提升互聯(lián)網(wǎng)安全性能的DNS加強(qiáng)系統(tǒng)研究

【摘 要】DNS作為互聯(lián)網(wǎng)的基礎(chǔ)服務(wù)，其安全性、穩(wěn)定性具有舉足輕重的地位。本文主要分析現(xiàn)有DNS系統(tǒng)存在的安全問題，以及傳統(tǒng)DNS加強(qiáng)方案的不足，提出能夠有效提升互聯(lián)網(wǎng)安全性能的DNS加強(qiáng)系統(tǒng)解決方案。

【關(guān)鍵詞】DNS 安全 加強(qiáng)系統(tǒng)

一、背景

DNS（Domain Name System）系統(tǒng)是一種多層次的分布式數(shù)據(jù)庫系統(tǒng)，其基本功能是提供易于記憶的域名和不易記憶、但技術(shù)上真正使用的IP地址之間的映射，便于用戶或網(wǎng)絡(luò)應(yīng)用訪問網(wǎng)絡(luò)資源。DNS采用客戶端/服務(wù)器方式工作，在服務(wù)器中存放域名信息，允許客戶端訪問所需的數(shù)據(jù)。

由于網(wǎng)頁瀏覽、電子郵件、即時(shí)通訊、網(wǎng)絡(luò)游戲等各種互聯(lián)網(wǎng)服務(wù)都依賴于DNS實(shí)現(xiàn)，一旦DNS出現(xiàn)故障，將導(dǎo)致大量互聯(lián)網(wǎng)應(yīng)用無法正常使用，DNS故障基本等同于網(wǎng)絡(luò)中斷。因此，DNS作為互聯(lián)網(wǎng)的基礎(chǔ)服務(wù)，其安全問題具有舉足輕重的地位，域名解析的準(zhǔn)確程度和響應(yīng)速度對網(wǎng)絡(luò)服務(wù)質(zhì)量都具有重要影響。

近年來，與DNS相關(guān)的安全事件越來越多，影響也越來越大。而傳統(tǒng)的DNS加強(qiáng)方案提高系統(tǒng)安全性的能力有限，且建設(shè)、維護(hù)成本都較高，能耗較大，提高DNS系統(tǒng)安全性的性價(jià)比較低。正是基于DNS系統(tǒng)安全的重要性和存在的問題，2010年2月工業(yè)和信息化部以政府公告的形式，要求基礎(chǔ)電信運(yùn)營商及相關(guān)單位對DNS系統(tǒng)進(jìn)行加強(qiáng)。因此，亟需有效提升DNS系統(tǒng)安全可靠性的解決方案。

二、現(xiàn)有DNS系統(tǒng)存在的主要問題

（一）建設(shè)、運(yùn)維成本高，可擴(kuò)展性差

隨著互聯(lián)網(wǎng)應(yīng)用的不斷發(fā)展和寬帶的快速普及，DNS系統(tǒng)的規(guī)模越來越大，網(wǎng)絡(luò)結(jié)構(gòu)也越來越復(fù)雜。從過去的集中式部署逐步發(fā)展為分布式部署，從單機(jī)逐漸演進(jìn)成多機(jī)負(fù)載分擔(dān)的方式。之前，DNS系統(tǒng)能力的提升只能通過服務(wù)器數(shù)量的增加方式來實(shí)現(xiàn)。服務(wù)器數(shù)量的大量增加一方面導(dǎo)致擴(kuò)容投資增長，另一方面造成管理困難，運(yùn)行維護(hù)成本上升。

