傳統(tǒng)DNS的風(fēng)險(xiǎn)與挑戰(zhàn)

DNS服務(wù)和IP地址管理是企業(yè)基礎(chǔ)網(wǎng)絡(luò)組成的不可或缺的組件，DNS服務(wù)主要為內(nèi)網(wǎng)用戶訪問INTERNET網(wǎng)絡(luò)提供緩存遞歸解析服務(wù)、實(shí)現(xiàn)訪問內(nèi)部資源提供權(quán)威解析服務(wù)，IP地址管理則是對(duì)企業(yè)內(nèi)部的IP地址進(jìn)行有效規(guī)劃和管理保障故障時(shí)能精確定位。隨著企業(yè)IT信息化的飛速發(fā)展面臨極大的風(fēng)險(xiǎn)和挑戰(zhàn)，主要體現(xiàn)在以下幾個(gè)方面：

 IP地址管理難度大

采用開源的，非專業(yè)化的軟件來(lái)提供服務(wù)，基本上需要依靠技術(shù)管理人員的手工管理維護(hù)方式，對(duì)于其中的IP地址管理，只能通過(guò)手工記錄賬本方式，不僅記錄復(fù)雜，而且多人員維護(hù)過(guò)程中存在各種各樣文檔版本，同時(shí)在IP地址高頻地動(dòng)態(tài)分配回收這種情況下，信息維護(hù)異常困難。

此外，隨著IPv6的發(fā)展，IP地址長(zhǎng)度由原來(lái)v4的32位直接換成128位，同時(shí)記錄方式變成了點(diǎn)分16進(jìn)制，人工記錄越來(lái)越難管難記，純?nèi)肆S護(hù)不現(xiàn)實(shí)。同時(shí)，由于網(wǎng)絡(luò)組網(wǎng)架構(gòu)復(fù)雜，用戶BYOD設(shè)備種類的增多，企業(yè)網(wǎng)絡(luò)內(nèi)對(duì)IP地址的管理需要做到精細(xì)化管理也面臨極大的挑戰(zhàn)：

1、手工配置完全依賴人工管理，工作量繁瑣且容易出現(xiàn)錯(cuò)誤

2、即使部分采用了DHCP服務(wù)也是網(wǎng)絡(luò)設(shè)備的附帶功能，只提供簡(jiǎn)單的地址分配能力，缺乏IP地址統(tǒng)一管理

3、配置管理方式復(fù)雜，能夠?qū)崿F(xiàn)的策略有限，導(dǎo)致部分業(yè)務(wù)無(wú)法實(shí)現(xiàn)。

4、單點(diǎn)故障、租約無(wú)法持久化、管理手段不靈活、不直觀，缺乏管理監(jiān)控手段。

5、網(wǎng)絡(luò)準(zhǔn)入缺乏有效控制，造成網(wǎng)絡(luò)接入風(fēng)險(xiǎn)。

 缺乏專用DNS服務(wù)系統(tǒng)

部分企業(yè)網(wǎng)絡(luò)缺乏專用的DNS系統(tǒng)，即：沒有自建DNS，多采用將DNS指向上級(jí)運(yùn)營(yíng)商方式，或者更多的是使用開源的BIND軟件來(lái)提供DNS服務(wù)。但是，基于開源的BIND軟件，存在著諸多問題：

2  開源BIND需要依托于操作系統(tǒng)和通用服務(wù)器，無(wú)法充分發(fā)揮服務(wù)器的性能

2  開源BIND采用命令行操作方式，沒有有效的管理工具。對(duì)DNS技術(shù)要求較高，造成較高的管理復(fù)雜度以及無(wú)法做到集中管理。

2  開源BIND存在大量漏洞，需頻繁的技術(shù)升級(jí)；隱藏大量安全性問題。

同時(shí)，企業(yè)網(wǎng)絡(luò)在設(shè)備接入時(shí)多使用的是手工分配、使用網(wǎng)絡(luò)設(shè)備進(jìn)行分配缺乏系統(tǒng)及業(yè)務(wù)高可用機(jī)制

