基于IPv6根鏡像的DNS優(yōu)化方案研究

向九松 劉菁

摘? 要：DNS是國家互聯(lián)網(wǎng)的核心基礎(chǔ)設(shè)施，而根是整個DNS系統(tǒng)的根本，其數(shù)據(jù)的準(zhǔn)確性及響應(yīng)速度直接影響著各類互聯(lián)網(wǎng)應(yīng)用的業(yè)務(wù)感知。通過分析當(dāng)前DNS系統(tǒng)架構(gòu)在解析時延、網(wǎng)絡(luò)安全、可擴(kuò)展性等方面存在的問題，結(jié)合DNS系統(tǒng)IPv6根的發(fā)展現(xiàn)狀和技術(shù)優(yōu)勢，文章提出了基于國內(nèi)IPv6根+本地根鏡像的DNS優(yōu)化思路，并就具體實踐過程中安全、冗余、監(jiān)控等關(guān)鍵要點進(jìn)行闡述。

關(guān)鍵詞：DNS;IPv6根;根鏡像

中圖分類號：TP393.4? ? ? 文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2020）18-0078-03

Abstract：DNS is the core infrastructure of the national internet，and the root is the foundation of the entire DNS system. Its data accuracy and response speed directly affect the business perception of various internet applications. By analyzing the problems of the current DNS system architecture in terms of resolution delay，network security，scalability，etc.，combined with the development status and technical advantages of the IPv6 root of the DNS system，the idea of DNS optimization based on domestic IPv6 root + local root mirroring is proposed. It also elaborates on the key points of safety，redundancy，and monitoring in the specific practice process.

Keywords：DNS;IPv6 root;root mirror

0? 引? 言

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，各類互聯(lián)網(wǎng)應(yīng)用層出不窮，域名服務(wù)系統(tǒng)（DNS，Domain Name System）作為重要樞紐單元之一，其數(shù)據(jù)準(zhǔn)確性及響應(yīng)速度直接影響著互聯(lián)網(wǎng)的業(yè)務(wù)感知。我國在傳統(tǒng)互聯(lián)網(wǎng)領(lǐng)域起步較晚，雖然中國有十幾億手機(jī)和寬帶用戶，但全球13個DNS根節(jié)點全部在國外，中國并不掌握根區(qū)的數(shù)據(jù)內(nèi)容和運行控制能力。IPv6提供了一個改變舊規(guī)則、重新劃定起跑線的機(jī)會。目前中國、美國、日本、俄羅斯等全球16個國家共完成了25臺IPv6根服務(wù)器架設(shè)，其中3臺為主根服務(wù)器，1臺主根服務(wù)器和3臺輔根服務(wù)器部署在中國，打破了我國過去沒有根服務(wù)器的困境。江蘇電信作為省內(nèi)重要的互聯(lián)網(wǎng)基礎(chǔ)服務(wù)提供商，率先同下一代互聯(lián)網(wǎng)國家工程中心在DNS IPv6根領(lǐng)域展開了聯(lián)合探索，此項舉措將為我國進(jìn)一步規(guī)?；渴餓Pv6提供技術(shù)支撐，也為鞏固我國在IPv6技術(shù)研究領(lǐng)域的領(lǐng)先地位貢獻(xiàn)一份力量。

1? 傳統(tǒng)架構(gòu)存在問題

1.1? 時延問題

目前IPv4架構(gòu)下的13個主根均不在中國，即使國內(nèi)有少量根鏡像服務(wù)器，其穩(wěn)定性也不高，這導(dǎo)致傳輸時延會很大，遞歸解析時經(jīng)常會因為解析超時導(dǎo)致解析失敗。另外自暴風(fēng)影音事件以來，以隨機(jī)域名為對象的泛域名攻擊逐漸成為DNS的主要攻擊方式，根服務(wù)器出于自身安全考慮有時也會對遞歸進(jìn)行限速，此舉進(jìn)一步加大了DNS的解析時延，嚴(yán)重時還可能導(dǎo)致遞歸服務(wù)器癱瘓。

1.2? 安全問題

由于我國并不掌握根區(qū)數(shù)據(jù)內(nèi)容及運行控制能力，DNS安全存在如下隱患。

（1）停止服務(wù)：就理論而言，在特殊背景下國外可以通過操控主根使某個國家或頂級域的域名無法訪問，進(jìn)而嚴(yán)重影響互聯(lián)網(wǎng)業(yè)務(wù)的正常開展。

