DNS“遞歸與緩存分離”架構(gòu)評測

近幾年來，DNS解析服務(wù)頻繁受到攻擊。僅以國內(nèi)為例，2009年5月19日晚21時(shí)左右，江蘇、河北、山西、廣西、浙江、天津、內(nèi)蒙古、黑龍江、廣東等省市出現(xiàn)大范圍網(wǎng)絡(luò)故障，各地網(wǎng)民均遇到網(wǎng)絡(luò)不暢通、網(wǎng)頁無法打開等問題。據(jù)工業(yè)和信息化部通信保障局發(fā)布的公告，確認(rèn)該事件是由于暴風(fēng)網(wǎng)站域名解析受到網(wǎng)絡(luò)攻擊，導(dǎo)致電信運(yùn)營商的遞歸域名解析服務(wù)器收到大量異常請求而引發(fā)擁塞。此后不久又發(fā)生了百度域名被劫持事件，2010年1月12日，國內(nèi)最大的中文搜索引擎公司百度的域名被解析到非法地址，導(dǎo)致網(wǎng)民無法正常登陸百度網(wǎng)站達(dá)8小時(shí)。這是百度成立以來最嚴(yán)重的訪問故障事件，給該公司造成的直接損失超過700萬元。

在諸多安全事件的背景下，DNS服務(wù)器的性能和安全性受到了空前關(guān)注。部分研究人員借鑒了被廣泛采用的Web緩存技術(shù)，提出了“遞歸與緩存分離”的架構(gòu)解決方案。該方案使用兩臺服務(wù)器來做DNS解析，其中一臺只做DNS遞歸解析，另一臺只做DNS緩存查詢。研究人員認(rèn)為這個(gè)方案與Web緩存技術(shù)一樣，會帶來兩大優(yōu)點(diǎn)：首先是整體性能的提升，因?yàn)镈NS解析的兩個(gè)過程已經(jīng)被進(jìn)行了分解，絕大多數(shù)情況下可以從緩存中得到結(jié)果，只有在必要時(shí)才需要遞歸解析，因而提高了性能；二是在受到攻擊時(shí)具有更好的安全性，因?yàn)镈NS攻擊往往是針對遞歸解析的，由于兩臺服務(wù)器各司其職，至少可以保證緩存查詢服務(wù)器的安全運(yùn)行。

從表現(xiàn)上看來，“遞歸與緩存分離”架構(gòu)確實(shí)有一定的吸引力，但事實(shí)真的如此嗎？我們對這種架構(gòu)進(jìn)行了研究測試，得到這樣一個(gè)結(jié)論：DNS技術(shù)與Web緩存技術(shù)存在本質(zhì)區(qū)分，兩者并不能夠混為一談。盡管“遞歸與緩存分離”架構(gòu)可能會給性能和安全性帶來一定程度的提升，但同時(shí)也存在更大的隱患，并不是一個(gè)理想的架構(gòu)。

首先，讓我們來看一看“遞歸與緩存分離”架構(gòu)給性能帶來的影響。據(jù)統(tǒng)計(jì)，正常應(yīng)用環(huán)境下，超過90%的DNS解析請求在DNS系統(tǒng)穩(wěn)定運(yùn)行后是可以緩存命中的，只有少量解析請求需要遞歸進(jìn)行，新架構(gòu)對性能的提升可能會比較有限。為了驗(yàn)證這一點(diǎn)，我們做了一個(gè)傳統(tǒng)的通用緩存架構(gòu)和“遞歸與緩存分離”架構(gòu)的性能對比測試。測試環(huán)境中共有5臺配置相同的服務(wù)器（E5620@2.40GHz x 2/8GB內(nèi)存/雙千兆網(wǎng)卡），統(tǒng)一連接到一臺千兆以太網(wǎng)交換機(jī)。其中3臺安裝了在國內(nèi)擁有較大市場份額的IDNS服務(wù)軟件，另2臺作為高性能發(fā)包機(jī)使用。3臺IDNS服務(wù)器中，1臺為通用緩存架構(gòu)，其余2臺配置為“遞歸與緩存分離”的部署架構(gòu)。（測試拓?fù)湟妶D1）

接下來，我們在發(fā)包機(jī)上通過resperf工具，采用現(xiàn)網(wǎng)的域名日志分別對通用緩存架構(gòu)和“遞歸與緩存分離”架構(gòu)進(jìn)行了壓力測試。這個(gè)步驟一共進(jìn)行5次，取最終穩(wěn)定的QPS（query per second，每秒請求數(shù)）值做為結(jié)果。最終，通用緩存架構(gòu)的QPS值穩(wěn)定在20萬，而“遞歸與緩存分離”架構(gòu)的QPS值為20.2萬。我們可以看出，DNS系統(tǒng)運(yùn)行穩(wěn)定后，“遞歸與緩存分離”架構(gòu)只會面臨很少量的遞歸請求，因此實(shí)際性能與通用緩存架構(gòu)趨于一致，而不是大幅提升。