企業(yè)自建網(wǎng)絡(luò)有時(shí)在考慮了網(wǎng)絡(luò)設(shè)備的冗余性和高可靠性時(shí)，往往忽視DNS服務(wù)的高可用性，一旦DNS服務(wù)出現(xiàn)故障將會(huì)導(dǎo)致全網(wǎng)性的網(wǎng)絡(luò)故障，幾乎所有的應(yīng)用或服務(wù)都會(huì)中斷，這些恰恰都是忽略了DNS服務(wù)的高可用性造成的，另外開源的BIND在業(yè)務(wù)層面、管理層面也都無(wú)法實(shí)現(xiàn)HA高可用性。另外企業(yè)內(nèi)一些核心應(yīng)用系統(tǒng)雖然在業(yè)務(wù)層面考慮了災(zāi)備，但往往發(fā)生故障時(shí)很難進(jìn)行快速有效的災(zāi)備切換，給運(yùn)維人員造成巨大壓力，同時(shí)也影響了用戶連續(xù)性訪問。

 面臨下一代互聯(lián)網(wǎng)新挑戰(zhàn)

互聯(lián)網(wǎng)技術(shù)日新月異，大量新技術(shù)、新標(biāo)準(zhǔn)不斷涌現(xiàn)，IPv6、NFV、SDN、云計(jì)算、物聯(lián)網(wǎng)、區(qū)塊鏈等技術(shù)正逐步走向商用，特別是IPv6的大規(guī)模部署給傳統(tǒng)的網(wǎng)絡(luò)管理及應(yīng)用管理帶來(lái)巨大挑戰(zhàn)，IP地址再也無(wú)法依靠記憶或手工配置方式完成，這些都將給企業(yè)IT管理帶來(lái)嚴(yán)峻挑戰(zhàn)。

DNS解決方案---智慧DNS系統(tǒng)

 關(guān)于智慧DNS

智慧DNS是集DNS（域名系統(tǒng)）、DHCP（動(dòng)態(tài)主機(jī)分配）和IPAM（IP地址管理）于一體的智能業(yè)務(wù)系統(tǒng)。DNS（Domain Name System，域名系統(tǒng)），是域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，幫助用戶將域名解析成IP地址使用戶成功建立上網(wǎng)連接。DHCP（Dynamic Host Configuration Protocol）則是為用戶解決網(wǎng)絡(luò)地址自動(dòng)分配問題，有效避免IP地址分配紊亂，提高網(wǎng)絡(luò)運(yùn)維工作效率，減少人為失誤，提升地址的使用效率。IPAM（IP ADDRESS MANAGEMENT）是可以計(jì)劃，跟蹤和管理計(jì)算機(jī)網(wǎng)絡(luò)中使用的IP地址。

無(wú)論是廣域互聯(lián)網(wǎng)還是單位組織內(nèi)網(wǎng)都會(huì)使用到DNS服務(wù)，可以說(shuō)是應(yīng)用最廣泛的互聯(lián)網(wǎng)應(yīng)用之一。人們?nèi)粘Ｈ鐬g覽www網(wǎng)頁(yè)、收發(fā)email、甚至當(dāng)下比較流行的移動(dòng)互聯(lián)網(wǎng)如微信、支付寶等APP應(yīng)用都無(wú)一例外均使用到DNS服務(wù)；此外，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和無(wú)線網(wǎng)的快速發(fā)展IPV6的日益普及，在各類網(wǎng)絡(luò)中面對(duì)幾何集增長(zhǎng)的IP地址，使用手工靜態(tài)DHCP進(jìn)行IP地址分配管理成為唯一有效措施。同時(shí)由于IP地址的規(guī)模增長(zhǎng)，傳統(tǒng)EXCEL加手工管理IP地址方式已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足管理需求，通過(guò)IPAM批量規(guī)劃、導(dǎo)入、管理IP地址，以友圖形化界面呈現(xiàn)IP使用情況，實(shí)時(shí)了解IP地址使用可能存在的瓶頸已經(jīng)成為不可逆轉(zhuǎn)的趨勢(shì)。

 智慧DNS原理

vDNS( Domain Name System)是“域名系統(tǒng)”的英文縮寫，是一種組織成域?qū)哟谓Y(jié)構(gòu)的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)命名系統(tǒng)，它用于TCP/IP網(wǎng)絡(luò)，它所提供的服務(wù)是用來(lái)將主機(jī)名和域名轉(zhuǎn)換為IP地址的工作。DNS就是這樣的一位“翻譯官”，它的基本工作流程可用下圖來(lái)表示。

