歐陽帆

一、引言

域名系統(tǒng)（DNS）是一種用于TCP/IP應(yīng)用程序的分布式數(shù)據(jù)庫，它提供主機(jī)名字和lP地址之間的轉(zhuǎn)換及有關(guān)電子郵件的選路信息。這里的分布式是指在Internet上的單個站點(diǎn)不能擁有所有的信息。每個站點(diǎn)保留它自己的信息數(shù)據(jù)庫，并運(yùn)行一個服務(wù)器程序提供Internet上的其他系統(tǒng)（客戶程序）查詢。DNS提供了允許服務(wù)器和客戶程序相互通信的協(xié)議。

在因特網(wǎng)中幾乎每個用戶的每次訪問都會使用到域名解析，所以域名解析的準(zhǔn)確程度和響應(yīng)速度對整個網(wǎng)絡(luò)的服務(wù)質(zhì)量的影響非常重要。如何保證對域名的管理和解析統(tǒng)一、及時、準(zhǔn)確，成為一個必須關(guān)注的問題。

隨著寬帶業(yè)務(wù)的迅速發(fā)展，用戶對網(wǎng)絡(luò)響應(yīng)速度的要求越來越高，傳統(tǒng)設(shè)備負(fù)載比較高，部分設(shè)備CPU負(fù)載達(dá)60%左右，存在安全隱患。高性能域名服務(wù)器將徹底解決傳統(tǒng)的域名解析系統(tǒng)存在的上述問題，提高運(yùn)營商本地資源競爭優(yōu)勢，提高用戶訪問質(zhì)量。

二、高性能域名服務(wù)器介紹

為應(yīng)對運(yùn)營商大規(guī)模增長的域名查詢、提高遞歸查詢效率和用戶上網(wǎng)體驗(yàn)而推出的純緩存和遞歸系統(tǒng);該系統(tǒng)采用了授權(quán)和緩存拆分的構(gòu)架，只提供遞歸和緩存功能，使用事件驅(qū)動的內(nèi)存尋址技術(shù)，以及更高效的遞歸任務(wù)管理機(jī)制，可以達(dá)到現(xiàn)在傳統(tǒng)BIND系統(tǒng)性能的4-6倍。

高性能域名服務(wù)器，單臺設(shè)備具備160萬QPS緩存和320萬QPS防護(hù)能力，基本具備三倍系統(tǒng)冗佘能力，并且具備通過軟件license擴(kuò)容能力。

（一）工作原理

工作原理比較簡單，它工作在二層透明模式下。對所有進(jìn)出的數(shù)據(jù)包可以進(jìn)行二層的數(shù)據(jù)比對，從而按照相應(yīng)的策略攔截和過濾相關(guān)的數(shù)據(jù)包.正常的數(shù)據(jù)包則放行至DNS緩存系統(tǒng)。

既然所有的數(shù)據(jù)包都會通過高性能域名服務(wù)器，則高性能服務(wù)器就可以對這些數(shù)據(jù)包進(jìn)行檢測、過濾和控制。由于工作在二層，因此其工作效率極高。后面的內(nèi)容我們將會詳細(xì)介紹該性能夠?qū)崿F(xiàn)的安全防護(hù)功能。

（二）成功應(yīng)答率

根據(jù)運(yùn)營商入網(wǎng)測試的結(jié)果和實(shí)際使用情況可以知道，高性能域名服務(wù)器能夠最大程度地保證后臺服務(wù)的正常運(yùn)行。即使在承受800萬qps甚至更高的DDOS攻擊時，以及其它的遞歸攻擊、放大攻擊、中毒攻擊、錯誤域名攻擊等情況時，后臺緩存系統(tǒng)解析成功率依然可以保持在99.5%以上。

（三）不影響用戶

高性能域名服務(wù)器如果出現(xiàn)故障，系統(tǒng)具備下面多種冗余措施，保證不會對用戶流量產(chǎn)生影響：anycast架構(gòu)中設(shè)備的健康檢查功能，鏈路bypass功能，設(shè)備支持網(wǎng)卡bypass功能，即在遇到某些特殊情況時，如斷電、系統(tǒng)故障時，系統(tǒng)不對數(shù)據(jù)包進(jìn)行任何處理，而直接交給后面的系統(tǒng)完成相關(guān)的功能。

