湯劍++胡洪新

摘要：域名解析是互聯(lián)網(wǎng)的一項(xiàng)基礎(chǔ)服務(wù)，當(dāng)DNS受到攻擊或不可用時(shí)互聯(lián)網(wǎng)服務(wù)將受到影響，分析造成域名解析服務(wù)故障的原因，應(yīng)用負(fù)載均衡、服務(wù)分流、集中管理、日志分析、訪問列表控制等技術(shù)，實(shí)現(xiàn)DNS的高可用性與安全可控。

關(guān)鍵字： 域名解析；日志分析；訪問控制；安全管理

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）21-0043-02

Security Deployment and Implementation of DNS

TANG Jian， HU Hong-xin

（Suzhou Vocationai University， Suzhou 215104， China）

Abstract： Domain name resolution is an Internet-based service.When DNS attack or unavailable Internet services will be affected.Analyze the reasons for failure of the DNS.Apply load balancing， service diversion， centralized management， log analysis， access control lists and other technical.To achieve high availability and security of DNS controlled。

Key words： DNS；log analysis；access control；safety management

1現(xiàn)狀簡述

現(xiàn)階段大量的信息系統(tǒng)是WEB服務(wù)的形式展現(xiàn)，使用者訪問都是通過域名來訪問，對外開放的信息系統(tǒng)可以直接在外網(wǎng)通過域名直接訪問，如果對外的DNS域名解析服務(wù)出現(xiàn)故障，當(dāng)故障時(shí)間超過了DNS記錄的有效時(shí)間，外網(wǎng)域名的解析記錄就會(huì)清除掉，外網(wǎng)就不能訪問到單位的信息系統(tǒng)，內(nèi)網(wǎng)的信息系統(tǒng)的域名解析信息僅存在于DNS服務(wù)器中，如果DNS解析服務(wù)故障將導(dǎo)致內(nèi)網(wǎng)信息系統(tǒng)全部中斷，導(dǎo)致有關(guān)系統(tǒng)的工作都無法展開?，F(xiàn)在的使用環(huán)境是內(nèi)外同用一個(gè)服務(wù)器，當(dāng)內(nèi)網(wǎng)服務(wù)突然增長時(shí)服務(wù)器的性能會(huì)下降，當(dāng)外網(wǎng)的服務(wù)量突然增加的時(shí)候容易出現(xiàn)故障或當(dāng)機(jī)，導(dǎo)致系統(tǒng)內(nèi)所有的DNS服務(wù)不可用?，F(xiàn)在DNS配置有外網(wǎng)的主機(jī)解析信息和內(nèi)網(wǎng)的主機(jī)解析信息，外網(wǎng)的主機(jī)解析信息用來解析對外開放的主機(jī)公網(wǎng)IP信息，通過該接口將信息傳遞給上層的服務(wù)器，內(nèi)網(wǎng)的主機(jī)信息主要用來解析只在內(nèi)網(wǎng)使用但不對外開放的主機(jī)，內(nèi)網(wǎng)或外網(wǎng)來源引起的主機(jī)故障都會(huì)影響整個(gè)全系統(tǒng)的系統(tǒng)服務(wù)。

