網(wǎng)絡(luò)出現(xiàn)故障后的檢修過程中才能被發(fā)現(xiàn)；）用戶自主修改dns：這種情況往往是由于網(wǎng)絡(luò)用戶收到了第三方公眾dns的宣傳誤導(dǎo)而人為進(jìn)行修改設(shè)置的，這些第三方機(jī)構(gòu)通常利用大規(guī)模的用戶基數(shù)來實(shí)現(xiàn)其商業(yè)目的，如推送廣告等，這顯然會(huì)使得網(wǎng)絡(luò)用戶的dns功能舍近求遠(yuǎn)，性能大大下降；）用戶被動(dòng)修改dns：部分互聯(lián)網(wǎng)公司借助終端軟件積極推行自己的dns，用戶在不知情的情況下，這些軟件一旦被下載運(yùn)行，就會(huì)在后臺(tái)自動(dòng)地將dns地址修改，造成本網(wǎng)絡(luò)dns流量的流失；）用戶dns被黑客劫持：黑客利用路由器存在弱口令、安全漏洞、惡意代碼等將用戶路由器或終端電腦上的dns篡改為黑客所控制的非法dns，而這些dns往往會(huì)將網(wǎng)絡(luò)用戶引導(dǎo)至黑客預(yù)先成立的釣魚網(wǎng)站，從而獲得用戶賬戶的關(guān)鍵信息；）某些網(wǎng)絡(luò)硬件設(shè)備內(nèi)置dns：如各類電視盒子或在公共場(chǎng)合中的免費(fèi)wi-fi等設(shè)備就有可能在出廠時(shí)內(nèi)置了公共。通過以上分析與總結(jié)，可以看出，異網(wǎng)dns流量的出現(xiàn)，原因是多樣的，但造成的結(jié)果都類似，即給用戶帶來訪問時(shí)延增長(zhǎng)、網(wǎng)絡(luò)性能下降、dns服務(wù)成本提高以及數(shù)據(jù)安全性的降低，因此必須通過可靠機(jī)制對(duì)其加以改善。2.2異網(wǎng)dns管控目標(biāo)所謂的異網(wǎng)dns管控，即通過科學(xué)合理的手段，對(duì)異網(wǎng)dns流量進(jìn)行約束控制和壓縮，盡可能地將異網(wǎng)dns請(qǐng)求引導(dǎo)回其所在的isp網(wǎng)絡(luò)，從而保障本網(wǎng)絡(luò)的dns服務(wù)質(zhì)量，現(xiàn)根據(jù)工作實(shí)踐經(jīng)驗(yàn)，將異網(wǎng)dns管控的目標(biāo)總結(jié)如下：）對(duì)異網(wǎng)dns的解析請(qǐng)求返回isp官方dns的最佳解析結(jié)果，即將所有的異網(wǎng)dns請(qǐng)求排除在本網(wǎng)服務(wù)范圍之外；21所有策略的實(shí)施與操作都必須是透明的，即上層用戶無法感知到這些dns重定向的過程，所有環(huán)節(jié)均自動(dòng)完成并能夠自適應(yīng)的進(jìn)行調(diào)整，從而降低dns服務(wù)的使用門檻；）在自動(dòng)調(diào)度之外，還必須提供手動(dòng)調(diào)度功能，以提高調(diào)度機(jī)制的靈活性；）在保障用戶體驗(yàn)度的同時(shí)，盡可能降低運(yùn)營成本。根據(jù)以上的異網(wǎng)dns管控目標(biāo)，目前市面上主流的管控機(jī)制有三種，以下分別對(duì)其優(yōu)缺點(diǎn)進(jìn)行介紹。3異網(wǎng)dns管控技術(shù)對(duì)比分析3.1pbr策略路由方式該機(jī)制需要在isp出口設(shè)備進(jìn)行策略路由的預(yù)先設(shè)定，將53端口流量策略路由至網(wǎng)內(nèi)，指向?qū)ｉT部署的dns重定向系統(tǒng)，該系統(tǒng)向isp官方dns發(fā)起解析請(qǐng)求并獲取到解析結(jié)果，在得到確切的反饋信息后，將結(jié)果傳回給最初發(fā)出申請(qǐng)的網(wǎng)絡(luò)用戶。在此應(yīng)答報(bào)文中，將最初用戶的源地址地址作為目的地址，從而實(shí)現(xiàn)數(shù)據(jù)包的反向流動(dòng)，這些操作全部自動(dòng)進(jìn)行，通過運(yùn)輸層和網(wǎng)絡(luò)層就可解決，因此對(duì)于更高層的應(yīng)用層而言，用戶是無法感知到此過程的進(jìn)行的。該方法的優(yōu)點(diǎn)在于隱蔽性好，覆蓋范圍大，通用性也較強(qiáng)，可以適用于絕大部分的網(wǎng)絡(luò)，且從理論上看，在網(wǎng)絡(luò)性能不發(fā)生突變的前提下，調(diào)度的成功率應(yīng)當(dāng)達(dá)到；其缺點(diǎn)在于算法的復(fù)雜度較高，對(duì)數(shù)據(jù)包的操作環(huán)節(jié)過多，且省網(wǎng)網(wǎng)絡(luò)設(shè)備必須要配置策略路由，這無疑也增加了設(shè)備投資成本。3.2路由牽引方式路由牽引方式首先需要獲知異網(wǎng)dns的ip地址，再通過路由發(fā)布的方式將這些ip指定isp官方，用戶訪問這些特定ip的dns請(qǐng)求將被牽引至運(yùn)商dns，這種方式顯然針對(duì)性極強(qiáng)，在獲知了異網(wǎng)dns服務(wù)器地址的情況下，可實(shí)現(xiàn)流量管控的最優(yōu)化。通過數(shù)據(jù)包的定向轉(zhuǎn)發(fā)，可以較好的節(jié)約網(wǎng)絡(luò)資源，并有效的降低因轉(zhuǎn)發(fā)錯(cuò)誤而導(dǎo)致的數(shù)據(jù)包的丟失現(xiàn)象。從使用角度來看，該方法的主要優(yōu)點(diǎn)在于部署快、成本低，對(duì)現(xiàn)存網(wǎng)絡(luò)的影響最小，且調(diào)控效果好；但其缺點(diǎn)也是很明顯的，即該方法只能適用于已知異網(wǎng)dns的情況，這顯然大大限制了該方案的適用范圍，若為了發(fā)現(xiàn)異網(wǎng)dns服務(wù)器地址而進(jìn)行廣播的話，又會(huì)大大增加網(wǎng)絡(luò)擁塞發(fā)生的概率。3.3旁路搶答方式戶ip，則說明該用戶為合法用戶，則系統(tǒng)放行該申請(qǐng)，否則即認(rèn)定該申請(qǐng)為異網(wǎng)dns申請(qǐng)，此時(shí)將該申請(qǐng)通過forward機(jī)制重新引導(dǎo)回該用戶所所屬的isp網(wǎng)絡(luò)；為了進(jìn)一步提高搜索效率，可在重定向安全裝置中開辟緩存空間用以存儲(chǔ)本網(wǎng)dns的解析