11B022 中国移动互联网DNS设备技术规范.docx
《11B022 中国移动互联网DNS设备技术规范.docx》由会员分享,可在线阅读,更多相关《11B022 中国移动互联网DNS设备技术规范.docx(50页珍藏版)》请在冰点文库上搜索。
11B022中国移动互联网DNS设备技术规范
中国移动通信企业标准
QB-B-022-2011
中国移动互联网DNS设备技术规范
TechnicalSpecificationforDomainNameServerofCMNet
版本号:
1.0.0
目 录
前言
本标准对DNS系统需要规定的功能与组网提出要求,是其入网所需要遵从的纲领性技术文件。
本标准主要包括以下几方面内容:
系统结构、服务器功能要求、域名解析流程、网管要求、数据分析及智能挖掘要求、可靠性及扩展性、安全要求、性能要求、特色要求、接口要求、软硬件要求等。
本标准的附录A和B为标准性附录,附录C和D为资料性附录。
本标准由中移技﹝2011﹞363号印发。
本标准由中国移动通信研究院提出,集团公司技术部归口。
本标准起草单位:
中国移动通信研究院
本标准主要起草人:
张娟、王静、任兰芳、胡淑军、周琳琅、樊川、何伟、姜欣等
1.范围
本要求适用于中国移动通信集团公司所属CMNet网络的DNS系统,对包括省网DNS、集团统建DNS等DNS服务器提出相关技术规定,主要面向中国移动WLAN业务、2G/3G/LTE个人业务及家庭宽带业务的域名解析请求,不包括IMSDNS等专用DNS系统。
本标准原则上在中国移动通信集团公司内部使用,用于在相关设备招标选型和工程建设时为集团公司和省公司提供技术依据。
2.规范性引用文件
下列标准所包含的条文,通过在本标准中引用而成为本标准的条文。
本标准出版时,所示版本均为有效。
所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
表2-1规范性引用文件列表
序号
标准编号
标准名称
发布单位
[1]
YD/T2052-2009
域名系统安全防护技术要求
工业和信息化部
[2]
YD/T2053-2009
域名系统安全防护检测要求
工业和信息化部
[3]
YD/T2135-2010
域名系统运行总体技术要求
工业和信息化部
[4]
YD/T2138-2010
域名系统权威服务器运行技术要求
工业和信息化部
[5]
YD/T2137-2010
域名系统递归服务器运行技术要求
工业和信息化部
[6]
YD/T2140-2010
域名系统安全框架技术要求
工业和信息化部
[7]
YD/T2139-2010
IPv6网络域名系统技术要求
工业和信息化部
[8]
YD/T2136-2010
域名系统授权体系技术要求
工业和信息化部
[9]
YD/T2091-2010
公共域名解析系统安全标准
工业和信息化部
[10]
RFC1034
域名系统—概念和基础设施
IETF
[11]
RFC1035
域名系统的实现和详述
IETF
[12]
RFC1305
网络时间协议
IETF
[13]
RFC1912
常见的DNS操作和配置错误
IETF
[14]
RFC1995
域名系统增量区传送
IETF
[15]
RFC1996
区内容变化快速通知机制
IETF
[16]
RFC2136
域名系统动态更新
IETF
[17]
RFC2142
通用服务、角色和功能的邮箱名
IETF
[18]
RFC2181
域名系统规范说明
IETF
[19]
RFC2672
非终点DNS名字重定向
IETF
[20]
RFC4033
DNSSEC的介绍和需求
IETF
[21]
RFC4034
资源记录支持DNSSEC的扩展
IETF
[22]
RFC4035
支持DNSSEC的协议修改
IETF
[23]
RFC4431
DNSSEC中的DLV记录
IETF
[24]
RFC5074
域名安全旁路认证
IETF
3.术语、定义和缩略语
3.1术语和定义
下列术语、定义和缩略语适用于本标准:
(1)域名系统DomainNameSystem
域名系统是一种将域名映射为某些预定义类型资源记录(ResourceRecord)的分布式互联网服务系统,网络中域名服务器间通过相互协作,实现将域名(或者其他的查询对象)最终解析到相应的资源记录。
域名系统的名字空间是一个分层次的(Hierachical)树状结构。
在资源记录中存储了包含IP地址等与域名相关的多种信息。
这些信息分布在与名字空间对应的各级域名服务器上。
从而实现对域名属性信息的分布式检索。