（2）域名劫持：遞歸服務(wù)器向國際根發(fā)送遞歸請求時，中間涉及許多網(wǎng)絡(luò)環(huán)節(jié)，這會給惡意分子可乘之機(jī)，通過域名劫持實現(xiàn)虛假信息的發(fā)布。

（3）信息監(jiān)控和分析：遞歸解析時會攜帶服務(wù)器地址、域名等信息，掌握根服務(wù)器的機(jī)構(gòu)就可以開展針對性的信息監(jiān)控和大數(shù)據(jù)分析，進(jìn)而會對國家安全、信息安全造成威脅。

1.3? 擴(kuò)展性問題

IPv6替代IPv4已成大勢所趨，伴隨著5G、物聯(lián)網(wǎng)等大規(guī)模的推廣，激活的IPv6地址數(shù)量將會數(shù)十倍的增加，解析需求也會劇增，現(xiàn)有的DNS架構(gòu)在傳輸時延、解析效率、單點服務(wù)能力、新功能支持等方面都會成為制約業(yè)務(wù)發(fā)展的瓶頸。

2? IPv6根+根鏡像的技術(shù)優(yōu)勢

為了解決傳統(tǒng)根架構(gòu)上的缺陷，國內(nèi)外技術(shù)專家也進(jìn)行了若干技術(shù)嘗試?；ヂ?lián)網(wǎng)工程任務(wù)組2015年發(fā)布了RFC7706協(xié)議，其原理是根服務(wù)器定時將根區(qū)數(shù)據(jù)同步到本地遞歸服務(wù)器上，遞歸服務(wù)器利用環(huán)回端口運行權(quán)威根服務(wù)，權(quán)威根服務(wù)和遞歸服務(wù)互不干擾，但此方案會存在權(quán)威服務(wù)和遞歸服務(wù)爭奪系統(tǒng)資源的問題。也有方案在RFC7706基礎(chǔ)上進(jìn)行了優(yōu)化，通過設(shè)立IPv4本地根鏡像的方式規(guī)避資源爭奪的問題，但是此方案仍然要依靠國外的根傳輸數(shù)據(jù)，在安全性和可靠性方面仍然存在缺陷。相較于其他方案，IPv6根+本地鏡像的方案具有以下幾點優(yōu)勢。

2.1? 縮短解析時延

通過在本地部署IPv6根鏡像服務(wù)器，IPv6根鏡像服務(wù)器直接向國內(nèi)IPv6根同步數(shù)據(jù)，遞歸服務(wù)器直接向IPv6根鏡像發(fā)送解析請求，傳輸時延和處理時延可以控制在1 ms以內(nèi)。

2.2? 安全可控

IPv6根鏡像就部署在DNS系統(tǒng)內(nèi)部，不會存在遞歸向國際根解析時可能面臨的阻斷、篡改、竊聽等問題，IPv6根國內(nèi)完全可控，且IPv6根鏡像與國內(nèi)IPv6根進(jìn)行數(shù)據(jù)同步過程中可以通過數(shù)據(jù)加密、隧道隔離等手段確保數(shù)據(jù)的安全。

2.3? 可擴(kuò)展性強

IPv6是下一代互聯(lián)網(wǎng)的核心技術(shù)之一，在可擴(kuò)展方面具有原生優(yōu)勢，除了海量地址空間外，擴(kuò)展報文頭的自定義能力為后續(xù)DNS技術(shù)演進(jìn)預(yù)留了無限可能。遞歸和根鏡像服務(wù)器均進(jìn)行了IPv6化改造，它可以更好地支撐互聯(lián)網(wǎng)域名系統(tǒng)安全擴(kuò)展、多語種域名、新頂級域、流分類等新技術(shù)，后續(xù)也可以更加方便地逐步向純IPv6規(guī)模部署演進(jìn)。

2.4? 運營能力強

通過設(shè)置大容量的高速緩存，IPv6根鏡像可以快速響應(yīng)遞歸的請求，避免因遞歸服務(wù)器過度等待或重復(fù)查詢而浪費系統(tǒng)資源，可更好地滿足未來海量IPv6地址的解析請求，還可以根據(jù)運營者的需求實施定制化策略。

