基于IPv6根鏡像的DNS優化方案研究

向九松 劉菁

摘? 要：DNS是國家互聯網的核心基礎設施，而根是整個DNS系統的根本，其數據的準確性及響應速度直接影響著各類互聯網應用的業務感知。通過分析當前DNS系統架構在解析時延、網絡安全、可擴展性等方面存在的問題，結合DNS系統IPv6根的發展現狀和技術優勢，文章提出了基于國內IPv6根+本地根鏡像的DNS優化思路，并就具體實踐過程中安全、冗余、監控等關鍵要點進行闡述。

關鍵詞：DNS;IPv6根;根鏡像

中圖分類號：TP393.4? ? ? 文獻標識碼：A 文章編號：2096-4706（2020）18-0078-03

Abstract：DNS is the core infrastructure of the national internet，and the root is the foundation of the entire DNS system. Its data accuracy and response speed directly affect the business perception of various internet applications. By analyzing the problems of the current DNS system architecture in terms of resolution delay，network security，scalability，etc.，combined with the development status and technical advantages of the IPv6 root of the DNS system，the idea of DNS optimization based on domestic IPv6 root + local root mirroring is proposed. It also elaborates on the key points of safety，redundancy，and monitoring in the specific practice process.

Keywords：DNS;IPv6 root;root mirror

0? 引? 言

隨著互聯網的迅猛發展，各類互聯網應用層出不窮，域名服務系統（DNS，Domain Name System）作為重要樞紐單元之一，其數據準確性及響應速度直接影響著互聯網的業務感知。我國在傳統互聯網領域起步較晚，雖然中國有十幾億手機和寬帶用戶，但全球13個DNS根節點全部在國外，中國并不掌握根區的數據內容和運行控制能力。IPv6提供了一個改變舊規則、重新劃定起跑線的機會。目前中國、美國、日本、俄羅斯等全球16個國家共完成了25臺IPv6根服務器架設，其中3臺為主根服務器，1臺主根服務器和3臺輔根服務器部署在中國，打破了我國過去沒有根服務器的困境。江蘇電信作為省內重要的互聯網基礎服務提供商，率先同下一代互聯網國家工程中心在DNS IPv6根領域展開了聯合探索，此項舉措將為我國進一步規?；渴餓Pv6提供技術支撐，也為鞏固我國在IPv6技術研究領域的領先地位貢獻一份力量。

1? 傳統架構存在問題

1.1? 時延問題

目前IPv4架構下的13個主根均不在中國，即使國內有少量根鏡像服務器，其穩定性也不高，這導致傳輸時延會很大，遞歸解析時經常會因為解析超時導致解析失敗。另外自暴風影音事件以來，以隨機域名為對象的泛域名攻擊逐漸成為DNS的主要攻擊方式，根服務器出于自身安全考慮有時也會對遞歸進行限速，此舉進一步加大了DNS的解析時延，嚴重時還可能導致遞歸服務器癱瘓。

1.2? 安全問題

由于我國并不掌握根區數據內容及運行控制能力，DNS安全存在如下隱患。

（1）停止服務：就理論而言，在特殊背景下國外可以通過操控主根使某個國家或頂級域的域名無法訪問，進而嚴重影響互聯網業務的正常開展。

（2）域名劫持：遞歸服務器向國際根發送遞歸請求時，中間涉及許多網絡環節，這會給惡意分子可乘之機，通過域名劫持實現虛假信息的發布。

（3）信息監控和分析：遞歸解析時會攜帶服務器地址、域名等信息，掌握根服務器的機構就可以開展針對性的信息監控和大數據分析，進而會對國家安全、信息安全造成威脅。

1.3? 擴展性問題

IPv6替代IPv4已成大勢所趨，伴隨著5G、物聯網等大規模的推廣，激活的IPv6地址數量將會數十倍的增加，解析需求也會劇增，現有的DNS架構在傳輸時延、解析效率、單點服務能力、新功能支持等方面都會成為制約業務發展的瓶頸。