域名的服务系统从功能上可以分成两个部分,包括权威服务器(AuthoritativeServers)、递归服务器(RecursiveServers)。
(2)名字空间NameSpace
域名系统的名字空间是一个树状结构(如图3-1所示),每个节点对应于相应的资源集合(这个资源集合可能为空),域名系统不区别树内节点和叶子节点,统称为节点(Node)。
每个节点有一个标记(Label),这个标记的长度不超过63字节。
父节点不同的节点可以使用相同的标记。
只有根节点(Root)的标记长度为0(空标记)。
(3)域名DomainName
域名是域名系统名字空间中,从当前节点到根节点的路径上所有节点标记的点分顺序连接,如图3-1中对应的域名.。
图3-1域名系统名字空间结构图
(4)域Domain
域是指域名系统名字空间中的一个子集,也就是树形结构名字空间中的一棵子树。
这个子树根节点的域名就是该域的名字,如图3-1中灰色圆圈所示的域“"。
DNS树上的每一个节点都有一个标识(Label),根节点的标识是“空”(即长度为0),其他节点的标识的长度在1到63字节之间。
一个节点的域名是由从这个节点到根节点的路径上的所有标识从左到右顺序排列组成的,标识之间用“.”分隔。
(5)顶级域TopLevelDomain
顶级域是指域名系统名字空间中根节点下最顶层的域。
顶级域分为国家及地区代码顶级域(CountryCodeTopLevelDomain,ccTLD)、通用类别顶级域(GenericTopLevelDomain,gTLD)和和行业类别顶级域(sponsoredTopLevelDomain,sTLD)等三种不同类型。
如图3-1最上方是DNS树形结构中唯一的一个根(Root),用点号“.”表示。
根的下一级称为顶级域(TopLevelDomain,TLD),也称一级域。
顶级域的下级就是二级域(SecondLevelDomain,SLD),二级域的下级就是三级域,依次类推。
每个域都是其上级域的子域(SubDomain)其中“cn”为中国顶级域,"com"、"net"、"arpa”均为通用类别顶级域。
域名系统的分布式管理是通过逐级授权实现的。
授权(Delegation),就是指将子域的管理授权给某一个特定的组织或机构,其记录信息就直接由该组织或者机构所管理的权威服务器进行存储和解析。
域名系统里的NS记录,就是用来做授权的,向下授权。
(6)资源记录ResourceRecord
资源记录是在域名系统中用于存储与域名相关的属性信息,简称RR。
每个域名对应的记录可能为空或者多条。
域名的资源记录由名字(Name)、类型(Type)、种类(Class)、生存时间(TTL)、记录数据长度(Rdlength)、记录数据(Rdata)等字段组成。
(7)名字服务器NameServer
名字服务器又称为域名服务器。
用于存储域名和资源记录及其他相关信息并负责处理用户的查询请求。
名字服务器包括权威服务器(AuthoriativeServer)和递归服务器(RecursiveServer)两种。
这两者之间最大的区别就是,权威服务器通常不提供递归解析(RecursiveResolution)服务,它只负责维护和保存它所拥有权威的域的资源记录信息,并且接受递归服务器的查询请求;而递归(缓存)服务器则通常不会维护或者管理任何域的资源记录数据,它只负责接收用户(解析器)的查询,并且通过查找缓存或者向包括根在内的权威名字服务器发出查询从而获得查询结果。
(8)授权Delegation
域名系统的分布式管理是通过逐级授权实现的。
授权,就是指将子域的管理授权给某一个特定的组织或机构,其记录信息就直接由该组织或者机构所管理的权威服务器进行存储和解析。
授权的概念是专门针对权威服务器的管理体系定义的。
(9)区Zone
区是域名系统名字空间中面向管理的基本单元,通常是若干个域的集合。
(10)权威服务器AuthoritativeServer
权威服务器,是指对于某个或者多个区具有权威的服务器,权威服务器保存着其所拥有权威的区的原始域名资源记录信息。
(11)区文件ZoneFile
某个区内的域名和资源记录及相关的权威起始信息(StartofAuthority,SOA)按照一定的格式进行组合,从而构成存储这些信息的区文件。
其中,权威起始信息包含了区的管理员电子邮件地址(MailAddress)、序列号(Serial)、更新周期(Refresh)、重试周期(Retry)和过期时间(Expire)等信息。
(12)主服务器MasterServer
