基于IPv4和IPv6双栈协议的DNS缓存及防护系统.ppt
《基于IPv4和IPv6双栈协议的DNS缓存及防护系统.ppt》由会员分享,可在线阅读,更多相关《基于IPv4和IPv6双栈协议的DNS缓存及防护系统.ppt(10页珍藏版)》请在冰点文库上搜索。
![基于IPv4和IPv6双栈协议的DNS缓存及防护系统.ppt](https://file1.bingdoc.com/fileroot1/2023-5/4/e2b5ad9a-4998-4ec3-9d05-a7a845cd4b0a/e2b5ad9a-4998-4ec3-9d05-a7a845cd4b0a1.gif)
基于IPv4和IPv6双栈协议的DNS缓存及防护系统,2016年9月,本专利为进一步满足集团公司DNS组网规范要求,实现DNS满足进一步的业务要求,提升DNS系统的安全性、可靠性和DNS业务服务能力。
本专利由IPv4向IPv6技术过渡,以克服IPv4定义的地址空间不足问题。
应用支持IPv4/IPv6双协议栈下的DNS前置缓存,支IPv4/IPv6双协议栈下的DNS专业安全防护。
本专利通过优化Linux内核并重新编译,使应用运行在内核层,以最大限度发挥硬件性能。
本专利支持智能分区缓存,根据不同的源IP地址将用户解析到最近的目标;根据不同的源IP地址将用户请求指到最优线路的递归服务器进行递归查询。
本专利可以按需要线性扩充DNS缓存和防护能力,系统接入链路可平滑升级至10GE,后续可以用低廉的成本扩充DNS缓存和防护性能。
摘要,系统方法说明,通过优化Linux内核并重新编译,使用应用运行在内核层,以最大限度发挥硬件性能;单节点2条GE链路可提供160万QPS处理能力;单节点2条GE链路可抵御200万PPS以上的攻击。
应用支持IPv4/IPv6双协议栈下的DNS前置缓存,支持IPv4/IPv6双协议栈下的DNS专业安全防护。
支持智能分区缓存,根据不同的源IP地址将用户解析到最近的目标。
可按需要线性扩充DNS缓存和防护能力,系统接入链路可平滑升级至10GE,可低成本扩充DNS缓存和防护性能。
系统方法的使用了Anycast方式,采用ACGS设备,既达到了业务能力和安全防护能力的有效提升,又达到了负载均衡的效果,且节约了两百多万的投资。
系统设计架构如下:
系统方法说明,系统方法说明,系统软件主要分为以下功能模块:
DNS递归功能模块、DNS缓存功能模块、DNS保护功能模块、DNS网管功能模块四个单元构成,如下图所示:
DNS缓存功能模块及DNS保护功能模块由南京信风研发,提供高性能、高可靠DNS缓存及抗DDoS攻击服务;DNS递归功能模块采用目前互联网应用最为广泛的开源BIND实现(BIND由互联网系统协会负责开发与维护,具有高可靠性及稳定性),单条GE电路:
提供80万QPS的服务能力,抵御100万QPSDDOS攻击全省两个节点:
提供240万QPS的服务能力,抵御400万QPSDDOS攻击,系统方法说明,电信运营商骨干,DNS递归功能模块,DNS缓存功能模块,DNS保护功能模块,DNS统计分析模块,TOPN统计:
系统支持按地区、线路提供不同报文类型的域名解析、异常域名解析、DNS查询量和通信流量的5分钟TOPN排名。
DNS查询量统计:
系统支持按线路、域名、宽带账号或IP地址提供不同报文类型的DNS查询量的单日详单数据表和统计图,,DNS查询时延统计:
系统支持按线路和域名提供不同报文类型的时延统计的单日详单数据表和统计图。
流量统计:
系统支持按线路、宽带账号或IP地址提供流量统计的单日详单数据表和统计图。
监测统计功能不影响用户正常DNS解析:
监测统计功能不增加用户DNS解析的时延监测统计功能不修改或干扰DNS请求或应答报文监测统计功能故障不影响用户正常DNS解析,系统方法说明,省内骨干网,DNS递归功能模块,DNS缓存功能模块,减轻BIND负担:
对于TTL未过期的域名请求,缓存系统代应答;,加强DNS系统的可用性:
当BIND软硬件出故障的时候,缓存功能模块可以继续提供DNS服务。
目标:
提供超强的DNS服务能力,减少DNS系统扩容投资,并提供更好的服务;,配合DNS保护模块的工作:
承担DNS保护模块的部分工作(缓存功能从保护功能中拆分出来)。
系统方法说明,省内骨干网,管控触发条件:
当且仅当DNS保护模块发现DNS请求超越了DNS系统的工作能力之后,保护模块对DNS请求进行管控;,源地址请求管控:
分别对每个拨号用户、专线用户等发出的DNS请求进行不同级的控制,对超出部分丢弃;,域名解析管控:
当某个域名超越预先设置的数值时,对超出部分进行丢弃;也可对指定的域名进行代应答;,域名白名单机制/人工干预:
当任何管控措施都无效的情况下,启动4级白名单机制:
保护模块只放行对白名单域名的DNS请求,丢弃任何非白名单内的DNS请求(或进行代应答)。
域名请求/应答DPI审查:
丢弃不符合DNS规范的请求、应答。
省内骨干网,目标:
化解各种意想不到的攻击模式,有效解决DNS系统最薄弱的环节:
递归DNS解析类DDOS攻击,并对DNS投毒进行预警。
DNS递归功能模块,DNS缓存功能模块,DNS保护功能模块,新颖性说明,完成DNS递归、缓存(也可作权威)、保护并提供网管功能;限制省外DNS请求总量;对每个DNS请求进行DPI,抛弃不合规范的DNS请求;按需要限制每个宽带帐号/IP/每个企业用户的DNS请求总量;限制指定帐号/IP的DNS请求总量;按需要限制针对每个域名的请求总量,限制针对指定域名的请求总量;按需要对指定的域名进行特别应答;提供优先保障域名机制,确保重点域名优先得到保障;对DNS的解析/应答进行实时多维统计,统计的维度包括域名解析量、解析成功率、解析速度、域名、用户、节点、时间等,提供多种报表;过滤针对DNS系统的各种DOS和DDOS攻击包(包括递归域名解析攻击包);提供DNS被投毒的预警功能;提供流量经营功能(即NX域名重定向);提供网管接口,告警接口;提供对递归、权威服务器进行域名数据配置、备份及恢复功能;大幅度提升DNS系统的服务性能:
将DNS服务性能提升10到100倍;大幅度加强DNS系统的可用性:
DNS系统本身故障及根域名系统故障时还能继续提供服务;,整个系统不再使用业内传统的专用的负载均衡器架构,而主要由DNS服务功能的相关软件和硬件组成,通过比较性价比和技术成熟度,采用ACGS设备和相应的DNS服务软件组成,使系统达到以下技术特点:
(1)系统采用成熟、合理、先进的技术,缓存与防护性能上已经超过国外先进水平。
(2)通过优化Linux内核并重新编译,使应用运行在内核层,以最大限度发挥硬件性能;单节点可提供160万QPS处理能力;单节点可抵御200万PPS以上的攻击。
扩展性:
创造性说明,城域网,授权,递归,递归,缓存、保护单元,缓存、保护单元,未来改造为10GE链路,缓存、保护单元,缓存、保护单元,未来直接增加前端缓存保护服务器,