移动宽带三套 DNS 污染技术已经申请专利了,三套组合拳。

2018-08-23 10:11:08 +08:00
 taobibi
路由牵引方式
旁路抢答方式(分光镜像+抢先应答)
PBR 策略路由方式

简单防止抢答方式已经无效了。



文字正文

1 异网 DNS 现状分析




DNS 是互联网的入口,DNS 请求发生在用户访问互联网的第一环节,ICP 内容资源、CDN 等都依赖于 DNS 的正确调度才能将用户流量引导到最合适的资源节点。正常情况下用户终端应该使用 ISP 分配的官方 DNS,然而用户终端设置的 DNS 由用户自身决定,不处于 ISP 可控范围。现网流量监测系统发现 ISP 网络存在着一定比例的异网 DNS 流量,配置不合适的异网 DNS 不仅会降低用户上网体验,带来安全风险,对中小 ISP 而言还提高了流量结算成本。如何选择一种最优的技术方案,对异网 DNS 流量进行有效管控,实现资源调度的优化,是文中重点论述的问题。


1.1 异网 DNS 来源和影响分析




异网 DNS 流量的主要来源如下。


● 策反转网的用户未修改 DNS 配置:专线用户情况尤为突出,用户由于缺乏专业网管技术人员,转网时只调通网络,而不重视配置调优,转网后仍使用原运营商的 DNS,常常在报障网速慢后才发现 DNS 配置错误。


● 用户自主修改 DNS:第三方公众 DNS 借助网络广泛宣传,部分用户盲目迷信网上教程,手工修改路由器或本机的 DNS 配置为谷歌 DNS 8.8.8.8、114 DNS 等公众 DNS,造成内容资源访问时“舍近求远”,难以实现本网已引入资源的精准调度。


● 用户被动修改 DNS:部分互联网公司借助终端软件积极推行自己的 DNS,用户在不知情的情况下,DNS 被一些声称能优化网络和修复网络的软件所修改,如 360 DNS 优选、腾讯 DNS 优选等。


● 用户 DNS 被黑客劫持:黑客利用路由器存在弱口令、安全漏洞、恶意代码等将用户路由器或终端电脑上的 DNS 篡改为黑客所控制的非法 DNS。当不知情的用户使用非法 DNS 访问网上银行或购物网站等敏感网站时,可能被指向假冒的欺诈网页,造成信息泄露和重大损失。


● 某些互联网产品在出厂时内置了 DNS:如各类电视盒子、免费 Wi-Fi 等设备可能内置了公共 DNS。


以上原因导致了异网 DNS 的存在,而使用不合理的异网 DNS 进行域名解析,会造成解析时间长、解析成功率降低、调度准确性降低等诸多问题,甚至带来安全风险。


1.2 异网 DNS 的流量占比




现网监测数据表明城域网中有 10%~ 15%的 DNS 递归请求去往异网 DNS,而异网 DNS 流量中谷歌 DNS 又占据着较大份额。


1.3 异网 DNS 管控目标




逐个通知客户变更 DNS 是一项棘手而低效的工作,迫切需要有一种技术手段,能将流向异网 DNS 的请求重新引导回 ISP 官方 DNS,实现异网 DNS 请求的网内解析,达到如下的管控目标:


● 对异网 DNS (不可信 DNS )的解析请求返回 ISP 官方 DNS 的最佳解析结果,实现 DNS 请求 100%可管控;


● 所有操作和处理过程均在用户无感知和不影响使用的情况下完成;


● 可实现调度策略的灵活配置,能针对具体用户 IP 和 DNS 进行定向调度;


● 优化用户体验,降低安全风险的同时,缩减网间流量结算成本。


2 异网 DNS 管控技术探讨




2.1 路由牵引方式




路由牵引方式首先需要获知异网 DNS 的 IP 地址,再通过路由发布的方式将这些 IP 指定 ISP 官方 DNS,用户访问这些特定 IP 的 DNS 请求将被牵引至运营商 DNS, 从而实现对异网 DNS 流量的拦截。


优势:部署快,现网无需新增设备投资和调整网络。


劣势:仅能覆盖已知的异网 DNS,未知 DNS 不能覆盖,存在路由广播合法性风险。


2.2 旁路抢答方式(分光镜像+抢先应答)




通过分光镜像方式采集 53 端口的 DNS 请求给重定向系统,针对流向异网 DNS 的递归请求,由 DNS 重定向系统伪装异网 DNS,以抢先应答方式返回本地 DNS 的网内解析结果。