主服务器是被配置成区数据发布源的权威服务器。
(13)辅服务器SlaveServer
辅服务器是通过区传送协议来获取区数据的权威服务器。
(14)区传送ZoneTransfer
区传送是指将区的资源记录内容从主服务器向辅服务器传送的过程,用于实现主、辅服务器间的数据同步。
(15)递归服务器RecursiveServer
递归服务器也被称为本地域名服务器和缓存服务器。
它负责接受用户端(解析器)发送的请求,然后通过向各级权威服务器发出查询请求获得用户需要的查询结果,最后返回给用户端的解析器。
递归服务器可以将权威服务器返回的各种记录进行缓存从而减少查询次数和提高查询效率,因而也被称为缓存服务器。
(16)解析器Resolver
解析器是向名字服务器发送域名解析请求,并且从名字服务器返回的响应消息中提取所需信息的程序。
解析器软件通常集成到操作系统或者应用软件中。
(17)区签名密钥zonesigningkey
对区文件进行DNSSEC签名或认证所使用的密钥对。
通常,相对于KSK,ZSK比较短,具有较短的有效期,但是具有较高的签名效率。
(18)密钥签名密钥keysigningkey
对权威域所有密钥对的公钥(DNSKEY资源记录集)进行DNSSEC签名或认证所使用的密钥对。
通常,相对于ZSK,KSK比较长,具有较长的生存期,但签名效率较低。
权威域只需要向上级权威域注册KSK生成的DS记录。
(19)信任锚trustanch
在进行DNSSEC认证过程中,递归服务器可以直接信任的某一权威域。
(20)拒绝服务攻击
攻击使用大量的请求或是流量湮灭DNS服务器,使得DNS服务无法正常提供服务。
递归攻击与反射攻击都属于拒绝服务攻击。
递归攻击:
攻击者针对不存在的域名(或无法响应的域名)发送大量的递归查询请求,使递归服务器因得不到响应而重复多次查询,导致资源耗尽无法提供正常服务。
反射攻击:
攻击者伪造一个合法的IP地址为源地址发送大量的DNS查询请求包,导致合法IP地址的主机收到大量的DNS响应包而导致资源耗尽。
(21)域名劫持
攻击者通过各种手段修改DNS服务器上域名记录的指向,达到劫持该域名的目地。
(22)缓存投毒
攻击者通过猜测DNS解析过程中的报文序列号来伪造DNS权威服务器的应答,从而达到“污染”高速缓存中的记录的目的,即将错误的域名指向信息注入DNS服务器,最终导致受到污染的DNS服务器将对外提供错误的解析结果。
(23)缓存窥探
DNS缓存窥探是一个确定某一个资源记录是否存在于一个特定的DNS缓存中的过程。
(24)DNS欺骗
DNS欺骗指攻击者通过先捕捉用户查询包,然后通过猜测序列号,假冒域名服务器返回查询地址使查询者收到虚假IP。
(25)非递归查询请求
DNS查询消息中明确标识不进行递归查询,而直接根据缓存中的记录返回查询结果。
3.2缩略语
表3-1缩略语列表
词语
解释
ccTLD
CountryCodeTopLevelDomain国家及地区代码顶级域
STLD
sponsoredTopLevelDomain行业类别顶级域
CDN
ChineseDomainName中文域名
DNS
DomainNameSystem域名系统
DNSSEC
DNSSecurityExtension域名系统安全扩展
gTLD
GenericTopLevelDomain通用类别顶级域
IDN
InternationalizedDomainName国际化域名(即多语种域名)
ISC
InternetSystemConsortium互联网系统联合组织
RR
ResourceRecord资源记录
SLD
SecondLevelDomain二级域
TLD
TopLevelDomain顶级域
TSIG
TransactionSignature事务签名
CNAME
CanonicalName别名记录
DNAME
Non-TerminalDNSNameRedirection非终端DNS名重定向记录
MX
MailExchanger邮件交换记录
NS
NameServer名字服务器
SOA
StartofAuthority起始授权记录
DLV
DNSSECLookasideValidation域名系统安全旁路认证
KSK
KeySigningKey密钥签名密钥
NTP
NetworkTimeProtocol网络时间协议
TTL
TimetoLive生存时间
4.域名系统概述
4.1域名服务体系概述
域名服务是一种互联网应用层资源的寻址服务,是其他互联网络应用服务的基础。