2 問題分析

惡意訪問導(dǎo)致的響應(yīng)緩慢，當(dāng)惡意DNS訪問請求產(chǎn)生時(shí)，首先出現(xiàn)的情況時(shí)DNS服務(wù)設(shè)備的CPU使用率升高，然后會(huì)產(chǎn)生大量的日志信息導(dǎo)致磁盤空間占用率迅速上升，進(jìn)行影響到系統(tǒng)服務(wù)的正常緩存空間使用，導(dǎo)致DNS服務(wù)響應(yīng)慢或不可用。惡意攻擊導(dǎo)致的服務(wù)停止，DNS服務(wù)受到來自外網(wǎng)的惡意攻擊，系統(tǒng)出現(xiàn)響應(yīng)故障并伴有DNS記錄無法正常解析，大量的無用數(shù)據(jù)包攔截了正常的DNS解析數(shù)據(jù)，內(nèi)外網(wǎng)用戶無法得到正常的DNS服務(wù)，并且有可能DNS解析記錄被惡意修改且被重定向到有惡意軟件的網(wǎng)址，導(dǎo)致全網(wǎng)出現(xiàn)訪問故障安全威脅漏洞。硬件故障導(dǎo)致的服務(wù)停止：DNS的主機(jī)出現(xiàn)硬件故障，導(dǎo)致主機(jī)無法開機(jī)且無法提供服務(wù)，因?yàn)镈NS服務(wù)做的操作是進(jìn)行主機(jī)記錄的查詢及日志信息的寫入，這樣的操作會(huì)經(jīng)常讀寫系統(tǒng)硬盤，反復(fù)的讀寫會(huì)縮硬件的使用周期，正常情況的DNS解析服務(wù)會(huì)產(chǎn)生同數(shù)量級的日志，當(dāng)DNS被惡意訪問解析的時(shí)候會(huì)產(chǎn)生大量的無用日志，硬盤讀寫操作就會(huì)成倍增長，由于DNS的數(shù)據(jù)與日志都存在硬盤中，當(dāng)日志大量寫入導(dǎo)致的硬盤發(fā)生硬件錯(cuò)誤時(shí)，由于系統(tǒng)程序及DNS服務(wù)數(shù)據(jù)都在硬盤，數(shù)據(jù)讀取錯(cuò)誤進(jìn)而導(dǎo)致DNS服務(wù)無法工作。

3 改進(jìn)的方案

對前面的問題進(jìn)行分析后，總結(jié)出部署架構(gòu)著重關(guān)注負(fù)載大時(shí)的自動(dòng)化性能調(diào)整優(yōu)化、系統(tǒng)的可靠性、服務(wù)的穩(wěn)定性提升等方面，再綜合考慮DNS服務(wù)的有效性、高效性、穩(wěn)定性、安全性、可控性等因素后，整體結(jié)構(gòu)采用主從DNS服務(wù)模式、內(nèi)外DNS服務(wù)分離、前端負(fù)載均衡、實(shí)時(shí)分析過濾相結(jié)合的方式實(shí)現(xiàn)DNS部署，具體為內(nèi)網(wǎng)使用主從二臺(tái)DNS服務(wù)器，前置負(fù)載用來平衡分流主從兩臺(tái)DNS的解析任務(wù)，外網(wǎng)DNS服務(wù)采用單獨(dú)的主機(jī)部署方式，一臺(tái)性能監(jiān)控及日志分析服務(wù)器采集各設(shè)備的性能信息及日志。

3.1 增加前端的智能負(fù)載均衡

通過前端負(fù)載設(shè)備來保證后端服務(wù)的安全與穩(wěn)定性，按照方案后端部署的主從DNS做為服務(wù)端，當(dāng)其中一個(gè)DNS服務(wù)器負(fù)載較大或性能差時(shí)，智能負(fù)載設(shè)備能夠有效的檢測到該信息并避開該服務(wù)器，保證前端服務(wù)的穩(wěn)定性，部署方式是在內(nèi)網(wǎng)主從DNS服務(wù)器加前端負(fù)載均衡服務(wù)器部署，出于穩(wěn)定性要求按服務(wù)類型對部分客戶端配置定向分流。