3? 實現(xiàn)

3.1? 系統(tǒng)功能概述

為解決遞歸解析時延大、安全性低、可擴(kuò)展性差等問題，需要對系統(tǒng)架構(gòu)和解析流程進(jìn)行優(yōu)化。一個正常的解析流程如下：

第一步：當(dāng)本地的DNS服務(wù)器收到客戶解析請求后，就先查詢本地DNS緩存，如果有該紀(jì)錄項，則高速緩存服務(wù)器就直接將查詢的結(jié)果返回給用戶;

第二步：如果緩存中沒有該紀(jì)錄，則由DNS遞歸服務(wù)器就直接把請求發(fā)給根域名服務(wù)器

第三步：根域名服務(wù)器通常返回自己知道的頂級域名服務(wù)器IP;

第四步：遞歸服務(wù)器再向上一步返回的域名服務(wù)器發(fā)送查詢請求;

第五步：重復(fù)第四步，直到找到正確的紀(jì)錄，并將結(jié)果緩存后返回給用戶。

現(xiàn)在需要對第二和第三步根遞歸查詢的環(huán)節(jié)進(jìn)行優(yōu)化，在DNS系統(tǒng)節(jié)點內(nèi)部署IPv6根鏡像服務(wù)器，根鏡像定時與國內(nèi)IPv6根進(jìn)行數(shù)據(jù)同步，正常情況下遞歸直接向本地根鏡像查詢頂級域的信息;如果根鏡像出現(xiàn)異常，自動切換至IPv6根或者原來的IPv4根，優(yōu)化前后解析對比如圖1所示。

優(yōu)化后的DNS系統(tǒng)將由安全防護(hù)、查詢解析、根區(qū)解析、系統(tǒng)監(jiān)控、系統(tǒng)管理五大功能模塊組成，具體系統(tǒng)架構(gòu)如圖2所示。

3.2? 冗余設(shè)計

IPv6根服務(wù)器的業(yè)務(wù)設(shè)計采用分布式和模塊化的設(shè)計思想，通過BGP+Anycast技術(shù)實現(xiàn)多根+多鏡像分布的部署方式，共同承擔(dān)網(wǎng)絡(luò)中的遞歸解析查詢。節(jié)點內(nèi)部部署多臺本地根鏡像服務(wù)器實現(xiàn)負(fù)載均衡，在根鏡像上部署路由模擬軟件Zebra，在服務(wù)器和交換機(jī)之間啟OSPF路由協(xié)議，每臺服務(wù)器上發(fā)布相同的服務(wù)地址實現(xiàn)節(jié)點內(nèi)業(yè)務(wù)的負(fù)載均衡。

為了確保DNS系統(tǒng)在根區(qū)解析環(huán)節(jié)的穩(wěn)定性，需要在遞歸系統(tǒng)上部署根指向切換程序，實現(xiàn)本地根鏡像、IPv6根服務(wù)器、默認(rèn)國際根服務(wù)器之間的無縫切換。

3.3? 安全設(shè)計

數(shù)據(jù)傳輸?shù)陌踩篒Pv6根節(jié)點與本地IPv6根鏡像之間的根區(qū)文件下發(fā)，采用加密方式（TSIG）傳送，確保根區(qū)數(shù)據(jù)內(nèi)容自主可控。

地址限制：在DNS本地節(jié)點和IPv6國內(nèi)根節(jié)點上均設(shè)置嚴(yán)格的白名單，僅允許特定地址、特定端口進(jìn)行訪問。

根鏡像的安全：利用DBDK、DPI等技術(shù)實現(xiàn)畸形報文過濾、攻擊檢測、緩存限速等功能，確保單臺服務(wù)器抗攻擊能力超過百萬QPS。

3.4? 性能監(jiān)測

根服務(wù)監(jiān)控：通過自動化腳本實現(xiàn)對根服務(wù)的監(jiān)控，包括進(jìn)程、并發(fā)量、同步狀態(tài)等，出現(xiàn)異常情況立即發(fā)出異常報警。

