基于镜像抢答机制的异网DNS重定向系统在广电宽带中的应用

2024年1月14日发(作者：)

实践应用基于镜像抢答机制的异网DNS重定向系统

在广电宽带中的应用郭检柟 江苏省广电有线信息网络股份有限公司无锡分公司摘要：现网流量监测系统发现ISP网络存在着一定比例的异网DNS流量，约占总的DNS请求的20%左右。使用不合适的异网DNS不仅会降低用户上网体验还会对网络安全产生巨大隐患，部署异网DNS重定向系统可对用户DNS请求做相应地管控，在提高用户体验的同时又加强了网络运营商对整个网络的管控能力，取得了良好的社会经济效益。关键词：异网DNS 重定向 镜像抢答1 现状分析DNS是互联网的入口，DNS请求发生在用户访问互联网的第一环节，ICP内容资源、CDN等都依赖于DNS的正确调度才能将用户流量引导到最合适的资源节点。正常情况下，用户终端应该使用ISP分配的官方DNS，然而用户终端设置的DNS由用户自身用户使用异网DNS主要有以下原因[1]。（1）用户自主修改DNS第三方公众DNS借助网络广泛宣传，部分用户盲目迷信网络教程，自主手动修改本机或路由器DNS，造成访问内容资源“舍近求远”，难以实现本网资源的精准调度，对运营商本地优质资源造成浪费。（2）用户被动修改DNS部分互联网公司借助终端软件推行自己的DNS，用户在不知情的情况下，DNS被一些所谓的“优化”软件修改。（3）用户DNS被黑客劫持黑客利用路由器存在弱口令、安全漏洞等将用户路由器或终端上的DNS改为黑客控制的非法DNS。当不知情的用户使用非法DNS访问一些网站时可能被指向非法的钓鱼网页，造成信息泄露和重大损失。（4）某些网络产品出厂内置DNS如某些智能电视机、OTT盒子、免费Wi-Fi等内置了公共DNS。使用不合理的异网DNS进行域名解析，会造成解析时间长、解析成功率降低、调度准确性降低等诸多问题，2.2 异网DNS重定向系统原理异网DNS重定向系统工作原理如图1所示。（1）用户终端DNS被篡改到异网DNS，经过城域网出口时，通过在设备上配置镜像的方式，将DNS流量牵引到DNS重定向接收模块。（2）重定向抢答模块可在外部DNS应答到达用户之前，将递归请求转发到运营商的本地DNS系统去解析，做微秒级抢答动作（如图1中②所示），直接返回给用户解析结果。外部DNS的应答后到，会被用户终端自动抛弃。（3）系统支持大容量超高速DNS缓存，动态缓存3000万条以上的DNS记录，并采用先应答再递归机制，避免去做DNS递归而导致其他DNS响应抢先到达。微秒级抢答时间，确保抢答成功。（4）系统采用旁路部署方式，系统软硬件故障不会对原有的DNS系统及业务造成任何影响。决定，一般情况下不处于ISP可控范围。甚至带来安全隐患。2 异网DNS重定向技术原理2.1 异网DNS重定向系统管控目标逐个通知用户变更DNS设置是一项低效繁琐而又容易疏漏的工作，而等待用户报修后再上门修改DNS设置又较为被动，因此，运营商迫切需要一种手段，使其能够对用户DNS请求进行统一管控，将用户异网DNS的请求重新引导回ISP官方DNS，实现异网DNS的网内解析。所有操作及处理过程均在用户无感知且不影响使用的情况下完成，可实现调度策略的灵活配置，对具体用户IP、具体DNS、具体域名配置策略，实现DNS请求100%的可管可控。3 异网DNS重定向系统部署在无锡分公司的核心层出口交换机华为12808上，通过流镜像方式对异网DNS请求数据流（UDP目标53110《广播电视网络》 2021年第5期 总第377期

《广播电视网络》 2021年第5期 总第377期端口）进行汇聚，将流量复制到DNS链路中，1条用来接受12808汇聚的重定向抢答服务器去处理，从而实现异网DNS请求数据（eth1）；1条用DNS重定向抢答的功能，进而对宽带来将分析过滤后需要重定向的异网用户的DNS服务进行管理控制。DNS请求吐给交换机（eth2）；1条如图2所示，出口设备的镜像流用来接受交换机转发的异网DNS请求量直接接入到重定向抢答服务器；重和本网DNS服务器间递归查询，给本定向抢答服务器与交换机之间连接4网用户发送抢答DNS报文（eth3）；条链路，实现业务管理分离。这4条1条用来作为管理链路（eth0）。管理图1 系统工作原理图2 系统组网拓扑表1 异网DNS重定向系统测试结果测试项重定向抢答功能未开启重定向抢答功能开启使用本地DNS解析结果182.61.200.6/7182.61.200.6/7使用8.8.8.8 DNS解析结果112.80.248.73/74182.61.200.6/7使用114.114.114.114 DNS解析结果61.135.169.121/125182.61.200.6/7使用错误DNS解析结果无法解析182.61.200.6/7本地DNS解析时间8ms8ms8.8.8.8 DNS解析时间13ms8ms114.114.114.114 DNS解析时间32ms8ms错误DNS解析时间无法解析8ms实践应用链路使用独立交换机，业务流量与管理流量相互独立。系统硬件配置2台通用服务器。其中重定向抢答服务器使用浪潮NF5280；管理服务器使用通用Linux服务器。系统软件安装信风DNS重定向软件（信风DNS加固系统软件V2.1)。4 测试结果相同测试环境下，在重定向抢答功能未开启及开启时，对相同域名解析做对比测试，结果如表1所示。因此，该系统可实现DNS重定向抢答相关功能，实现用户DNS请求流量的完全管控。5 结论该系统上线后有效规避了有关用户终端DNS的配置或被软件劫持的相关报修，从相关工程师反馈的报修数据来看，此类故障从之前的月均数十起降低为0。通过监测，上线前后城域网出口的内网流量明显增加。异网DNS用户的请求访问被系统抢答，原先异网DNS用户去往外网的流量被正确的引导至公司内网资源，优化用户体验的同时降低了运营商流量结算成本。系统上线后，为用户提供的DNS服务均在本地内网，经过测试，解析效率有了明显提升。另外，系统还屏蔽了黑客DNS，降低了用户信息安全风险。因此，从经济、技术、安全等各方面考虑，该系统对宽带运营商而言具有普遍的现实意义及推广价值。参考文献[1]巫俊峰,沈瀚.基于旁路抢答机制的异网DNS管控实践[J].电信技术,2016(1):64-67+111