2? IPv6根+根鏡像的技術優勢

為了解決傳統根架構上的缺陷，國內外技術專家也進行了若干技術嘗試?；ヂ摼W工程任務組2015年發布了RFC7706協議，其原理是根服務器定時將根區數據同步到本地遞歸服務器上，遞歸服務器利用環回端口運行權威根服務，權威根服務和遞歸服務互不干擾，但此方案會存在權威服務和遞歸服務爭奪系統資源的問題。也有方案在RFC7706基礎上進行了優化，通過設立IPv4本地根鏡像的方式規避資源爭奪的問題，但是此方案仍然要依靠國外的根傳輸數據，在安全性和可靠性方面仍然存在缺陷。相較于其他方案，IPv6根+本地鏡像的方案具有以下幾點優勢。

2.1? 縮短解析時延

通過在本地部署IPv6根鏡像服務器，IPv6根鏡像服務器直接向國內IPv6根同步數據，遞歸服務器直接向IPv6根鏡像發送解析請求，傳輸時延和處理時延可以控制在1 ms以內。

2.2? 安全可控

IPv6根鏡像就部署在DNS系統內部，不會存在遞歸向國際根解析時可能面臨的阻斷、篡改、竊聽等問題，IPv6根國內完全可控，且IPv6根鏡像與國內IPv6根進行數據同步過程中可以通過數據加密、隧道隔離等手段確保數據的安全。

2.3? 可擴展性強

IPv6是下一代互聯網的核心技術之一，在可擴展方面具有原生優勢，除了海量地址空間外，擴展報文頭的自定義能力為后續DNS技術演進預留了無限可能。遞歸和根鏡像服務器均進行了IPv6化改造，它可以更好地支撐互聯網域名系統安全擴展、多語種域名、新頂級域、流分類等新技術，后續也可以更加方便地逐步向純IPv6規模部署演進。

2.4? 運營能力強

通過設置大容量的高速緩存，IPv6根鏡像可以快速響應遞歸的請求，避免因遞歸服務器過度等待或重復查詢而浪費系統資源，可更好地滿足未來海量IPv6地址的解析請求，還可以根據運營者的需求實施定制化策略。

3? 實現

3.1? 系統功能概述

為解決遞歸解析時延大、安全性低、可擴展性差等問題，需要對系統架構和解析流程進行優化。一個正常的解析流程如下：

第一步：當本地的DNS服務器收到客戶解析請求后，就先查詢本地DNS緩存，如果有該紀錄項，則高速緩存服務器就直接將查詢的結果返回給用戶;

第二步：如果緩存中沒有該紀錄，則由DNS遞歸服務器就直接把請求發給根域名服務器

第三步：根域名服務器通常返回自己知道的頂級域名服務器IP;

第四步：遞歸服務器再向上一步返回的域名服務器發送查詢請求;

第五步：重復第四步，直到找到正確的紀錄，并將結果緩存后返回給用戶。

現在需要對第二和第三步根遞歸查詢的環節進行優化，在DNS系統節點內部署IPv6根鏡像服務器，根鏡像定時與國內IPv6根進行數據同步，正常情況下遞歸直接向本地根鏡像查詢頂級域的信息;如果根鏡像出現異常，自動切換至IPv6根或者原來的IPv4根，優化前后解析對比如圖1所示。

優化后的DNS系統將由安全防護、查詢解析、根區解析、系統監控、系統管理五大功能模塊組成，具體系統架構如圖2所示。

3.2? 冗余設計

IPv6根服務器的業務設計采用分布式和模塊化的設計思想，通過BGP+Anycast技術實現多根+多鏡像分布的部署方式，共同承擔網絡中的遞歸解析查詢。節點內部部署多臺本地根鏡像服務器實現負載均衡，在根鏡像上部署路由模擬軟件Zebra，在服務器和交換機之間啟OSPF路由協議，每臺服務器上發布相同的服務地址實現節點內業務的負載均衡。