實(shí)際上，“遞歸與緩存分離”架構(gòu)在實(shí)際使用中也帶來了更多的安全問題。一方面，遞歸與緩存分離帶來了新故障點(diǎn)，它們彼此間又相互影響，使維護(hù)監(jiān)控工作變得復(fù)雜。另一方面，由于緩存服務(wù)是從遞歸服務(wù)處取得解析結(jié)果，“遞歸與緩存分離”架構(gòu)在遞歸服務(wù)受到緩存污染攻擊后會出現(xiàn)污染放大效應(yīng)，且不容易被查覺，可能導(dǎo)致更嚴(yán)重的安全事件。此外，由于這種架構(gòu)有著相對特殊的業(yè)務(wù)模型，緩存服務(wù)器受到的壓力通常遠(yuǎn)大于遞歸服務(wù)器，因此惡意攻擊者可以采用比緩存服務(wù)器小得多的攻擊流量對遞歸服務(wù)器進(jìn)行攻擊。這是一個(gè)相當(dāng)嚴(yán)重的問題，因?yàn)樗鼇碓从凇斑f歸與緩存分離”架構(gòu)本身。一些研究者認(rèn)為采用隱藏遞歸服務(wù)器IP外加訪問控制策略的手段可以防止有針對性的攻擊，但雖然大部分遞歸服務(wù)器的IP地址不會被公開，通過建立一個(gè)授權(quán)DNS的方式卻可以很容易地得到遞歸服務(wù)器IP，并且如果攻擊者采用了源端口為53的攻擊方式，傳統(tǒng)的訪問控制手段顯然也難以阻擋。

一些研究者還指出，采用“遞歸與緩存分離”架構(gòu)可在DNS系統(tǒng)受到攻擊，當(dāng)大量遞歸請求產(chǎn)生導(dǎo)致遞歸服務(wù)器崩潰而無力返回解析結(jié)果時(shí)起到一定的保護(hù)作用。理由是緩存服務(wù)器的域名在TTL時(shí)間內(nèi)緩存，還能夠做有限度的正常解析，從而可以在類似2009年5月19日暴風(fēng)影音攻擊那樣的情況下起到保護(hù)作用。其實(shí)，這種正常解析的效果是相對有限的，因?yàn)槟壳按笮途W(wǎng)站的域名傾向于使用較短的TTL，如百度、谷歌都只有20分鐘。因此，“遞歸與緩存分離”架構(gòu)可能能夠正常解析一段時(shí)間，但肯定比較短暫。

還有一些觀點(diǎn)認(rèn)為，在缺乏專業(yè)抗攻擊安全設(shè)備的情況下，用戶可以測試使用不同的DNS系統(tǒng)或不同的功能模塊或插件，利用合理的策略配置，在一定程度上應(yīng)對攻擊。我們也做了一個(gè)測試去驗(yàn)證這一觀點(diǎn)，利用上一個(gè)測試環(huán)境，我們移除了一臺服務(wù)器，將其余4臺分別配置為發(fā)包機(jī)、壓力機(jī)、BIND服務(wù)器及IDNS服務(wù)器。作為開放源代碼的DNS服務(wù)器軟件，BIND已經(jīng)成為世界范圍內(nèi)使用最為廣泛的產(chǎn)品，在測試中具有一定的代表性。壓力機(jī)使用的是開源的dnsflood攻擊工具，分別針對IDNS服務(wù)器和BIND服務(wù)器進(jìn)行攻擊。在此前提下，發(fā)包機(jī)再采用resperf工具及現(xiàn)網(wǎng)域名日志進(jìn)行測試，觀察www.baidu.com以及www.google.com的解析情況。（測試拓?fù)湟妶D2）

我們在測試中注意到，針對標(biāo)準(zhǔn)的BIND服務(wù)器進(jìn)行dnsflood攻擊，很快便不能夠解析包括www.baidu.com和www.google.com在內(nèi)的所有域名；針對IDNS服務(wù)器進(jìn)行攻擊，可以解析出大部分域名，并能夠正確解析www.baidu.com和www.google.com。這個(gè)差異來源于DNS服務(wù)系統(tǒng)的設(shè)計(jì)，根據(jù)文檔說明，IDNS針對解析隊(duì)列進(jìn)行了一定程度的優(yōu)化，在擁塞時(shí)將采用概率智能拋棄策略，隨時(shí)保證到達(dá)的請求有機(jī)會獲得解析。而對于百度、谷歌等實(shí)際中訪問量較大的常見域名來說，獲得解析結(jié)果的機(jī)會更大一些，從而在DNS系統(tǒng)受到攻擊時(shí)仍然能夠保持訪問相對正常。

事實(shí)證明，隨著技術(shù)的發(fā)展進(jìn)步，DNS系統(tǒng)對類似暴風(fēng)影音那一類的拒絕服務(wù)攻擊已經(jīng)可以做到一定程度的防護(hù)。用戶在部署時(shí)可以通過測試、試用等手段評估更多的軟件解決方案。而目前業(yè)界比較關(guān)注的DNS“遞歸與緩存分離”架構(gòu)，還存在著較多的安全隱患，選擇時(shí)宜慎重。