acl "internal_ip"{

10.0.0.0/8；

172.16.0.0/12；

192.168.0.0/16；

219.219.160.0/20；}；

include "world_ip.acl"； /*外網(wǎng)服務(wù)地址及拒絕服務(wù)列表*/

3.2 內(nèi)外網(wǎng)數(shù)據(jù)同步

采用上述DNS部署方式存在的問題是內(nèi)網(wǎng)DNS與外網(wǎng)DNS分別存放二份本域DNS的解析數(shù)據(jù)，在內(nèi)網(wǎng)DNS與外網(wǎng)DNS服務(wù)器上均存入本域主機(jī)的內(nèi)外網(wǎng)解析信息，采用視圖配置方案保證客戶端訪問時(shí)能夠得到實(shí)際需要的數(shù)據(jù)，考慮到安全性的問題，數(shù)據(jù)是內(nèi)網(wǎng)DNS的數(shù)據(jù)為基準(zhǔn)，為保證外網(wǎng)DNS的安全且可獨(dú)立配置性，外網(wǎng)DNS服務(wù)器不采用從服務(wù)器的模式來使用，而單獨(dú)配置一臺(tái)DNS設(shè)備，數(shù)據(jù)的準(zhǔn)確性是以內(nèi)網(wǎng)節(jié)點(diǎn)為標(biāo)準(zhǔn)，在內(nèi)網(wǎng)DNS主服務(wù)器配置一個(gè)定期腳本每分鐘周期性檢查內(nèi)網(wǎng)與外網(wǎng)DNS服務(wù)器上的本域的域名解析記錄文件校驗(yàn)值，一旦發(fā)現(xiàn)二臺(tái)機(jī)器上的本域域名解析記錄文件不同，內(nèi)網(wǎng)主DNS通過預(yù)設(shè)的腳本代碼主動(dòng)發(fā)送記錄文件到外網(wǎng)DNS服務(wù)器，并遠(yuǎn)程讓外網(wǎng)DNS重新載入解析記錄文件，進(jìn)而保證本域記錄解析文件的統(tǒng)一性。

3.3 最小化工作負(fù)載

內(nèi)網(wǎng)DNS負(fù)載解析的工作量較大，主要包括本單位所有內(nèi)網(wǎng)域名的解析工作與對其它域名服務(wù)的請求轉(zhuǎn)發(fā)工作，為了保障DNS服務(wù)的穩(wěn)定，采用主、從二臺(tái)內(nèi)網(wǎng)DNS服務(wù)器來處理響應(yīng)請，在負(fù)載一般的情況下僅公布從DNS服務(wù)器作為服務(wù)對象，在出現(xiàn)異常大的請求或故障時(shí)通過前端負(fù)載均衡設(shè)備讓內(nèi)網(wǎng)主DNS加入服務(wù)隊(duì)例進(jìn)行應(yīng)急處理。外網(wǎng)DNS的解析工作僅包括單位域名下對外網(wǎng)開放的域名信息解析，其它域的解析采用配置進(jìn)行了過濾與屏蔽，以最小化的服務(wù)項(xiàng)來保障外網(wǎng)DNS的性能可靠。

view "internal"{match-clients{"internal_ip"；}； allow-recursion {any；}；....}

view "world"{ match-clients{"world_ip"；}； allow-recursion {none；}；....}

3.4 實(shí)時(shí)性能分析與報(bào)警

配置并開啟每臺(tái)DNS服務(wù)器的SNMP監(jiān)控?cái)?shù)據(jù)采集服務(wù)，當(dāng)某臺(tái)出現(xiàn)故障不能服務(wù)時(shí)必須及時(shí)做出警告響應(yīng)，用于采集主機(jī)CPU、內(nèi)存、NAMED程序CPU、內(nèi)存使用比例、網(wǎng)絡(luò)接口數(shù)據(jù)流量、系統(tǒng)總的進(jìn)程數(shù)等信息，并在監(jiān)控主平臺(tái)下配置好相應(yīng)的預(yù)警條件，當(dāng)各類數(shù)值達(dá)到預(yù)警條件、DNS不可服務(wù)、數(shù)據(jù)采集失敗等情況出現(xiàn)時(shí)，監(jiān)控平臺(tái)及時(shí)發(fā)送報(bào)警信息提醒工作人員，保證DNS服務(wù)在最短的故障時(shí)間內(nèi)被恢復(fù)。

