基于旁路抢答机制的异网DNS管控实践-电信技术.PDF

研究 doi:10.3969/j.issn.1000-1247.2016.01.015 基于旁路抢答机制的异网DNS管控实践 1 2 巫俊峰　沈　瀚 1.中国移动通信集团江苏有限公司 2.中国移动通信集团江苏有限公司无锡分公司 ISP网络存在着一定比例的异网DNS流量，不仅会降低用户上网体验，带来安全风险，而且对中小ISP而言提高 摘要 了流量结算成本。对异网DNS的产生来源、DNS管控技术进行分析后，最终选择基于旁路抢答机制的异网DNS 重定向系统进行部署，该实践为ISP合理管控宽带用户终端发出的DNS请求流量提供参考。 关键词 重定向 DNS管控 DNS劫持 外网DNS 异网DNS现状分析 ● 用户DNS被黑客劫持：黑客利用路由器存在弱口令、 DNS是互联网的入口，DNS请求发生在用户访问互联 安全漏洞、恶意代码等将用户路由器或终端电脑上的DNS篡 网的第一环节，ICP内容资源、CDN等都依赖于DNS的正确 改为黑客所控制的非法DNS。当不知情的用户使用非法DNS 调度才能将用户流量引导到最合适的资源节点。正常情况下 访问网上银行或购物网站等敏感网站时，可能被指向假冒的 用户终端应该使用ISP分配的官方DNS，然而用户终端设置 欺诈网页，造成信息泄露和重大损失。 的DNS由用户自身决定，不处于ISP可控范围。现网流量监 ● 某些互联网产品在出厂时内置了DNS：如各类电视盒 测系统发现ISP网络存在着一定比例的异网DNS流量，配置 子、免费Wi-Fi等设备可能内置了公共DNS。 不合适的异网DNS不仅会降低用户上网体验，带来安全风 以上原因导致了异网DNS的存在，而使用不合理的异 险，对中小ISP而言还提高了流量结算成本。如何选择一种 网DNS进行域名解析，会造成解析时间长、解析成功率降 最优的技术方案，对异网DNS流量进行有效管控，实现资源 低、调度准确性降低等诸多问题，甚至带来安全风险。 调度的优化，是文中重点论述的问题。 1.2 异网DNS的流量占比 1.1 异网DNS来源和影响分析 现网监测数据表明城域网中有10%～15%的DNS递归请 异网DNS流量的主要来源如下。 求去往异网DNS，而异网DNS流量中谷歌DNS又占据着较 ● 策反转网的用户未修改DNS配置：专线用户情况尤 大份额。 为突出，用户由于缺乏专业网管技术人员，转网时只调通网 络，而不重视配置调优，转网后仍使用原运营商的DNS，常 1.3 异网DNS管控目标 常在报障网速慢后才发现DNS配置错误。 逐个通知客户变更DNS是一项棘手而低效的工作，迫 ● 用户自主修改DNS：第三方公众DNS借助网络广泛宣 切需要有一种技术手段，能将流向异网DNS的请求重新引导 传，部分用户盲目迷信网上教程，手工修改路由器或本机的 回ISP官方DNS，实现异网DNS请求的网内解析，达到如下 DNS配置为谷歌DNS 、 114 DNS等公众DNS，造成内 的管控目标： 容资源访问时“舍近求远”，难以实现本网已引入资源的精 ● 对异网DNS（不可信DNS）的解析请求返回ISP官方 准调度。 DNS的最佳解析结果，实现DNS请求100%可管控； ● 用户被动修改DNS：部分互联网公司借助终端软件积 ● 所有操作和处理过程均在