文/江魁 王飛 張巍 胡華周

（作者單位為深圳大學(xué)）

由于園區(qū)網(wǎng)通常具有多運(yùn)營(yíng)商多出口的鏈路環(huán)境，為了訪問位于不同運(yùn)營(yíng)商的網(wǎng)絡(luò)資源，用戶一般需要在客戶端手動(dòng)修改DNS 配置來實(shí)現(xiàn)出口選路功能，效率較為低下。傳統(tǒng)的智能DNS 能夠智能識(shí)別來訪用戶的IP 地址，然后返回一個(gè)用戶所屬運(yùn)營(yíng)商的服務(wù)器IP 地址供其訪問，但這也只是在DNS 側(cè)解決了來自不同運(yùn)營(yíng)商的用戶高效訪問園區(qū)網(wǎng)資源的需求，對(duì)于多出口園區(qū)網(wǎng)環(huán)境下，園區(qū)網(wǎng)用戶高效訪問互聯(lián)網(wǎng)資源的需求則無能為力。為了解決這一問題，本文設(shè)計(jì)了一種適用于多出口園區(qū)網(wǎng)環(huán)境下的反向智能DNS 系統(tǒng)，并已在深圳大學(xué)校園網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)，可為各高校優(yōu)化現(xiàn)有的DNS 系統(tǒng)起到一定的借鑒作用。

DNS 系統(tǒng)

DNS 是互聯(lián)網(wǎng)中的一項(xiàng)核心服務(wù)，其主要功能是將域名和IP 地址之間進(jìn)行轉(zhuǎn)換。DNS 也是目前各高校園區(qū)網(wǎng)的重要基礎(chǔ)設(shè)施，各高?；旧隙冀ㄓ凶约旱腄NS 服務(wù)器，通過DHCP 方式將DNS 服務(wù)器IP 地址下發(fā)給園區(qū)網(wǎng)用戶，用戶直接訪問互聯(lián)網(wǎng)域名即可訪問對(duì)應(yīng)網(wǎng)站。

DNS 原理

DNS 的域名采用了層次樹狀結(jié)構(gòu)的命名方法，通過遍布在全球的分布式域名服務(wù)器來完成域名到IP 地址的解析過程。

當(dāng)應(yīng)用程序需要將域名（以www.edu.cn 為例）解析為IP 地址時(shí)，該應(yīng)用程序就會(huì)調(diào)用解析程序，把待解析的域名放在DNS 請(qǐng)求報(bào)文中，以UDP 用戶數(shù)據(jù)報(bào)方式發(fā)送給本地域名服務(wù)器。本地域名服務(wù)器查看本地?cái)?shù)據(jù)庫(kù)或緩存中是否存在此域名的解析記錄，如有對(duì)應(yīng)的解析記錄則將IP 地址放在回答報(bào)文中返回，否則將向根域名服務(wù)器進(jìn)行查詢。根域名服務(wù)器將對(duì)應(yīng)頂級(jí)域名（.cn）服務(wù)器的IP 地址返回給本地域名服務(wù)器，讓本地域名服務(wù)器再向頂級(jí)域名服務(wù)器查詢。頂級(jí)域名服務(wù)器再返回對(duì)應(yīng)授權(quán)域名（.edu.cn）服務(wù)器的IP 地址供本地域名服務(wù)器下一步進(jìn)行查詢。若授權(quán)域名服務(wù)器中存在對(duì)應(yīng)記錄，則給本地域名服務(wù)器返回解析后的IP 地址，否則報(bào)錯(cuò)。本地域名服務(wù)器再將結(jié)果返回給用戶。

用戶向本地域名服務(wù)器的查詢?yōu)檫f歸查詢，本地域名服務(wù)器向根域名服務(wù)器的查詢?yōu)榈樵?。遞歸查詢指本地域名服務(wù)器無法解析用戶所查詢的域名，則本地服務(wù)器將以DNS 客戶身份替用戶向其他域名服務(wù)器繼續(xù)查詢；迭代查詢是指域名服務(wù)器收到查詢請(qǐng)求時(shí)，要么返回解析后的IP 地址，要么告知用戶下一步應(yīng)向哪個(gè)域名服務(wù)器進(jìn)行查詢，直到查到所需結(jié)果或返回報(bào)錯(cuò)信息為止。