安全監(jiān)控：通過實時監(jiān)控網(wǎng)絡(luò)或服務(wù)器，監(jiān)視分析網(wǎng)絡(luò)和系統(tǒng)的行為，評估數(shù)據(jù)的完整性，自動識別攻擊行為，對異常行為進(jìn)行統(tǒng)計和跟蹤。

網(wǎng)絡(luò)監(jiān)控：實時監(jiān)控承載網(wǎng)絡(luò)的鏈路質(zhì)量和設(shè)備質(zhì)量，實時記錄各類主機(jī)的流量，并設(shè)置突變閾值確保發(fā)生DDOS攻擊時能夠發(fā)現(xiàn)并處理。

業(yè)務(wù)撥測：通過撥測系統(tǒng)分別模擬終端用戶、高速緩存、遞歸服務(wù)器、根鏡像服務(wù)器對下一級服務(wù)器進(jìn)行業(yè)務(wù)撥測，驗證每個業(yè)務(wù)環(huán)節(jié)是否正常。

3.5? 優(yōu)化結(jié)果驗證

對解析數(shù)據(jù)從解析效率、準(zhǔn)確性、冗余性等方面進(jìn)行分析和統(tǒng)計，得到優(yōu)化結(jié)果如下。

IPv6根服務(wù)器在TOP10萬正常域名和TOP10萬異常域名測試中，平均解析速度快于默認(rèn)根，去除網(wǎng)絡(luò)抖動和權(quán)威限制等因素，解析成功率高于默認(rèn)根2%左右。

IPv6根在10 000隨機(jī)TLD域名解析中，域名平均解析速度明顯快于默認(rèn)根差距在100 ms之間，解析成功率高于默認(rèn)根5%左右。

在江蘇電信現(xiàn)網(wǎng)實際部署后，遞歸平均遞歸解析成功率從90.7%提升至95.1%，在無遞歸攻擊的情況下平均遞歸時延下降8%。

IPv6根在單個根服務(wù)器宕機(jī)的情況下，遞歸域名解析結(jié)果正常，IPv6根在故障和恢復(fù)的過程中時可以和默認(rèn)根之間達(dá)到無縫平滑切換。

4? 結(jié)? 論

IPv6根服務(wù)器的規(guī)模推廣，將打破國外互聯(lián)網(wǎng)強國壟斷根服務(wù)器的局面，會對國家信息安全和國家下一代互聯(lián)網(wǎng)發(fā)展產(chǎn)生不可估量的影響。未來網(wǎng)絡(luò)將從傳統(tǒng)的“以網(wǎng)絡(luò)資源為中心”轉(zhuǎn)變?yōu)椤耙詰?yīng)用服務(wù)為中心”，作為互聯(lián)網(wǎng)應(yīng)用的重要樞紐，高效、安全、可控、可編程的智能DNS將在5G云時代發(fā)揮舉足輕重的作用。

參考文獻(xiàn)：

[1] 王相林.IPv6網(wǎng)絡(luò)——基礎(chǔ)、安全、過渡與部署 [M].北京：電子工業(yè)出版社，2015.

[2] 田延偉，李杰，師震宇.IPv6環(huán)境下遞歸DNS系統(tǒng)的安全風(fēng)險與挑戰(zhàn) [C]//公安部網(wǎng)絡(luò)安全保衛(wèi)局.2019互聯(lián)網(wǎng)安全與治理論壇論文集.公安部網(wǎng)絡(luò)安全保衛(wèi)局：《信息網(wǎng)絡(luò)安全》北京編輯部，2019：4.

[3] 延志偉，耿光剛，李洪濤，等.DNS根服務(wù)體系的發(fā)展研究 [J].網(wǎng)絡(luò)與信息安全學(xué)報，2017，3（3）：1-12.

[4] 張宇，夏重達(dá)，方濱興，等.一個自主開放的互聯(lián)網(wǎng)根域名解析體系 [J].信息安全學(xué)報，2017，2（4）：57-69.

[5] 莊天舒，劉文峰，李東.基于區(qū)塊鏈的DNS根域名解析體系 [J].電信科學(xué)，2018，34（3）：17-22.

作者簡介：向九松（1976—），男，漢族，江蘇揚州人，高級工程師，本科，研究方向：IP承載網(wǎng)、DNS;劉菁（1982—），女，漢族，江蘇南京人，工程師，本科，研究方向：IP承載網(wǎng)。