當前位置: 首頁 > 解決方案 > 運營商DNS解決方案
易天系列泰策DNS運營商解決方案

DNS在安全、管理、性能和用戶體驗等方面都面臨著嚴峻的挑戰。由于DNS對于業務的重要性,運營商需要慎重面對,以保證正常、高效、安全的通信。
作為業界領先的DNS方案提供商,針對運營商在DNS上所面臨的挑戰,泰策經過多年的研究和開發,推出了全面的應對措施,包括安全防護、輕松管理、性能提升和智能DNS等幾方面。


        DNS承擔著多種職責。對于一個緩存域名服務器,需要從緩存中響應用戶的請求,或者是發起遞歸請求,將結果回復給用戶,并將結果緩存;對于一個授權域名服務器,需要給出其負責的域名與IP的最終對應關系。
        隨著信息技術的不斷發展,DNS系統正面臨著多種挑戰。
        安全
        最近幾年,DNS系統暴露出的安全問題層出不窮。
        2008年US-CERT發布的DNS 800113緩存投毒漏洞,導致了全球近一半DNS服務器的軟件升級,2009年7月底被披露的Bind9的高危漏洞,影響也波及全球數萬臺域名解析服務器。2009年12月,Twitter的DNS遭受了攻擊,并造成約一個小時的服務中斷。巴西一家最大銀行Bandesco,在2009年4月遭受了DNS緩存病毒攻擊,受到影響的用戶會被重定向至一個假冒的銀行網站,該假冒網站試圖竊取用戶密碼并安裝惡意軟件。
        在國內,2009年的“519”事件,造成多家運營商的DNS服務受到嚴重影響,百度等知名的互聯網公司也曾由于DNS的攻擊造成了嚴重后果。
        管理
        DNS的管理問題主要體現在兩個方面。
        首先,是配置管理。很多DNS服務器沒有一個圖形化的管理界面,而且DNS 協議和DNS配置的句法是比較復雜的。很簡單的一些問題,比如缺少了分號、數字被調換了、不正確的斷句以及一些其他的句法錯誤就能使得DNS的服務中止。甚至那些很熟練的管理員也會在保持DNS正常運行上碰到很多問題,由于DNS的配置錯誤而導致的問題也層出不窮。
        其次,是系統監控。由于DNS服務的重要性,所以對DNS系統的運行狀態進行全面、及時的了解,對于保持DNS系統的正常運行非常必要,這包括您有多少臺DNS服務器;您的DNS用的是什么系統、什么版本;您的DNS系統的負載情況怎么樣等。
        性能
        DNS的性能,主要通過每秒能夠響應的請求數QPS來表征。
        由于網絡規模的日益擴大和應用(包括個人應用和企業應用)種類越來越多,DNS的性能要求也越來越高。有研究表明,大約每6個月,DNS的QPS都會翻一番。
        此外,隨著IPv6的采用和未來DNSSEC的引入,還將導致對DNS系統性能要求的進一步提高。 
        用戶體驗
        由于網間互通問題或者網絡本身的延遲,用戶在訪問其它網絡或區域的服務器時的體驗不如訪問本網或本區域的服務器體驗好。
但是,DNS系統在收到用戶對于某個域名的請求后,在該用戶的網內或區域內有該域名的資源時,卻不能保證用戶一定訪問的是該網內或區域內的資源,而是經常將該用戶指向了其它資源。
        所以,需要從技術上確保用戶可以獲得最好的訪問體驗。

        DNS在安全、管理、性能和用戶體驗等方面都面臨著嚴峻的挑戰。由于DNS對于業務的重要性,運營商需要慎重面對,以保證正常、高效、安全的通信。
作為業界領先的DNS方案提供商,針對運營商在DNS上所面臨的挑戰,泰策經過多年的研究和開發,推出了全面的應對措施,包括安全防護、輕松管理、性能提升和智能DNS等幾方面。
       安全防護
       針對DNS的安全問題,我們有多重防護措施。
       DDoS攻擊是DNS遭受最多的攻擊種類,我們提供多種過濾和限速策略,確保各種異常的請求包,不會影響正常的DNS解析,比如DNS節點整體請求限速;按請求域名、源IP請求限速;異常請求包(如偽造成53端口的請求包)的直接丟棄;異常回復包的直接丟棄(杠桿攻擊)等。我們專門的基于多核的硬件架構的安全防護產品Protector,在高性能的安全防護的基礎上,可提供全面的一般性DDoS攻擊防護和深入的DNS的攻擊防護。
       其次,針對域名授權數據的安全,我們提供重點域名的監測功能,這包括對相關域名的資源記錄進行監測,同時定義重點域名對應的可信IP地址群(經過人工校驗后確認的IP地址)。當從重點域名的授權域名服務器返回的數據有變化的時候,且變化后的IP地址不在可信IP地址群中,或者變化后的IP地址不包含可信IP地址群中的IP,則產生告警。
       另外,對于緩存投毒,我們的措施有:
       >隱藏遞歸IP
       >隨機遞歸端口:理論上提供216隨機端口
       >隨機遞歸ID:ID號可達216
       >采用0x20+技術:這給遞歸請求增加了更多的隨機性
       計算表明,如果要使我們DNS系統緩存中毒,需要在2秒內發送4萬多億個攻擊包,這在理論上是幾乎不可能完成的。
       最后,DNS服務器在做遞歸請求時,需要占用更多的資源,所以DNS服務軟件能夠支持的并發遞歸數有限。這樣黑客就會利用發送大量的遞歸請求來耗盡DNS服務器的遞歸資源,導致正常的DNS遞歸解析失敗,這比傳統的DNS DDoS攻擊的難度要小很多。為了應對這種攻擊,我們的DNS產品特別設計了一套遞歸淘汰機制,該機制可在遞歸資源幾乎都被占用時,通過遞歸淘汰算法判斷出可能是黑客發出的攻擊遞歸請求,并釋放這些遞歸資源。
       輕松管理
       對于配置管理,我們提供全面的圖形化配置界面,涵蓋了緩存和授權DNS所需要的各種功能。同時,我們還支持在多臺DNS服務器之間的配置同步,這避免了在重復操作中可能因人的主觀原因造成的錯誤。