常见的互联网络应用服务有Web服务,电子邮件服务,FTP服务等,它们都是以域名服务为基础,来实现系统内部资源的寻址和定位的。
域名解析服务是以树型拓扑结构来定义的,由不同类别的域名解析服务提供机构负责不同级域名的解析服务。
整个域名服务系统从职能上看,包括两大类服务:
即权威域名服务(AuthoritativeDNS)和递归域名服务(RecursiveDNS):
(1)权威域名服务是指拥有某个区的域名信息,并为该区提供域名解析的服务。
权威域名服务通常面向的不是终端用户。
提供权威域名服务的设备即权威域名服务器,是指对于某个或者多个域具有授权的服务器,权威服务器保存着其所拥有授权的域的原始域名资源记录信息。
简单来说,权威域名服务器中拥有域名和对应的IP地址之间的原始数据并在接到请求后对外发布。
(2)递归域名服务则相反,它不针对某个区提供域名解析服务,而是直接面向终端用户,为终端用户提供递归的域名解析服务。
提供递归域名服务的设备即递归域名服务器,主要在广大的互联网用户侧(本地),它负责接受用户端(解析器)发送的请求,然后通过向各级权威域名服务器发出查询请求获得用户需要的查询结果,最后返回给用户端的解析器。
递归域名服务器可以将权威域名服务器返回的各种记录进行缓存从而减少查询次数和提高查询效率。
4.2中国移动域名系统概述
中国移动授权域名服务体系是全球域名体系的有机组成部分,同样遵循域名体系的树状架构。
中国移动授权域名可分为如下两类:
●集团公司统一申请注册的域名,各省域名为集团统一域名的下一级域名。
●各省自行申请注册的域名。
图4-1中国移动授权域名服务体系
与此同时,中国移动DNS系统作为向大众提供互联网业务访问能力的基础设备,不仅需要对本网内授权域名解析,还要同时负责向用户提供非本网授权域名的递归解析能力,因此中国移动DNS系统需要同时具备权威DNS服务器及递归DNS服务器。
5.系统结构
5.1系统结构图
中国移动DNS系统作为向大众提供互联网业务访问能力的基础设备,不仅需要对本网内授权域名解析,还要同时负责向用户提供非本网授权域名的递归解析能力,因此中国移动DNS系统需要同时具备权威DNS服务器及递归DNS服务器。
中国移动域名系统总体架构如下图所示。
图5-1域名系统总体架构图
5.1.1网元功能描述
(1)统一管理平台:
对全网DNS进行统一监测与分析,主要包括:
●网管监测系统:
实现对全网DNS运行指标的统一监测。
●数据挖掘系统:
对DNS日志进行数据挖掘,提供全网用户行为分析能力。
(2)DNS服务节点:
中国移动DNS服务节点包括集团统建DNS节点与省网自建DNS节点两类系统,从职能上看,两类系统均包含以下设备:
●权威服务器:
指对于中国移动已申请的域具有授权的服务器,负责保存中国移动已申请并获得授权的域的原始域名资源记录信息。
●递归服务器:
负责接受用户端(解析器)发送的请求,然后通过向各级权威域名服务器发出查询请求获得用户需要的查询结果,最后返回给用户端的解析器。
●日志存储服务器:
独立于权威/递归服务器,用于存储DNS日志。
●网管监测系统:
实现对DNS运行指标的网络监控。
5.1.2接口描述
(1)IF1(链路接口):
该接口用于与CMNet进行连接,实现DNS统一管理平台及各DNS服务节点与CMNet的互联。
(2)IF2(日志上传接口):
该接口用于通过分光/端口镜像的方式获取DNS日志,并保存至日志管理系统。
(3)IF3(网管监测接口):
该接口用于将DNS权威及递归服务器和网管监测系统互联,负责获取相关服务器的运行指标。
5.2系统功能描述
中国移动DNS服务器可分为省网自建DNS节点及集团统建DNS节点,从职能上看,两类系统均包含权威域名服务器和递归域名服务器。
5.2.1权威域名服务器
权威域名服务器主要包含如下功能模块:
●权威域名配置管理模块:
配置授权域名,检查配置的格式、内容的正确性。
并在错误的情况下给出相应的提示。
●权威域名解析模块:
加载配置文件中配置的授权域名,并在数据库中形成RR记录,对外提供DNS请求的回答,面向的服务对象是递归域名服务器。
其主要解析的对象是集团以及省公司所各自拥有的授权域名。
●安全控制模块:
主要对用户请求的合法性,以提高设备的安全性。
●网络管理模块:
包括网管监测功能、用户管理功能和告警管理功能。
5.2.2递归域名服务器
递归域名服务器主要包含如下功能模块:
●缓存模块:
直接面向用户,用于存储迭代解析回来的数据,以减少DNS服务器的迭代解析次数。
数据在缓存中存在的时间,由迭代解析结果中的TTL值决定,当TTL变为0时,从缓存中删除。