DHCP(Dynamic Host Configuration Protocol)是動(dòng)態(tài)主機(jī)設(shè)置協(xié)議的英文縮寫，通過(guò)集中的管理、分配IP地址，使client動(dòng)態(tài)的獲得IP地址、Gateway地址、DNS服務(wù)器地址等信息，并能夠提升地址的使用率。

IPAM（IP Address Management）是IP地址管理的英文縮寫，用于發(fā)現(xiàn)、監(jiān)視、審核和管理企業(yè)網(wǎng)絡(luò)上使用的 IP 地址空間。IPAM 可以對(duì)運(yùn)行動(dòng)態(tài)主機(jī)配置協(xié)議 (DHCP) 和域名服務(wù) (DNS) 的服務(wù)器進(jìn)行管理和監(jiān)視。

智慧DNS技術(shù)特點(diǎn)

 基于INTEL DPDK 技術(shù)研發(fā)

    為提供更好的DNS服務(wù)，在數(shù)據(jù)量猛漲的時(shí)代，DNS服務(wù)器單機(jī)處理能力需求到了百萬(wàn)至千萬(wàn)級(jí)別?；贑PU中斷的傳統(tǒng)方式已經(jīng)不能滿足DNS的服務(wù)需求。智慧DNS采用的是基于DPDK的開發(fā)方式，由傳統(tǒng)的CPU中斷替換為輪詢的方式，可以有效提升DNS服務(wù)性能。智慧DNS產(chǎn)品的優(yōu)勢(shì)為：

·        用戶態(tài)實(shí)現(xiàn)DPDK Zero Copy網(wǎng)卡高速收包，減少操作系統(tǒng)內(nèi)核開銷，消除了IO吞吐瓶頸；

·        基于用戶態(tài)的開發(fā)，軟件崩潰不影響系統(tǒng)的穩(wěn)定性；

·        充分利用網(wǎng)卡和指令的性能，資源利用最大化；

·        平臺(tái)具有可移植性，提供高性能高并發(fā)的服務(wù)；

基于SDN業(yè)務(wù)高可用管理架構(gòu)

企業(yè)推行數(shù)字化企業(yè)建設(shè)，將生產(chǎn)、科研、管理和生活服務(wù)有關(guān)的所有信息資源全面數(shù)字化，目前已進(jìn)入快速發(fā)展期。由于企業(yè)網(wǎng)絡(luò)特點(diǎn)是多園區(qū)分布，跨地域接入總節(jié)點(diǎn)網(wǎng)絡(luò)訪問，運(yùn)營(yíng)商跨網(wǎng)訪問等，使得企業(yè)網(wǎng)絡(luò)環(huán)境復(fù)雜多樣性。為適應(yīng)復(fù)雜的企業(yè)網(wǎng)絡(luò)架構(gòu)，智慧DNS采用了基于SDN架構(gòu)的設(shè)計(jì)理念，優(yōu)化系統(tǒng)部署的每一個(gè)層級(jí)，實(shí)現(xiàn)了管理控制平面和數(shù)據(jù)轉(zhuǎn)發(fā)平面的有效分離，從而達(dá)到服務(wù)的自動(dòng)化和集中化管理，提高網(wǎng)絡(luò)架構(gòu)可視性。

此外，基于SDN管理架構(gòu)在實(shí)現(xiàn)管理和業(yè)務(wù)處理平面分離基礎(chǔ)上實(shí)現(xiàn)整個(gè)系統(tǒng)的業(yè)務(wù)高可用架構(gòu)，多臺(tái)Controller之間可以定義Master、Slave不同角色，通過(guò)私有的管理協(xié)議方式進(jìn)行數(shù)據(jù)庫(kù)層面及業(yè)務(wù)配置信息的實(shí)時(shí)同步，任何一臺(tái)Controller或業(yè)務(wù)處理UNIT發(fā)生故障都不會(huì)對(duì)系統(tǒng)業(yè)務(wù)造成任何的影響。

DPI級(jí)別安全報(bào)文過(guò)濾能力

在提供DNS服務(wù)的過(guò)程中，智慧DNS可以做到DPI（Deep Packet Inspect深度報(bào)文識(shí)別）級(jí)別的報(bào)文檢查，DPI級(jí)別的分析過(guò)程對(duì)用戶的價(jià)值主要體現(xiàn)以下三點(diǎn)：