3.5 惡意訪問的過濾處理

惡意攻擊和訪問一直是困擾服務(wù)正常運(yùn)行的問題，DNS服務(wù)也存在著這類問題，特別在外網(wǎng)DNS服務(wù)器上經(jīng)常會(huì)出現(xiàn)些頻繁的域名解析請求，該類IP地址發(fā)出的域名解析請求經(jīng)常是一些無效的域名，做這些處理會(huì)讓DNS浪費(fèi)掉很多性能，為改善這種局面引入可疑IP名單與黑名單機(jī)制來保障服務(wù)，名單的獲取依賴于DNS服務(wù)的查詢、解析、安全等日志。

category queries{query_log；}；

category resolver{resolver_log；}；

category security{security_log；}；

在DNS服務(wù)器端配置每8小時(shí)為記錄日志文件的周期，在監(jiān)控平臺(tái)服務(wù)器上配置每8小時(shí)采集最近的DNS服務(wù)的日志文件，同時(shí)監(jiān)控平臺(tái)的日志分析程序分析剛采集的DNS服務(wù)的各類日志文件，提取出里面的惡意解析請求信息及來源IP，同時(shí)將該IP添加到DNS服務(wù)的world_ip.acl的禁止服務(wù)IP名單中并歸為可疑IP，如果在配置拒絕該IP的DNS解析請求后，該IP還是在頻繁的發(fā)出訪問請求，日志分析程序通過分析DNS服務(wù)的安全日志信息可以發(fā)現(xiàn)該IP，日志分析程序?qū)⒃揑P將被劃入黑名單，同時(shí)通過預(yù)設(shè)腳本把該IP直接劃入防火墻的拒絕列表。

4 總結(jié)與思考

在使用這種架構(gòu)的DNS部署后，DNS的服務(wù)器的穩(wěn)定性得到增強(qiáng)，在內(nèi)網(wǎng)負(fù)載較大或出現(xiàn)內(nèi)部主機(jī)中毒后的惡意訪問時(shí)DNS服務(wù)也能正常工作，監(jiān)控與日志分析平臺(tái)能夠及時(shí)發(fā)現(xiàn)惡意訪問的主機(jī)地址并發(fā)出預(yù)警；在采用最小化服務(wù)及惡意訪問名單控制后，外網(wǎng)DNS服務(wù)器沒有出現(xiàn)過服務(wù)故障，總體該方案部署的服務(wù)提升了穩(wěn)定及可控性。后期也發(fā)現(xiàn)該部署方案涉及的主機(jī)設(shè)備較多，整體控制管理集中到單臺(tái)主機(jī)效果可能更佳，如何精簡部署是后面加強(qiáng)的方向。

參考文獻(xiàn)：

[1] 白戈力， 徐超. LVS集群在DNS服務(wù)器上的應(yīng)用與研究[J]. 內(nèi)蒙古農(nóng)業(yè)大學(xué)學(xué)報(bào)， 2012，33（2）：193-195.

[2] 馬斌. 基于189郵箱的DNS服務(wù)故障報(bào)警方案[J]. 武漢理工大學(xué)學(xué)報(bào)， 2010，32（12）： 140-142.

[3] 王艷歌. 一種基于智能DNS解析及靜態(tài)地址映射的快速訪問策略[J]. 科技通報(bào)，2012，28（12）：146-148.

[4] 顧煒江， 徐波. 復(fù)雜網(wǎng)絡(luò)中利用DNS實(shí)現(xiàn)快速安全互訪[J]. 煤炭技術(shù)，2012，31（10） ：230-232.

[5] 杜躍進(jìn)， 張兆心. 基于用戶感知的DNS解析網(wǎng)絡(luò)性能測量技術(shù)[J]. 南京航空航天大學(xué)學(xué)報(bào)，2013，45（1）： 110-115.