●迭代解析模块:
迭代模块的功能是当缓存中不存在用户请求的域名记录时,向外部的权威DNS服务器发出解析请求。
在迭代解析过程中若权威服务器的返回值不是用户需求的记录,则根据返回的信息进行进一步查询,直到得到用户请求域名对应的记录为止。
将解析的记录发送给用户。
●安全控制模块:
主要对用户请求的合法性,以及收到的解析结果的合法性进行判断,以提高设备的安全性。
●网络管理模块:
包括网管监测功能、用户管理功能和告警管理功能。
考虑到性能及可扩展性等因素,在递归域名服务器数量较多时,可考虑物理上进行分离,即物理上采用不同的服务器分别实现迭代解析模块与缓存模块的功能。
下文把递归域名服务器的两种不同设备架构分别称为缓存迭代合一架构、缓存迭代分离架构。
5.3组网结构
中国移动DNS服务器分为集团统建DNS节点与省网自建DNS节点两类系统,两类系统均通过标准DNS协议与外网进行通信。
其中:
●权威服务器由集团和省网两级架构组成。
●递归服务器为扁平化架构,各省DNS节点负责为本省用户提供域名解析服务;集团统建DNS节点负责集团统建业务的域名解析,并作为各省DNS节点的应急备份节点。
图5-2中国移动域名系统逻辑组网图
集团及各省DNS系统作为中国移动域名系统中的节点,分别向大众提供互联网业务访问能力,需通过CMNet与互联网实现对接。
其中骨干网DNS节点部署于CMNet骨干网中,并通过CMNet骨干网交换机实现与CMNet的对接;省网DNS节点部署于CMNet省网中,并通过CMNet省网交换机实现与CMNet的对接。
为避免单点故障,DNS系统各节点和路由设置应符合“双节点双路由”原则。
即各递归/权威服务器应双上联至CMNet。
站点内组网可选择四层交换机或三层交换机两种组网方案,由于四层交换机性能存在瓶颈,当DNS查询量较大时,应考虑选择三层交换机组网方案。
(1)站点内部采用四层交换机进行负载均衡,并通过VLAN隔离服务器。
四层交换机组网方案如图5-4所示:
图5-3DNS站点组网结构图(四层交换机组网方案)
(2)站点内部采用L3等价路由方式实现负载均衡,并通过VLAN隔离服务器,以便进行广播抑制。
与此同时,为避免权威服务器受到攻击,系统内应成对部署防火墙,用于提高权威服务器的安全性。
系统组网结构如图5-5所示:
图5-4DNS站点组网结构图(三层交换机组网方案)
6.服务器功能要求
6.1权威服务器功能要求
为保证授权服务器提供稳定可靠的服务,权威服务器不应该提供递归服务。
NS记录应该符合IETFRFC1035的规定,其所指向的服务器为合法的主机名。
权威服务器的IP地址应该使用合法的互联网地址。
并确保以任何互联网地址可以访问服务器的UDP和TCP的53端口。
同一区的所有权威服务器在响应对NS记录的请求时,应该返回相同的结果。
同一区的权威服务器的数量至少应为2台,负责提供省网范围内权威域名的解析服务,以确保解析服务的可靠性。
为同一区提供解析服务的多个权威服务器的IP地址应该分布在不同的网络中,依照所需达到的服务水平,建议为:
分布在不同的自治域内或者地理上尽量进行分布式部署。
作为域名系统的权威服务器,其实现必须符合表6-1中所列出的标准,具备权威服务器的基本功能。
这主要包括:
l)能够处理来自整个互联网络或指定网络区间内的任意用户对中国移动授权域名的查询请求,且不应提供递归服务
2)支持对区文件的导入导出以及增删改
3)支持判断用户来源,并能够根据预定义策略返回域名解析结果
4)支持EDNS0,能够以UDP承载大于512字节的数据包
5)支持IPv6的AAAA记录的查询
6)支持IPv4/IPv6双栈
7)支持DNS安全协议扩展(DNSSEC)及DNSSEC旁路认证(DLV)
8)支持通过网络时间协议(NTP,见IETFRFC1305)进行时间同步
9)权威服务器设置泛解析,除指定域名外均指向www服务器
6.2递归服务器功能要求
递归服务器也被称为本地域名服务器和缓存服务器。
它负责接受用户端(解析器)发送的请求,然后通过向各级权威服务器发出查询请求获得用户需要的查询结果,最后返回给用户端的解析器。
递归服务器可以将权威服务器返回的各种记录进行缓存从而减少查询次数和提高查询效率。
作为域名系统的递归服务器,其实现必须符合表6-1中所列出的标准,具备递归服务器的基本功能。
这主要包括:
l)能够处理来自整个互联网络或指定网络区间内的任意域名查询请求
2)能够正确执行递归查询过程
3)能够向互联网络上任意权威域名
升级会员 