·        針對(duì)DNS類安全攻擊，深度報(bào)文檢測(cè)能力能解決傳統(tǒng)防火墻無(wú)法防護(hù)DNS類安全風(fēng)險(xiǎn)問題。

·        在應(yīng)用業(yè)務(wù)識(shí)別的角度DPI級(jí)別的檢測(cè)可分析具體業(yè)務(wù)類型，深度了解報(bào)文信息，使互聯(lián)網(wǎng)出口可做到精細(xì)化管控的目的。

·        實(shí)現(xiàn)報(bào)文級(jí)別的層次化安全過(guò)濾和防護(hù)能力，將惡意的訪問或攻擊行為拒絕于系統(tǒng)之外。

第三方安全情報(bào)集成

冠程科技在自研智慧DNS系統(tǒng)的基礎(chǔ)上，通過(guò)與國(guó)內(nèi)領(lǐng)先的互聯(lián)網(wǎng)及專業(yè)安全服務(wù)廠商、CNCERT等機(jī)構(gòu)開展合作，采用全球較為廣泛的不良域名庫(kù)，涵蓋2億條以上不良域名記錄，并通過(guò)動(dòng)態(tài)實(shí)時(shí)更新，可實(shí)現(xiàn)對(duì)企業(yè)內(nèi)不良上網(wǎng)訪問行為進(jìn)行實(shí)時(shí)檢測(cè)分析，提供阻斷與提醒的能力，為企業(yè)網(wǎng)絡(luò)營(yíng)造一個(gè)安全，健康的上網(wǎng)環(huán)境。

惡意域名分類包含：

1、     惡意病毒及APK

2、     釣魚、欺詐網(wǎng)站

3、     色情、賭博、暴力站點(diǎn)

4、     金融詐騙

5、     C&C、botnet、DGA

6、     其它威脅情報(bào)來(lái)源及自定義

Anycast負(fù)載均衡技術(shù)

智慧DNS系統(tǒng)通過(guò)Anycast技術(shù)提供分布式服務(wù)，保障系統(tǒng)冗余并實(shí)現(xiàn)負(fù)載均衡，有效降低系統(tǒng)服務(wù)器的壓力，以支持高可靠性的系統(tǒng)運(yùn)行要求?，F(xiàn)有網(wǎng)絡(luò)環(huán)境通過(guò)硬件設(shè)備來(lái)達(dá)成負(fù)載均衡的缺點(diǎn)在于：

A、     網(wǎng)絡(luò)瓶頸出現(xiàn)：數(shù)據(jù)流都要通過(guò)負(fù)載均衡設(shè)備

B、     高昂的硬件成本：所有域都要部署負(fù)載均衡設(shè)備

通過(guò)Anycast技術(shù)不用借助負(fù)載均衡硬件設(shè)備即可達(dá)到要求，從而給用戶提供冗余的，高可靠性的DNS、DHCP服務(wù)。

 非法DNS地址攔截技術(shù)

互聯(lián)網(wǎng)存在眾多免費(fèi)及開源甚至是私自搭建的PublicDNS，如較知名的8.8.8.8.8和114.114.114.114、9.9.9.9、1.1.1.1等，部分黑客甚至通過(guò)入侵后惡意修改用戶DNS至非法DNS進(jìn)而實(shí)施域名劫持、釣魚欺詐等行為，這些都給用戶信息安全帶來(lái)嚴(yán)峻挑戰(zhàn)。此外，部分企業(yè)開始自建CDN系統(tǒng)，如果大量用戶將DNS設(shè)置為外網(wǎng)DNS將導(dǎo)致無(wú)法進(jìn)行本地資源調(diào)度，造成第三方出口帶寬資源的占用，也無(wú)法提升用戶的訪問體驗(yàn)。

冠程科技智慧DNS系統(tǒng)采用獨(dú)有的外網(wǎng)DNS攔截技術(shù)通過(guò)與路由器或者采用分光、鏡像等方式可對(duì)外網(wǎng)DNS訪問進(jìn)行有效攔截，有效防止用戶訪問不安全的DNS系統(tǒng)，同時(shí)還可以避免利用DNS隱蔽隧道方式傳輸涉密及敏感信息，杜絕用戶訪域名被劫持、篡改風(fēng)險(xiǎn)，切實(shí)保障用戶的信息及網(wǎng)絡(luò)安全。