如图 1 所示,在 ISP 出口通过镜像或分光方式采集 DNS 请求,送给“ DNS 重定向安全装置”,由“ DNS 重定向安全装置”从 DNS 报文中提取 DNS 服务器地址,针对用户终端发出的 DNS 请求报文,根据事先定义的 DNS 服务器白名单进行逻辑决策,如果 DNS 服务器地址不是白名单之内的异网 DNS,去往该异网 DNS 的所有域名请求通过 Forward 机制重新引导回 ISP 官方 DNS,“ DNS 重定向安全装置”获得解析结果后,立刻构造一个新的 DNS 响应报文,改用用户请求的异网 DNS 服务器地址作为源 IP,以抢先应答方式回复用户;而去往白名单的本网及可信 DNS 请求不做任何处理,直接放行。“ DNS 重定向安全装置”有类似缓存的功能,可以存储本网 DNS 的解析结果。所以在系统稳定运行后可以进行微秒级响应,在用户配置的异网 DNS 之前优先返回给用户解析结果,用户会自动抛弃后收到的 DNS 响应。


优势:可以覆盖所有异网 DNS 流量,无单点故障隐患。


缺点:需要新增设备投资,隐蔽性稍差,用户收到两份 DNS 应答。


2.3 PBR 策略路由方式




在 ISP 出口设备配置策略路由,将 53 端口流量策略路由至网内,指向专门部署的 DNS 重定向系统,DNS 重定向系统向 ISP 官方 DNS 发起解析请求并获取到解析结果,最后由 DNS 重定向系统把结果返回给用户。DNS 重定向系统在返回给用户的应答报文中,使用用户请求报文的目的地址作为源地址,实现异网 DNS 无感知优化,处理流程如图 2 所示。


优势:可以覆盖所有异网 DNS 流量,隐蔽性强,DNS 调度优化成功率高。


缺点:省网网络设备要配置策略路由,策略复杂,需要新增设备投资,DNS 重定向系统串接在网络中,存在单点故障。


2.4 三种异网 DNS 管控技术比较




三种异网 DNS 管控技术比较见表 1。


综合以上方案,推荐采用旁路抢答方式作为首选部署方案。


3 旁路抢答 DNS 重定向系统的部署实施




2014 年 4 月起联合南京信风公司在江苏无锡城域网进行了试点测试,借助无锡城域网两台核心设备上行链路中已经部署过的 DPI 系统,提取出 53 端口的 DNS 流量,复制给 DNS 重定向系统。


3.1 DNS 重定向系统配置




DNS 重定向系统配置见表 2。


以上信风公司服务器配置可支持 50 万 QPS 处理能力。


3.2 DNS 重定向安全装置功能模块及处理流程




经过不断测试改良,完善的“ DNS 重定向安全装置”应包括如下功能模块。


(1)接收解析模块


接收通过镜像或分光方式复制过来的 DNS 流量,从 DNS 报文中解析出 DNS 服务器地址、用户请求源 IP、用户请求域名、是用户终端发出的递归请求还是 DNS 服务器发出的迭代请求。


(2)判断模块


仅处理用户终端发出的递归请求,不处理 DNS 服务器发出的迭代请求。


再根据内置的规则先判断 DNS 服务器地址是否是可信地址,再判读用户请求源 IP 是否属于直接放行地址。


系统将 DNS 服务器分为可信 DNS (或称合法 DNS )和非可信 DNS 两类。DNS 服务器白名单中的都是可信 DNS,包括 ISP 自建的本地 DNS、ISP 认可组织内部 DNS 等,白名单的描述形式可以是多个 IP 地址段的集合。发往 DNS 白名单的解析请求直接放行。


非可信 DNS 是不在 DNS 白名单中的所有其他 DNS,默认为异网所有的 DNS。发往非可信 DNS 的解析请求原则上都将被转发处理模块处理,除非源 IP 属于请求源 IP 白名单。


为满足用户实际需要,还应设定 DNS 请求源 IP 白名单,这些源 IP 发起的请求不管 DNS 服务器地址可信或非可信,都将采取直接放行策略。




(3)查询模块


针对没有命中 DNS 白名单或没有命中 DNS 请求源 IP 白名单的解析请求,将通过自身迭代查询以获取域名数据对应的 IP 地址(也可以通过 Forward 机制转发给 ISP 自建的可信本地 DNS 以加快查询速度)。


(4)DNS 缓存模块


可以存储热点域名的解析结果,进行微秒级响应。


(5)发送模块


从 ISP 自建的本地 DNS 获得解析结果后,立刻构造一个新的 DNS 响应报文,改用非可信 DNS 服务器地址作为源 IP,以抢先应答方式回复用户。


相应的业务流程如图 3 所示。


4 DNS 重定向系统的应用效果




无锡移动部署异网 DNS 重定向系统后,成功地将流向异网 DNS 的请求重定向回本省官方 DNS。监控数据显示,城域网中原有 13%到异网 DNS 的请求,全部被 DNS 重定向系统 Forward 给省内官方 DNS,DNS 流量得到百分之百管控。



4.1 质量角度评估




基于 DNS 旁路抢答的 DNS 重定向系统提升了现有流量调度系统的有效性,不管用户使用什么 DNS,都能将解析结果自动修正指向到网内资源,并且 DNS 解析响应时间大大降低,试点地市再未接到集团用户因配置异网 DNS 而引发的网络慢类投诉。


www.youku.com 资源已经引入移动网内,没有使用 DNS 重定向系统前,如图 4 所示,谷歌 DNS 8.8.8.8 将 www. youku.com 错误调度至网外的青岛联通 IP 119.167.145.19 ,DNS 解析时延高达 40ms。