為了確保DNS系統在根區解析環節的穩定性，需要在遞歸系統上部署根指向切換程序，實現本地根鏡像、IPv6根服務器、默認國際根服務器之間的無縫切換。

3.3? 安全設計

數據傳輸的安全：IPv6根節點與本地IPv6根鏡像之間的根區文件下發，采用加密方式（TSIG）傳送，確保根區數據內容自主可控。

地址限制：在DNS本地節點和IPv6國內根節點上均設置嚴格的白名單，僅允許特定地址、特定端口進行訪問。

根鏡像的安全：利用DBDK、DPI等技術實現畸形報文過濾、攻擊檢測、緩存限速等功能，確保單臺服務器抗攻擊能力超過百萬QPS。

3.4? 性能監測

根服務監控：通過自動化腳本實現對根服務的監控，包括進程、并發量、同步狀態等，出現異常情況立即發出異常報警。

安全監控：通過實時監控網絡或服務器，監視分析網絡和系統的行為，評估數據的完整性，自動識別攻擊行為，對異常行為進行統計和跟蹤。

網絡監控：實時監控承載網絡的鏈路質量和設備質量，實時記錄各類主機的流量，并設置突變閾值確保發生DDOS攻擊時能夠發現并處理。

業務撥測：通過撥測系統分別模擬終端用戶、高速緩存、遞歸服務器、根鏡像服務器對下一級服務器進行業務撥測，驗證每個業務環節是否正常。

3.5? 優化結果驗證

對解析數據從解析效率、準確性、冗余性等方面進行分析和統計，得到優化結果如下。

IPv6根服務器在TOP10萬正常域名和TOP10萬異常域名測試中，平均解析速度快于默認根，去除網絡抖動和權威限制等因素，解析成功率高于默認根2%左右。

IPv6根在10 000隨機TLD域名解析中，域名平均解析速度明顯快于默認根差距在100 ms之間，解析成功率高于默認根5%左右。

在江蘇電信現網實際部署后，遞歸平均遞歸解析成功率從90.7%提升至95.1%，在無遞歸攻擊的情況下平均遞歸時延下降8%。

IPv6根在單個根服務器宕機的情況下，遞歸域名解析結果正常，IPv6根在故障和恢復的過程中時可以和默認根之間達到無縫平滑切換。

4? 結? 論

IPv6根服務器的規模推廣，將打破國外互聯網強國壟斷根服務器的局面，會對國家信息安全和國家下一代互聯網發展產生不可估量的影響。未來網絡將從傳統的“以網絡資源為中心”轉變為“以應用服務為中心”，作為互聯網應用的重要樞紐，高效、安全、可控、可編程的智能DNS將在5G云時代發揮舉足輕重的作用。

參考文獻：

[1] 王相林.IPv6網絡——基礎、安全、過渡與部署 [M].北京：電子工業出版社，2015.

[2] 田延偉，李杰，師震宇.IPv6環境下遞歸DNS系統的安全風險與挑戰 [C]//公安部網絡安全保衛局.2019互聯網安全與治理論壇論文集.公安部網絡安全保衛局：《信息網絡安全》北京編輯部，2019：4.

[3] 延志偉，耿光剛，李洪濤，等.DNS根服務體系的發展研究 [J].網絡與信息安全學報，2017，3（3）：1-12.

[4] 張宇，夏重達，方濱興，等.一個自主開放的互聯網根域名解析體系 [J].信息安全學報，2017，2（4）：57-69.

[5] 莊天舒，劉文峰，李東.基于區塊鏈的DNS根域名解析體系 [J].電信科學，2018，34（3）：17-22.

作者簡介：向九松（1976—），男，漢族，江蘇揚州人，高級工程師，本科，研究方向：IP承載網、DNS;劉菁（1982—），女，漢族，江蘇南京人，工程師，本科，研究方向：IP承載網。