（二）缺陷、漏洞多，防攻擊能力差

由于DNS在設(shè)計(jì)之初并沒有考慮安全問題，層次化的樹狀結(jié)構(gòu)中通往每個(gè)節(jié)點(diǎn)的路徑都是唯一的。任何一個(gè)節(jié)點(diǎn)出現(xiàn)問題，都將造成其子節(jié)點(diǎn)不可達(dá)。原理本身的局限性導(dǎo)致了DNS防范攻擊的能力較弱。同時(shí)，由于目前應(yīng)用最為廣泛的DNS服務(wù)軟件—Bind是開放式的免費(fèi)系統(tǒng)。Bind在提供高效服務(wù)的同時(shí)也存在較多安全漏洞，并且漏洞修復(fù)的及時(shí)性難以得到保證。DNS的關(guān)鍵地位也使它成為網(wǎng)絡(luò)攻擊的顯著目標(biāo)，加之攻擊防御能力較弱，因此拒絕服務(wù)攻擊、緩沖區(qū)中毒、域名劫持等各種針對漏洞的攻擊方法對DNS造成嚴(yán)重威脅。

三、傳統(tǒng)DNS加強(qiáng)方案存在的缺陷

由于DNS系統(tǒng)的重要性和脆弱性，近年來各互聯(lián)網(wǎng)運(yùn)營商一直致力于DNS系統(tǒng)的加強(qiáng)和防護(hù)。一般通過以下兩種方法實(shí)現(xiàn)：

（一）增強(qiáng)法

增強(qiáng)法是通過在現(xiàn)有DNS系統(tǒng)前增加防火墻、流量清洗等傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備，依據(jù)IP地址、端口、流量等條件限制訪問DNS服務(wù)器數(shù)據(jù)包，過濾掉非DNS請求，在保持現(xiàn)有系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的前提下，達(dá)到加強(qiáng)DNS的效果。但隨著DDOS攻擊方式的出現(xiàn)，僅根據(jù)IP地址、端口已無法區(qū)分出攻擊流量與正常請求。一方面，大量的攻擊流量無法識別，被允許通過，安全設(shè)備形同虛設(shè)。另一方面，大量的攻擊流量導(dǎo)致安全設(shè)備性能嚴(yán)重下降，本身成為影響系統(tǒng)正常服務(wù)的瓶頸。因此，增強(qiáng)法加強(qiáng)系統(tǒng)安全性的能力有限，并且不能提升DNS系統(tǒng)性能。

（二）分擔(dān)法

分擔(dān)法是通過增加四層交換機(jī)或采用Anycast技術(shù)，利用將DNS請求分擔(dān)到多臺(tái)服務(wù)器的方式擴(kuò)展DNS系統(tǒng)。其核心仍然是依靠增加DNS服務(wù)器數(shù)量的方法來提升系統(tǒng)性能，同時(shí)憑借DNS服務(wù)器集群的處理能力淹沒攻擊來提高系統(tǒng)安全性。由于單臺(tái)服務(wù)器的能力有限，隨著網(wǎng)絡(luò)規(guī)模的增長和攻擊流量的增加，服務(wù)器的數(shù)量必將大量增加。因此，分擔(dān)法雖然能夠有效提升DNS系統(tǒng)性能，但建設(shè)、維護(hù)成本都較高，能耗較大，提高DNS系統(tǒng)安全性的性價(jià)比較低。

四、提升互聯(lián)網(wǎng)安全性能的DNS加強(qiáng)系統(tǒng)的主要做法

針對DNS系統(tǒng)存在的問題及傳統(tǒng)DNS加強(qiáng)方案的不足，結(jié)合運(yùn)營商DNS實(shí)際特點(diǎn)，提出了高效的DNS加強(qiáng)系統(tǒng)解決方案：

（一）采用前端部署方式，保持原有DNS系統(tǒng)結(jié)構(gòu)不變

DNS加強(qiáng)系統(tǒng)采用串行方式部署在原有DNS系統(tǒng)上聯(lián)電路中，對現(xiàn)有系統(tǒng)及用戶透明，對遞歸、非遞歸解析服務(wù)沒有影響，不依賴原有DNS服務(wù)器運(yùn)行的DNS服務(wù)軟件版本。在不改變現(xiàn)有系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的前提下，有效提高系統(tǒng)性能和安全可靠性。