使用 DNS 重定向系统后,如图 5 所示,谷歌 DNS 8.8.8.8 的解析结果被纠正为无锡移动网内地址 221.181.195.121 ,DNS 解析时延由 40ms 下降到 1ms。


据拨测系统统计,DNS 重定向优化后,热点网页打开时间比优化前缩短了 39%。


4.2 成本角度评估




异网流量下降明显,监控数据显示,对原来那些设置为异网 D N S 的用户而言,其流量本网率从 92.81%上升到 98.83%,其异网流量下降约 6 个百分点,达到了正确引导用户访问本网资源的预期效果。


4.3 安全角度评估


重定向系统屏蔽了黑客 DNS,用户信息安全风险降低。


5 结束语




基于 DNS 旁路抢答的异网 DNS 重定向系统,可让 ISP 合理管控域域网宽带用户终端发出的 DNS 请求流量,使用合法 DNS 以抢先应答的方式代替非可信 DNS 来回复用户解析请求,规避黑客 DNS 给用户带来的安全风险,有效提升了流量调度系统的准确性,降低了运营商的流量结算成本。


本技术方案能覆盖所有终端用户,不局限操作系统和设备类型,也不需要用户手工干涉,在用户无感知的情况下保护了域名数据安全,已经被申请为专利,对宽带电信运营商具有普遍适用性和推广价值。


原文地址
http://www.ttm.com.cn/article/2016/1000-1247/1000-1247-1-1-00064.shtml


http://www.ttm.com.cn/article/2016/1000-1247/1000-1247-1-1-00064.shtml
25608 次点击
所在节点    DNS
57 条回复
brick713
2018-08-23 11:03:26 +08:00
北京电信的 DNS 污染已经极其严重了
passerbytiny
2018-08-23 11:12:49 +08:00
用户自主修改 DNS:第三方公众 DNS 借助网络广泛宣传,部分用户盲目迷信网上教程,手工修改路由器或本机的 DNS 配置为谷歌 DNS 8.8.8.8、114 DNS 等公众 DNS,造成内容资源访问时“舍近求远”,难以实现本网已引入资源的精准调度。

用户自主修改的,它不通知用户然后给拦截了,这种要吃官司的话,他也敢写进去。
R18
2018-08-23 11:16:03 +08:00
像这种公开技术的公司不多了,这种行为值得鼓励
raysonx
2018-08-23 11:18:19 +08:00
DNS 污染说得这么高大上。什么时候 DNSsec 能普及啊。
LuvF
2018-08-23 11:18:25 +08:00
走 tcp 可解吗
orangeade
2018-08-23 11:18:30 +08:00
@passerbytiny #2 赵家人尿性

等 DNS over HTTPS 或者 DNS over TLS 普及,看他们怎么蹦跶
vmebeh
2018-08-23 11:19:13 +08:00
已经在搞 OpenDNS 了
/t/481622
Marmot
2018-08-23 11:21:12 +08:00
为什么要用别的 dns,他们心里真的一点逼数都没有么?
xxxxxxdp
2018-08-23 11:24:03 +08:00
isp 的递归服务器再引入 dnssec 机制,对权威做数据源认证就更加完美了。
taobibi
2018-08-23 11:36:11 +08:00
@Marmot 这是移动工程师的技术论文,论文里面当然不能把用途说的那么 Low
ranoff
2018-08-23 11:36:37 +08:00
这骚操作,一点碧莲都不要了
taobibi
2018-08-23 11:38:28 +08:00
@brick713 电信和联通估计是基于其他原理,这三个移动已经申请专利了,用这个要付专利费的
taobibi
2018-08-23 11:40:08 +08:00
@R18 其实很多技术都是公开的,因为国企工程师要靠这个评职称的,只是大部分都发表在行业刊物上或者专利网站上
meteor
2018-08-23 11:40:42 +08:00
移动宽带不敢用了。解析到自己的 IP 地址,然后速度可能还很慢。
taobibi
2018-08-23 11:41:53 +08:00
@passerbytiny 路由牵引和 PBR 策略路由 比抢答厉害
leafleave
2018-08-23 11:41:55 +08:00
目前这种环境,只能在家里面放一个树莓派做 dns 服务器了。不过手机数据流量还是没有办法。
fantasylidong
2018-08-23 11:50:42 +08:00
@leafleave 好像安卓 9.0 支持了私人 dns
mrw77
2018-08-23 11:53:51 +08:00
太好了,越来越喜欢移动了
ryd994
2018-08-23 11:53:51 +08:00
非原作者请勿全文转载
silencefent
2018-08-23 11:54:12 +08:00
关于如何抢劫你的三种方法已经申请专利了,你就好好躺好不要乱动,乱动违法

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/482394

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX