傳統DNS的(de)風(fēng)險與挑戰

DNS服務和(hé)IP地(dì)址管理(lǐ)是(shì)企業(yè)基礎網絡組成的(de)不(bù)可(kě)或缺的(de)組件(j× € iàn)，DNS服務主要(yào)為(wèi)內(nèi)網用(yòng)戶訪問→←(wèn)INTERNET網絡提供緩存遞歸解析服務、實現(xiàn)訪問(wèn)內∏φ(nèi)部資源提供權威解析服務，IP地(dì)址管理(lǐ)則是(shì)對(duì)企§₹業(yè)內(nèi)部的(de)IP地(dì)址進行(xíng)有(yǒu)效規劃和(hé)管€≤理(lǐ)保障故障時(shí)能(néng)精确定位。随著(zhe)企業(yè)IT信息化(huà)的(de)飛(fē'×i)速發展面臨極大(dà)的(de)風(fēng)險和(hé)挑戰，主要(yào)體(tǐ)現(x&Ωiàn)在以下(xià)幾個(gè)方面：

 IP地(dì)址管理(lǐ)難度大(dà)

采用(yòng)開(kāi)源的(de)，非專業(yè)化(huà)γ♣☆的(de)軟件(jiàn)來(lái)提供服務，基本上(shàng)需要(yào)依‌♦®靠技(jì)術(shù)管理(lǐ)人(rén)員(yuán)的(de)手工(gōng)管理(lǐ↓₩')維護方式，對(duì)于其中的(de)IP地(dì"∑₩☆)址管理(lǐ)，隻能(néng)通(tōng)過手工(gōng)記錄賬本方式，不(bù)僅♥×記錄複雜(zá)，而且多(duō)人(rén)員(yuán)維護過程中存在各種各樣文(wén)檔版δ→本，同時(shí)在IP地(dì)址高(gāo)頻(pín)地(dì)動态分(fēn)←π配回收這(zhè)種情況下(xià)，信息維護異常困難。

此外(wài)，随著(zhe)IPv6的(de)發展，IP地(dì)址長₽₽♦≥(cháng)度由原來(lái)v4的(de)32位直接換成128位，同時(shí)記錄方式¥•變成了(le)點分(fēn)16進制(zhì)，人(rén)工(π←•gōng)記錄越來(lái)越難管難記，純人(rén)力維護不(bù)現(xiàn)實。同時(sh‌§₹↑í)，由于網絡組網架構複雜(zá)，用(yòng)戶BYOD設備種類的(dδ≤♣e)增多(duō)，企業(yè)網絡內(nèi)對(duì)IP地(d↔ λ₹ì)址的(de)管理(lǐ)需要(yào)做(zuò)到(dào)精細化(huà)管理(lǐ♣‌→)也(yě)面臨極大(dà)的(de)挑戰：

1、手工(gōng)配置完全依賴人(rén)工(gōnα≤✔g)管理(lǐ)，工(gōng)作(zuò)量繁瑣且容易出現(xiànα∑)錯(cuò)誤

2、即使部分(fēn)采用(yòng)了(le)DHCP服務也(yě)是(shì)網絡設備的(de)附帶功能(néng)，隻提供簡單的(de)★<§地(dì)址分(fēn)配能(néng)力，缺乏IP地(dì)址統一(yī)管理(lǐ)

3、配置管理(lǐ)方式複雜(zá)，能(néng)夠實現(xiàn)的∏±↑✘(de)策略有(yǒu)限，導緻部分(fēn)業(yè)務無法實現( ™φxiàn)。

4、單點故障、租約無法持久化(huà)、管理(lǐ)手段λ↕¶不(bù)靈活、不(bù)直觀，缺乏管理(lǐ)監控ε♠±手段。

5、網絡準入缺乏有(yǒu)效控制(zhì)，造成網絡接入風(fēng)險。

 缺乏專用(yòng)DNS服務系統

部分(fēn)企業(yè)網絡缺乏專用(yòng)的(de)DNS系統，即：沒有(yǒu)自(§₩≠zì)建DNS，多(duō)采用(yòng)将DNS指向上(shàng)級運營商方式，或者γ"↕更多(duō)的(de)是(shì)使用(yòng)開(kāi)π€∑源的(de)BIND軟件(jiàn)來(lái)提供DNS服務。但(dàn)是(sh♣→₽ ì)，基于開(kāi)源的(de)BIND軟件(jiàn)，存在著(zhe≤↔→♠)諸多(duō)問(wèn)題：

²  開(kāi)源BIND需要(yào)依托于操作(zu✔• ò)系統和(hé)通(tōng)用(yòng)服務器(qì)，無法充分(∑♦ "fēn)發揮服務器(qì)的(de)性能(néng)

²  開(kāi)源BIND采用(yòng)命令行(xíng)操作(zuò)方式，沒有(yǒu♥→)有(yǒu)效的(de)管理(lǐ)工(gōng)具。對(duì)DNS技(jì)術(sh>☆ù)要(yào)求較高(gāo)，造成較高(gāo)的(de)管理(π₽lǐ)複雜(zá)度以及無法做(zuò)到(dào)集中管理(lǐ)。

²  開(kāi)源BIND存在大(dà)量漏洞，需頻(pín)繁的(de)技(jì)術(shù)‌'₽↔升級；隐藏大(dà)量安全性問(wèn)題。

同時(shí)，企業(yè)網絡在設備接入時(shí)多(duō)使用(y©§✔òng)的(de)是(shì)手工(gōng)分(fēn)配、使用(y₹£•σòng)網絡設備進行(xíng)分(fēn)配缺乏系統及業(yè)務高(g∏↓€‍āo)可(kě)用(yòng)機(jī)制(zhì)

企業(yè)自(zì)建網絡有(yǒu)時(shí)在考慮了(le)網絡設備的('βde)冗餘性和(hé)高(gāo)可(kě)靠性時(shí)，往往忽♥•φ™視(shì)DNS服務的(de)高(gāo)可(kě)用(yòng)♥ π✘性，一(yī)旦DNS服務出現(xiàn)故障将會(huì)導緻全網性的(de)網≥β 絡故障，幾乎所有(yǒu)的(de)應用(yòng)或服務都(dōu)會(huì)♣λ→∏中斷，這(zhè)些(xiē)恰恰都(dōu)是(shì)忽略了(le)DNS服務的(de)高(g§ ≥<āo)可(kě)用(yòng)性造成的(de)，另外(wài)開(kāi)∏λδ 源的(de)BIND在業(yè)務層面、管理(lǐ)層面也(yěα∞)都(dōu)無法實現(xiàn)HA高(gāo)可(kě)用(yòng)性。另外(wài)→ 企業(yè)內(nèi)一(yī)些(xiē)核心應用(yòng)系統雖然在業(✘♣‌πyè)務層面考慮了(le)災備，但(dàn)往往發生(shēng)故障時(sh♣§®í)很(hěn)難進行(xíng)快(kuài)速有(yǒu)效的(de)災備切換，給運維人(r <€↕én)員(yuán)造成巨大(dà)壓力，同時(shí)也(yě)影(yǐng)響了(le)用(β≈₹ yòng)戶連續性訪問(wèn)。

 面臨下(xià)一(yī)代互聯網新挑戰

互聯網技(jì)術(shù)日(rì)新月(yuè)異，大(dà≈©®)量新技(jì)術(shù)、新标準不(bù)斷湧現(xiàn)，IPv6、NFV、SDN、雲計₽♥(jì)算(suàn)、物(wù)聯網、區(qū)塊鏈等技(jì ★β÷)術(shù)正逐步走向商用(yòng)，特别是(sh±↔φ≈ì)IPv6的(de)大(dà)規模部署給傳統的(d£Ωe)網絡管理(lǐ)及應用(yòng)管理(lǐ)帶來(lái)巨大(dà)挑戰，IP地(dì✘α)址再也(yě)無法依靠記憶或手工(gōng)配置方式完成，這λ' (zhè)些(xiē)都(dōu)将給企業(yè)IT管理(lǐ)帶來(lái✘✔<¶)嚴峻挑戰。

DNS解決方案---智慧DNS系統

 關于智慧DNS

智慧DNS是(shì)集DNS（域名系統）、DHCP​₽（動态主機(jī)分(fēn)配）和(hé)IPAM（IP地(dì)址管理(₽>← lǐ)）于一(yī)體(tǐ)的(de)智能(néng)業(yè)務系統  。DNS（Domain Name System，域名系統），是(shì)域名和(hé)IβγP地(dì)址相(xiàng)互映射的(de)一(yī)個(gè)分(fēn)布式數(sh®αù)據庫，幫助用(yòng)戶将域名解析成IP地(dì)址使 ♦₽用(yòng)戶成功建立上(shàng)網連接。DHCP（Dynamic H•εost Configuration Protocol）則是(shì)為£★(wèi)用(yòng)戶解決網絡地(dì)址自(zì‍α↕)動分(fēn)配問(wèn)題，有(yǒu)效避免IP地(dì)址分→$(fēn)配紊亂，提高(gāo)網絡運維工(gōng)作(zuò)效率，減少(↓σ₩×shǎo)人(rén)為(wèi)失誤，提升地(dì)址的(de)使用(yòng♠ £)效率。IPAM（IP ADDRESS MANAGEMENT）是(ε ≥£shì)可(kě)以計(jì)劃，跟蹤和(hé)管理(lǐ)計(jì)算(suàn)機(jī)₽×>™網絡中使用(yòng)的(de)IP地(dì)址。

無論是(shì)廣域互聯網還(hái)是(shì)單位組織內(nè↔×<™i)網都(dōu)會(huì)使用(yòng)到(dào)DNS服務，可(kě)以說(s'Ωhuō)是(shì)應用(yòng)最廣泛的(de)互聯網應用(yòng)之一(yī)。人(ré¥∏®n)們日(rì)常如(rú)浏覽www網頁、收發email、甚至當下(xià)比較 ×π流行(xíng)的(de)移動互聯網如(rú)微(wēi)信、支付寶等APP應用(yòng)都(d¶Ω>ōu)無一(yī)例外(wài)均使用(yòng)到(dào÷©)DNS服務；此外(wài)，随著(zhe)網絡規模的(de≤↑λ≥)不(bù)斷擴大(dà)和(hé)無線網的(de)快(kuài)速發展IPV6的(¶≈σ₩de)日(rì)益普及，在各類網絡中面對(duì)幾何集增長(ch"Ωáng)的(de)IP地(dì)址，使用(yòng)手工(gōng)靜(jìng)态DHCλπP進行(xíng)IP地(dì)址分(fēn)配管理(lǐ)成為( ←$Ωwèi)唯一(yī)有(yǒu)效措施。同時(shí)由于IP地(dì)址的(de)規σ₩Ω模增長(cháng)，傳統EXCEL加手工(gōng)管理(lǐ)IP地(dì)址方式已經♥✘遠(yuǎn)遠(yuǎn)不(bù)能(néng)滿足管理(lǐ)需求，通(tōng)過IPAMλ∞"批量規劃、導入、管理(lǐ)IP地(dì)址，以友(yǒu)圖形化(h₽γ→₩uà)界面呈現(xiàn)IP使用(yòng)情況，實時(shí)了(le)解IP地©& (dì)址使用(yòng)可(kě)能(néng)存在的(de)瓶頸已經成為(wèi)不(bù)可↔π¥(kě)逆轉的(de)趨勢。

 智慧DNS原理(lǐ)

vDNS( Domain Name System)是(shì)“域名系統”的(de)英文(wén)縮寫，是(sδ↓<'hì)一(yī)種組織成域層次結構的(de)計(jì)算(suàn"±<)機(jī)和(hé)網絡服務命名系統，它用(yòng)于TCP/IP網絡，它所提₩±±÷供的(de)服務是(shì)用(yòng)來(lái)将主機(jī)名和(hé)域名轉換為(wèi¶¥±π)IP地(dì)址的(de)工(gōng)作(zuò)。DN​↓•≥S就(jiù)是(shì)這(zhè)樣的(de)一(yī)位“翻÷← 譯官”，它的(de)基本工(gōng)作(zuò)流程可(kě↓©←$)用(yòng)下(xià)圖來(lái)表示。

DHCP(Dynamic Host Configur∑ ation Protocol)是(shì)動态主機(jī)設置協議(yì)的(de)英文(wén)縮寫，通(tōng)過£☆集中的(de)管理(lǐ)、分(fēn)配IP地(dì)址，₽λ÷γ使client動态的(de)獲得(de)IP地(dì)址、δδ±Gateway地(dì)址、DNS服務器(qì)地(dì)γ♠∑>址等信息，并能(néng)夠提升地(dì)址的(de)使用(yòng)率。

IPAM（IP Address Management）是(shì)IP地(dì)址管££∏ε理(lǐ)的(de)英文(wén)縮寫，用(yòng)于發現(xià ♥∏n)、監視(shì)、審核和(hé)管理(lǐ)企業(yè)網絡上(shàσ→™ng)使用(yòng)的(de) IP 地(dì)址空(kōng)間(jiānσδ)。IPAM 可(kě)以對(duì)運行(xíng)動态主機(jī)配置'¥Ω✘協議(yì) (DHCP) 和(hé)域名服務 (DNS) 的‌→(de)服務器(qì)進行(xíng)管理(lǐ)和(hé)監視(shì)。

智慧DNS技(jì)術(shù)特點

 基于INTEL DPDK 技(jì)術(shù)研發

    為(wèi)提供更好(hǎo)的(de)DNS服務，在數(shù)據量猛漲的(&™¥★de)時(shí)代，DNS服務器(qì)單機(jī)處理(lǐ)能(néng)‌>力需求到(dào)了(le)百萬至千萬級别。基于CPU中斷的(de→₹)傳統方式已經不(bù)能(néng)滿足DNS的(de)服務需求。智慧DNδ↕S采用(yòng)的(de)是(shì)基于DPDK的(de)開(kāi)發方式，由傳統<≤α≥的(de)CPU中斷替換為(wèi)輪詢的(de)方式，可→¥(kě)以有(yǒu)效提升DNS服務性能(néng)。智慧DNS‌♦産品的(de)優勢為(wèi)：

·        用(yòng)戶态實現(xiàn)DPDK Zero Copy↑§φ÷網卡高(gāo)速收包，減少(shǎo)操作(zuò)系統Ω☆&內(nèi)核開(kāi)銷，消除了(le)IO吞吐瓶頸；

·    &nbs∞₽p;   基于用(yòng)戶态的(de)開(kāi)發，軟件(jiàn)崩潰不("™≠♥bù)影(yǐng)響系統的(de)穩定性；

·     &n™γ€αbsp;  充分(fēn)利用(yòng)網卡和(hé)指令的(de)性能(nén₩®g)，資源利用(yòng)最大(dà)化(huà)；

·     &♣φ←§nbsp;  平台具有(yǒu)可(kě)移植性，提供高(gāo)性能(néng)高‍→(gāo)并發的(de)服務；

基于SDN業(yè)務高(gāo)可(kě)用(yòng)管理(lǐ)架構

企業(yè)推行(xíng)數(shù)字化(huà)☆®€企業(yè)建設，将生(shēng)産、科(kē)研、管理(lǐ)和(hé)生(sh∞ $±ēng)活服務有(yǒu)關的(de)所有(yǒu)信息‌£φ資源全面數(shù)字化(huà)，目前已進入快(kuài)速發展期。由于企業(yè)網絡特±✔®點是(shì)多(duō)園區(qū)分(fēn)布，跨地(©‍✔σdì)域接入總節點網絡訪問(wèn)，運營商跨網訪問(wèn)等，使得(de)企業(yè)網<∏≤Ω絡環境複雜(zá)多(duō)樣性。為(wèi)适應複雜(zá)的(d✔÷¶e)企業(yè)網絡架構，智慧DNS采用(yòng)了↓₹&(le)基于SDN架構的(de)設計(jì)理(lǐ)念，優化(huà)系統部β<Ω署的(de)每一(yī)個(gè)層級，實現(xiàn₹↑•)了(le)管理(lǐ)控制(zhì)平面和(hé)φ≈φφ數(shù)據轉發平面的(de)有(yǒu)效分(fēn)離(lí)，從(>↓•γcóng)而達到(dào)服務的(de)自(zì)動化(huà)和(hé)集中化(huà)管理•→(lǐ)，提高(gāo)網絡架構可(kě)視(shì)性。

此外(wài)，基于SDN管理(lǐ)架構在實現(xiàn)管理(lǐ∏♦ β)和(hé)業(yè)務處理(lǐ)平面分(fēn)離(lí∑∞Ω)基礎上(shàng)實現(xiàn)整個(gè)系統的(de)業(yè)務高(gāo)可(kě£↓♣¥)用(yòng)架構，多(duō)台Controller之間(jiān)可(kě)以定義Maσ£↑ster、Slave不(bù)同角色，通(tōng)過私有(yǒu∏←γ)的(de)管理(lǐ)協議(yì)方式進行(xíng)數(shù)據庫層面及業(yè)務→÷φ 配置信息的(de)實時(shí)同步，任何一(yī)台Controller或業↕"(yè)務處理(lǐ)UNIT發生(shēng)故障都(dō®↓©‍u)不(bù)會(huì)對(duì)系統業(yè)務造成任何的✘​‍(de)影(yǐng)響。

DPI級别安全報(bào)文(wén)過濾能(néng)力

在提供DNS服務的(de)過程中，智慧DNS可(kě)以做(zuò)到π™δ(dào)DPI（Deep Packet Inspect深度報(bào₽→♦£)文(wén)識别）級别的(de)報(bào)文(wén)檢查，DPI級别的(d©<β e)分(fēn)析過程對(duì)用(yòng)戶的(de)價✘¶>×值主要(yào)體(tǐ)現(xiàn)以下(xià)三點¥>：

·     &nbs‌>>p;  針對(duì)DNS類安全攻擊，深度報(bào)文(wén)檢±₩‌測能(néng)力能(néng)解決傳統防火(huǒ)•™‌≈牆無法防護DNS類安全風(fēng)險問(wèn)題。

·      &nb<'sp; 在應用(yòng)業(yè)務識别的(de)角度DPI級别的(de)檢測可(kě)分(fēn)₹¶↑析具體(tǐ)業(yè)務類型，深度了(le)解報(bào)文(wén)信息，使互聯網出口可€♥β(kě)做(zuò)到(dào)精細化(huà)管控的(de)目"∞★的(de)。

·     &nbπ↕σ₩sp;  實現(xiàn)報(bào)文(wén)級别的(de)層次化(huε>Ω±à)安全過濾和(hé)防護能(néng)力，将惡意的(de)訪問(wèn)或£δ攻擊行(xíng)為(wèi)拒絕于系統之外(wài)。

第三方安全情報(bào)集成

冠程科(kē)技(jì)在自(zì)研智慧DNS系統的(de)基礎上(shàng)，λ∏通(tōng)過與國(guó)內(nèi)領先的(d®"★∏e)互聯網及專業(yè)安全服務廠(chǎng)商、CNCER₽¶δ✘T等機(jī)構開(kāi)展合作(zuò)，采用(yòng)Ω"全球較為(wèi)廣泛的(de)不(bù)良域名庫，φε©涵蓋2億條以上(shàng)不(bù)良域名記錄，并通(tōng)過≥ ♣動态實時(shí)更新，可(kě)實現(xiàn)對(duì₩‍)企業(yè)內(nèi)不(bù)良上(shàng)網訪問(wèn≤ πβ)行(xíng)為(wèi)進行(xíng)實時(shí)檢測分(fēn)析，提供阻♠γ↑斷與提醒的(de)能(néng)力，為(wèi)企業(yè)網絡營造一(yī)個(gè)安α↕↑全，健康的(de)上(shàng)網環境。

惡意域名分(fēn)類包含：

1、    &nbs¶ <p;惡意病毒及APK

2、     釣魚、欺詐網站(zhàn)

3、     色情、賭博、暴力站(zhàn)點

4、    &nbs♦₹&÷p;金(jīn)融詐騙

5、     C&C、botnet、DGA

6、     其它威脅情報(bào)來(lái)源及自(zì)定義

Anycast負載均衡技(jì)術(shù)

智慧DNS系統通(tōng)過Anycast技(jì)術(shù)提供分(fēn)布式服務，₩‌保障系統冗餘并實現(xiàn)負載均衡，有(yǒu)效降低(dī)系統服務器(qì∞≠)的(de)壓力，以支持高(gāo)可(kě)靠性的(de)系統運行(xíng)要(y ™ào)求。現(xiàn)有(yǒu)網絡環境通(tōng)過硬件(jiàn€α​≈)設備來(lái)達成負載均衡的(de)缺點在于：

A、     網絡瓶頸出現(xiàn)：數(shù)據流都(dōu)要δγ♣(yào)通(tōng)過負載均衡設備

B、     高(gāo)昂的(de)硬件(jiàn)成本：所有(yǒu)域↕γ‌®都(dōu)要(yào)部署負載均衡設備

通(tōng)過Anycast技(jì)術(shù)不(bù)用(yòng)÷←借助負載均衡硬件(jiàn)設備即可(kě)達到(dào)要(yào)求‍$★ ，從(cóng)而給用(yòng)戶提供冗餘的(de)，高(δ₽&gāo)可(kě)靠性的(de)DNS、DHCP服務。

 非法DNS地(dì)址攔截技(jì)術(shù)

互聯網存在衆多(duō)免費(fèi)及開(kāi)源甚至是(sh±↑∑αì)私自(zì)搭建的(de)PublicDNS，如(rú)較知(zhī)名的(←≈ de)8.8.8.8.8和(hé)114.114.114.114、9.9.9. ✔&9、1.1.1.1等，部分(fēn)黑(hēi)客甚至通(t>‌ōng)過入侵後惡意修改用(yòng)戶DNS至非法DNS進而實σ$Ω施域名劫持、釣魚欺詐等行(xíng)為(wèi)，這(zhè)些(xiē)都&£≠ (dōu)給用(yòng)戶信息安全帶來(lái)嚴峻挑戰。此外(wài)，部分(f∏♦£✘ēn)企業(yè)開(kāi)始自(zì)建CDN系統，如(rú)果大(dà)量用(yòng)δ♦♦‌戶将DNS設置為(wèi)外(wài)網DNS将導緻無法進行(xíng)本地(dì)資源¥φ調度，造成第三方出口帶寬資源的(de)占用(yòng)，也(yě)無法提升用(yòng)戶的(deδ ♦•)訪問(wèn)體(tǐ)驗。

冠程科(kē)技(jì)智慧DNS系統采用(yòng)獨有(yǒu)的(de)外(wài)網D☆™λ>NS攔截技(jì)術(shù)通(tōng)過與路(lù)由器(qì)或者采用(yòng)分(f'®‍ēn)光(guāng)、鏡像等方式可(kě)對(duì)外(wài)網DNS訪π ≤®問(wèn)進行(xíng)有(yǒu)效攔截，有(yǒu)效防‍‌止用(yòng)戶訪問(wèn)不(bù)安全的(de)DNS系" 統，同時(shí)還(hái)可(kě)以避免利用(yòng)DNS隐蔽隧道π‌→ (dào)方式傳輸涉密及敏感信息，杜絕用(yòng)戶訪域名被 α"劫持、篡改風(fēng)險，切實保障用(yòng)戶的(de)信息及網絡™↑φ₩安全。