（二）改變DNS系統(tǒng)服務(wù)能力提升模式

針對現(xiàn)有DNS系統(tǒng)依賴增加服務(wù)器數(shù)量提升系統(tǒng)性能，可擴(kuò)展性差的問題，通過部署DNS加強(qiáng)系統(tǒng)，有效提高系統(tǒng)性能。傳統(tǒng)的DNS服務(wù)軟件（Bind），同時(shí)要完成比較復(fù)雜的DNS遞歸功能和相對簡單的DNS緩存應(yīng)答功能，由于DNS服務(wù)軟件都是工作在應(yīng)用層的，因此其性能比較低，單臺(tái)服務(wù)器進(jìn)行緩存應(yīng)答的能力一般不超過4萬次/秒。而DNS加強(qiáng)系統(tǒng)只完成相對簡單的DNS緩存應(yīng)答，它將DNS服務(wù)軟件的遞歸結(jié)果緩存下來，由操作系統(tǒng)內(nèi)核進(jìn)行處理并配合硬件加速，直接響應(yīng)客戶的DNS解析請求，從而可將單臺(tái)服務(wù)器進(jìn)行緩存應(yīng)答的能力提升到80萬次/秒。

依靠增加DNS服務(wù)器的數(shù)量，只能讓DNS服務(wù)能力線性緩慢增加。而通過在現(xiàn)有DNS系統(tǒng)中部署加強(qiáng)系統(tǒng)，可在不改變現(xiàn)有系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的前提下，將服務(wù)能力成倍提高。大量節(jié)省服務(wù)器數(shù)量，一方面大大降低了能耗，符合綠色低碳、節(jié)能減排的政策要求；另一方面大幅降低了擴(kuò)容、建設(shè)成本和人員、管理、維保等維護(hù)成本。

（三）優(yōu)化DNS系統(tǒng)解析響應(yīng)模式

傳統(tǒng)的DNS服務(wù)軟件（Bind）要完成DNS遞歸功能，由于DNS遞歸服務(wù)邏輯復(fù)雜、消耗的資源比較多，因而其可靠性遠(yuǎn)不如僅完成簡單的緩存功能的DNS加強(qiáng)系統(tǒng)。DNS加強(qiáng)系統(tǒng)改變了完全依靠DNS服務(wù)軟件（Bind）響應(yīng)客戶解析請求的模式。通過向DNS服務(wù)軟件（Bind）請求域名信息并將返回結(jié)果緩存下來，利用緩存的域名信息代替DNS服務(wù)軟件（Bind），基于硬件響應(yīng)用戶解析請求。

當(dāng)傳統(tǒng)DNS服務(wù)軟件（Bind）出故障之后，DNS加強(qiáng)系統(tǒng)能以緩存中的內(nèi)容繼續(xù)應(yīng)答客戶的DNS解析請求；當(dāng)用戶域名授權(quán)服務(wù)器出現(xiàn)故障之后，傳統(tǒng)DNS系統(tǒng)無法獲得域名的授權(quán)解析記錄，導(dǎo)致用戶無法正常訪問。而此時(shí)DNS加強(qiáng)系統(tǒng)能夠使用故障前緩存下來的記錄繼續(xù)響應(yīng)用戶解析請求，保證該域名能夠正常訪問。通過DNS加強(qiáng)系統(tǒng)與DNS服務(wù)軟件（Bind）相結(jié)合的模式，提高響應(yīng)速度，改善用戶感知，大幅度提升DNS系統(tǒng)的可用性。

（四）基于DPI的DNS系統(tǒng)攻擊防范技術(shù)

DNS系統(tǒng)本身和傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備（如防火墻）都無法有效防范針對DNS的DOS和DDOS攻擊。當(dāng)攻擊者發(fā)出攻擊IP包時(shí)，由于該IP包完全符合DNS協(xié)議標(biāo)準(zhǔn)，DNS系統(tǒng)本身及傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備沒有任何抵御能力，攻擊者很容易將DNS攻擊癱瘓。實(shí)驗(yàn)中，40Mbps帶寬的攻擊流量導(dǎo)致解析能力為4萬次/秒的傳統(tǒng)DNS系統(tǒng)癱瘓。

DNS加強(qiáng)系統(tǒng)利用DPI技術(shù)，結(jié)合密集計(jì)算，能從攻擊包中準(zhǔn)確識別出攻擊者發(fā)出的“DNS攻擊指紋”。DPI 技術(shù)就是通過對應(yīng)用流中的數(shù)據(jù)報(bào)文內(nèi)容進(jìn)行探測，從而確定數(shù)據(jù)報(bào)文的真正應(yīng)用。因?yàn)榉欠☉?yīng)用可以隱藏端口號，但目前較難以隱藏應(yīng)用層的協(xié)議特征。不同的應(yīng)用都有其特殊的指紋，這些指紋可以是特定的字符串或者特定的Bit 序列。DPI識別技術(shù)通過對業(yè)務(wù)流中特定數(shù)據(jù)報(bào)文中的“指紋”信息的檢測以確定其真實(shí)的內(nèi)容。并且，通過對“指紋”信息的升級，DPI識別技術(shù)可以很方便的進(jìn)行功能擴(kuò)展，實(shí)現(xiàn)對不斷變化內(nèi)容的實(shí)時(shí)檢測。

通過高效準(zhǔn)確的識別攻擊流量，DNS加強(qiáng)系統(tǒng)拋棄不合規(guī)范的DNS請求，實(shí)現(xiàn)限制單位時(shí)間內(nèi)指定寬帶帳號/IP DNS請求總量、限制單位時(shí)間內(nèi)指定域名的DNS請求總量、對指定的域名進(jìn)行特別應(yīng)答等功能，將抵御DOS和DDOS攻擊性能大幅度提升，提高現(xiàn)有DNS系統(tǒng)的健壯性和可靠性。

（五）提高DNS系統(tǒng)數(shù)據(jù)挖掘能力

傳統(tǒng)的DNS服務(wù)軟件（Bind）對解析量以日志文件的方式進(jìn)行記錄，很不直觀，并且當(dāng)DNS解析量增大的時(shí)候，記錄日志工作給系統(tǒng)造成沉重的負(fù)擔(dān)。DNS加強(qiáng)系統(tǒng)直接在內(nèi)存中對DNS解析進(jìn)行統(tǒng)計(jì)后，將統(tǒng)計(jì)結(jié)果直接寫入數(shù)據(jù)庫，降低CPU開銷的同時(shí)實(shí)現(xiàn)更詳細(xì)的分析統(tǒng)計(jì)。通過對域名解析量、解析成功率、解析速度、域名、用戶、時(shí)間等數(shù)據(jù)深度挖掘，多維統(tǒng)計(jì)分析，提供詳細(xì)的報(bào)表，為業(yè)務(wù)發(fā)展提供參考和依據(jù)。

五、實(shí)施效果

通過部署提升互聯(lián)網(wǎng)安全性能的DNS加強(qiáng)系統(tǒng)，大幅提高了DNS系統(tǒng)服務(wù)能力，平均解析響應(yīng)時(shí)延縮短為原來的1/4，平均查詢成功率從90.5%提高到99%，用戶感知明顯改善。同時(shí)，有效加強(qiáng)了系統(tǒng)防攻擊能力，提高了DNS系統(tǒng)安全可靠性，保障了寬帶用戶的服務(wù)質(zhì)量，滿足了網(wǎng)絡(luò)穩(wěn)定、信息安全的迫切需要。

參考文獻(xiàn)：

[1]Saadat Malik.網(wǎng)絡(luò)安全原理與實(shí)踐.人民郵電出版社

[2]Cricket Liu Paul AlbitzDNS與BIND.人民郵電出版社

作者簡介：

王大深，1978年9月，男，山東濟(jì)南，大學(xué)本科，工程師，IP網(wǎng)絡(luò)規(guī)劃、維護(hù)、優(yōu)化方向，中國聯(lián)合網(wǎng)絡(luò)通信有限公司山東省分公司網(wǎng)管中心dashen@sd.cn.net