（四）失敗保護(hù)

高性能域名服務(wù)器具備豐富的失敗保護(hù)機(jī)制，即失敗跳接。具體情況如下：

1.設(shè)備硬件故障

當(dāng)系統(tǒng)出現(xiàn)硬件故障，如網(wǎng)絡(luò)中斷、宕機(jī)、掉電等情況時，用戶流量將會自動的跳接給原有的DNS系統(tǒng)，網(wǎng)管系統(tǒng)可以進(jìn)行告警。

2.系統(tǒng)故障

系統(tǒng)帶有健康檢查模塊，該模塊可以實(shí)時的對高速緩存系統(tǒng)的狀態(tài)進(jìn)行檢測，當(dāng)發(fā)現(xiàn)存在嚴(yán)重問題或是可能要出現(xiàn)嚴(yán)重故障時，健康檢查系統(tǒng)可以自動將高速緩存系統(tǒng)進(jìn)行失敗跳接，并發(fā)出告警。

3.手工失敗跳接

不論在任何情況下，如果管理員需要進(jìn)行失敗跳接，系統(tǒng)都可以進(jìn)行強(qiáng)制的跳接工作。

4.工作流程

系統(tǒng)具體是按照如下的流程進(jìn)行工作的：1、用戶請求數(shù)據(jù)包，通過網(wǎng)絡(luò)和網(wǎng)卡進(jìn)入高速緩存服務(wù)器2、緩存空間中如果有相關(guān)的記錄，則直接將結(jié)果返回用戶。3、如果緩存空間中沒有相關(guān)的記錄，則請求包將繼續(xù)發(fā)送給遞歸系統(tǒng)。4、遞歸系統(tǒng)接收到相關(guān)的請求，并進(jìn)行相關(guān)的遞歸查詢。5、遞歸查詢的結(jié)果將會返回給高速緩存服務(wù)器。6、該遞歸結(jié)果將被緩存至高速緩存空間中以便后續(xù)使用，可以采用分布式部署方式實(shí)現(xiàn)的針對DNs系統(tǒng)的防護(hù)功能，且支持性能上的線性疊加。該系統(tǒng)部署支持串接、旁掛及流量牽引模式。

5.工作原理（軟+硬）

高速緩存之所以能夠在相同的配置下實(shí)現(xiàn)極高的響應(yīng)性能，這是和其極高的運(yùn)行效率分不開的。我們以osl的七層模型為例，看看普通DNS緩存服務(wù)器和高新能服務(wù)器的區(qū)別。普通的DNS緩存服務(wù)器針對用戶請求進(jìn)行緩存查詢和響應(yīng)的工作，是在應(yīng)用層上完成的，也就是說用戶請求，通過網(wǎng)絡(luò)到達(dá)普通緩存服務(wù)器后，會通過物理層的網(wǎng)卡進(jìn)入數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層、應(yīng)用層，最終在應(yīng)用層進(jìn)行相關(guān)的處理，然后再逐級下行，并將結(jié)果返回用戶。這樣的數(shù)據(jù)，將會返回貫穿7層模型中的所有層次。高新能服務(wù)器則工作在第二層，即用戶數(shù)據(jù)包只需要進(jìn)入DNS服務(wù)器的第二層即可獲得答案，并將結(jié)果返回給用戶。

三、高性能域名服務(wù)器的應(yīng)用

面向用戶的域名系統(tǒng)直接向用戶提供高性能的域名解析服務(wù)。作為純遞歸應(yīng)用為支持復(fù)雜業(yè)務(wù)應(yīng)用的BIND系統(tǒng)提供緩存分享，建立緩存與遞歸拆分的二級構(gòu)架，該結(jié)構(gòu)在2007年已經(jīng)在國內(nèi)運(yùn)營商使用，實(shí)現(xiàn)了遞歸合并與緩存分享，支持多種硬件平臺，可直接在現(xiàn)有BIND平臺上部署，提供軟硬綁定的一體化系統(tǒng)。

同一節(jié)點(diǎn)內(nèi)采用RNS與BIND系統(tǒng)的混合模式，即保留了業(yè)務(wù)復(fù)雜支持的能力，又增加了域名系統(tǒng)整體的處理能力;采用anycast技術(shù)部署RNS系統(tǒng)，使其組網(wǎng)結(jié)構(gòu)靈活在遭受攻擊時，可以通過路由調(diào)整負(fù)載提高系統(tǒng)抗攻擊能力;平時還可以作為小節(jié)點(diǎn)的一級遞歸。

根據(jù)攻擊的模式可以動態(tài)組合多種形式提高系統(tǒng)穩(wěn)定性，如：遞歸攻擊、反射攻擊、UDP Flood等。

以高性能RNS系統(tǒng)構(gòu)建一級遞歸系統(tǒng)，提供高效遞歸查詢;采用anycast架構(gòu)部署，接收本節(jié)點(diǎn)和臨近節(jié)點(diǎn)的遞歸查詢;作為省內(nèi)遞歸查詢出口，與其它BIND系統(tǒng)分享緩存結(jié)果;應(yīng)用TTL優(yōu)化，建立可控制的TTL調(diào)整機(jī)制;一級遞歸系統(tǒng)實(shí)現(xiàn)全網(wǎng)的遞歸查詢匯聚，自動合并重復(fù)的遞歸查詢，減少出網(wǎng)的遞歸查詢量;在遭受遞歸攻擊時，實(shí)現(xiàn)遞歸隊列緩沖，避免單層架構(gòu)遞歸隊列迅速占滿引發(fā)的系統(tǒng)故障;預(yù)混合模式相同，這個系統(tǒng)在遭到其他類型攻擊時，可以調(diào)整工作狀態(tài)，加入到本地工作組或分流其它節(jié)點(diǎn)的攻擊流量。

四、高性能域名服務(wù)器的必要性

解析系統(tǒng)主要應(yīng)用于支撐IP寬帶業(yè)務(wù)，根據(jù)遼寧省通信管理局網(wǎng)站信息，互聯(lián)網(wǎng)寬帶用戶數(shù)量全國排名第十。隨著互聯(lián)網(wǎng)業(yè)務(wù)的普及，終端接入帶寬的增長，寬帶接入業(yè)務(wù)預(yù)計在未來幾年內(nèi)，業(yè)務(wù)用戶數(shù)和業(yè)務(wù)流量將會有更大增長。特別是隨著市場競爭的激烈，用戶ARPU值也呈微幅下降的趨勢。根據(jù)綜合規(guī)劃，未來幾年將持續(xù)推進(jìn)寬帶升級提速，提高寬帶業(yè)務(wù)在家庭市場的滲透率，提升寬帶作為全業(yè)務(wù)發(fā)展基礎(chǔ)的戰(zhàn)略地位。促進(jìn)固網(wǎng)寬帶與移動互聯(lián)網(wǎng)應(yīng)用結(jié)合，大力發(fā)展基于家庭網(wǎng)關(guān)的“語音+數(shù)據(jù)+終端+應(yīng)用”一體化解決方案，開展深度經(jīng)營，加大業(yè)務(wù)捆綁營銷。

高速緩存系統(tǒng)完全可以單機(jī)獨(dú)立運(yùn)行，就和普通的DNs緩存服務(wù)器的使用方式一樣。不同的是其緩存直接解析性能可以達(dá)到160萬qps以上。遞歸解析性能可以達(dá)到7萬qps以上。通過這樣的方式，我們可以簡單的沿用anycast架構(gòu)的靈活的擴(kuò)容方式，在交換機(jī)下增加高速緩存服務(wù)器即可大幅提高該節(jié)點(diǎn)內(nèi)系統(tǒng)的整體性能。為了達(dá)到最大性能，建議采用10GE交換機(jī)或接口。

五、結(jié)語

普通的域名服務(wù)器由于工作在應(yīng)用層，因此它上面的系統(tǒng)，如BIND可以支持多種復(fù)雜的功能、配置，適合完成多種復(fù)雜的、多變的應(yīng)用。高性能域名服務(wù)器，由于只工作在數(shù)據(jù)鏈路層，因此針對緩存應(yīng)用工作效率極高，是傳統(tǒng)BIND系統(tǒng)性能的4-6倍且部署也相對靈活。