       對于系統監控,我們采集DNS服務器的CPU利用率、RAM利用率、QPS、請求成功率、請求延遲等多種系統健康性指標,并且通過圖形化界面,直觀地展現出來。并且在相關指標超出預設閥值時,產生各種形式的告警。


       我們的管理系統,同時支持各種報表導出和SNMP等。
       性能提升
       作為DNS服務器的一個關鍵指標,性能一直以來都是DNS用戶和DNS廠商非常關注的問題。經過多年的技術積累和研究開發,泰策DNS服務器的性能得到了大幅提升。
首先,我們對DNS服務器的緩存存儲和應答算法進行了梳理和優化。其次,我們采用了零拷貝技術,極大地提高了數據包的處理效率。最后,我們還采用了多核和多CPU優化技術,從而可以更好地利用基礎硬件的升級給性能帶來的提升空間。
       目前,在雙CPU4核的PC服務器上,我們的DNS服務器的緩存性能可達四十萬QPS,遠遠超出業界正常水平,是目前世界上性能最高的DNS服務器軟件。
       智能DNS
       為了更好地提高用戶體驗,我們提供完整的智能DNS功能。
       首先是授權域名服務器的智能DNS功能。如果域名在多個網絡中或不同區域中都有對應的服務器,當有來自不同網絡或不同區域的請求時,授權域名服務器返回該網絡或該區域中服務器群的IP地址,從而可以避免跨網絡或跨地域訪問。
       其次是遞歸域名服務器的智能DNS功能。如果授權域名服務器不具備智能DNS功能,也就是不能根據請求的來源有區別地回復不同的結果。而是將多個對應的請求結果(如IP地址),回復給遞歸域名服務器,而用戶則會在這些結果中隨機訪問。 
       泰策的遞歸域名服務器具備遞歸結果篩選的功能,當授權回復的地址中有本網或本區域的IP地址時,則優先將該IP地址回復給用戶。

       為了更好地服務用戶,結合DNS的功能特點和用戶的業務需求,我們推出了多個基于DNS的增強功能。
       用戶保護
       近年來,網絡病毒泛濫,網絡詐騙也層出不窮,對互聯網用戶造成了極大的威脅,比如垃圾郵件、掛馬網站、僵尸網絡、釣魚網站等。通過與業界領先廠商的合作,泰策DNS系統可及時地更新最新發現的有威脅的或者是與威脅相關的域名,當用戶訪問這些域名時,系統可產生相關提示,從而保護用戶。
       對于有著敏感信息的用戶,比如政府、軍隊、金融等單位,該功能不僅可以保護用戶,還可避免敏感信息泄露所造成的不可估量的損失。
       業務負載均衡和容災
       對關鍵業務進行負載均衡和異地容災等,是用戶經常考慮的問題。傳統的方案都是采用四層交換機(L4)和全局服務器負載均衡設備(GSLB)來實現的。實際上,基于DNS完全可以實現相關功能要求。
       泰策的業務負載均衡和容災方案,完全基于DNS,結合對應用服務器的可用性監測和靈活的流量分配策略(事先預置權重或根據服務器負載情況等動態調整權重),可幫用戶輕松實現業務負載均衡和容災等要求,而且與采用L4和GSLB相比,實施極為簡單,并且節省大量成本。
       上網行為管理
       互聯網的內容越來越豐富,2008年谷歌(Google)的檢測數據表明,互聯網上獨立頁面的數量超過了1萬億個,而且每天新增加數十億個網頁。很多員工利用上班時間進行炒股、玩游戲、看視頻、網絡聊天等等,影響了單位的工作風氣,降低了工作效率,而且占用了網絡帶寬,因此進行上網行為管理是非常必要的。
       業界有很多對于流量、內容的上網行為管理方案,這些產品都是基于硬件的。在提供精細的內容識別的功能的同時,也帶來諸如成本高、部署不方便的缺點,而且,基于應用的方案還需要克服HTTP加密、端口變化等技術問題。
       基于全面的URL庫和DNS服務器,泰策的上網行為管理功能,為用戶提供了一種配置靈活、部署簡單、成本低廉的選擇,而且不影響正常的DNS解析性能。
       用戶行為分析
       實際上,由于絕大多數應用都需要通過DNS,通過DNS可以清晰地了解誰在什么時間訪問了什么域名,所以DNS還是一個很好的用戶行為分析的數據源。泰策高性能、全面的分析系統除了進行用戶行為分析外,還具備安全分析功能,可以發現用戶的異常訪問情況,從而提前排除隱患。
 
 
 
 
腾讯麻将官网下载 天津快乐十分一定牛 云南时时平台 3d走势图表 北京时时放假 湖北30选5开奖 北京pk计划qq 快乐十分缩水软件app 天津快乐十分复式投注 内蒙古时时走势图经 河南福彩快三玩法介绍 十分快乐开奖结果 吉林时时历史开奖号码 宝马娱乐官方网址 大星排列5走势图 贵州快三20180511040 排三万能七码走势图