現(xiàn)有DNS 系統(tǒng)的問題與不足

1.現(xiàn)有DNS 無法判斷用戶的來向，只能通過預(yù)先設(shè)置的若干轉(zhuǎn)發(fā)服務(wù)器進(jìn)行輪詢式的轉(zhuǎn)發(fā)，無法根據(jù)用戶的訪問請(qǐng)求設(shè)置不同條件，將其轉(zhuǎn)發(fā)給不同的DNS 服務(wù)器。

2.現(xiàn)有DNS 也無法監(jiān)控當(dāng)前的鏈路情況，不能根據(jù)動(dòng)態(tài)實(shí)時(shí)的鏈路負(fù)載情況進(jìn)行DNS 的智能調(diào)度。

3.現(xiàn)有DNS 對(duì)查詢的域名不具備識(shí)別能力，無法對(duì)惡意域名進(jìn)行有效攔截。

4.現(xiàn)有DNS 的抗攻擊性較差，容易受到攻擊者的攻擊。

5.現(xiàn)有DNS 不具備大數(shù)據(jù)分析的能力，無法對(duì)用戶的DNS數(shù)據(jù)進(jìn)行合理的行為分析。

反向智能DNS 系統(tǒng)架構(gòu)

針對(duì)現(xiàn)有DNS 系統(tǒng)的問題與不足，本文設(shè)計(jì)了一種適用于多出口園區(qū)網(wǎng)的反向智能DNS 系統(tǒng)，并以深圳大學(xué)校園網(wǎng)為例，對(duì)其架構(gòu)進(jìn)行說明。

傳統(tǒng)智能DNS 解決的問題是從外到內(nèi)的最優(yōu)路徑訪問，有別于傳統(tǒng)的智能DNS，反向智能DNS 系統(tǒng)解決的問題是從園區(qū)網(wǎng)內(nèi)到園區(qū)網(wǎng)外的多路優(yōu)化訪問。例如，深圳大學(xué)的網(wǎng)絡(luò)結(jié)構(gòu)具有多個(gè)鏈路出口，分別是教育網(wǎng)、電信、移動(dòng)和聯(lián)通。為了優(yōu)化園區(qū)網(wǎng)絡(luò)，保證校內(nèi)用戶安全、高效、可控地訪問互聯(lián)網(wǎng)資源，設(shè)計(jì)的反向智能DNS 系統(tǒng)架構(gòu)如圖1 所示。圖中面向園區(qū)網(wǎng)所有用戶進(jìn)行DNS 數(shù)據(jù)分發(fā)的是第一層DNS，該DNS 是整個(gè)園區(qū)網(wǎng)訪問互聯(lián)網(wǎng)流量的入口，根據(jù)用戶訪問的網(wǎng)站不同，將其DNS請(qǐng)求轉(zhuǎn)發(fā)到對(duì)應(yīng)的第二層DNS 上，第二層DNS 對(duì)應(yīng)不同運(yùn)營(yíng)商的DNS。比如教育網(wǎng)出口，深圳大學(xué)擁有自建的教育網(wǎng)DNS；電信出口使用了電信提供的DNS；聯(lián)通出口則使用聯(lián)通提供的DNS；移動(dòng)出口使用移動(dòng)提供的DNS。第一層DNS 可以對(duì)用戶DNS 請(qǐng)求提供智能解析功能，通過預(yù)先設(shè)置的策略可以對(duì)域名解析得到的IP 地址進(jìn)行優(yōu)選排序，從而實(shí)現(xiàn)園區(qū)網(wǎng)內(nèi)到園區(qū)網(wǎng)外的多路優(yōu)化訪問。如對(duì)于edu.cn 域名后綴的網(wǎng)站訪問，可以通過第一層DNS 將其指向教育網(wǎng)DNS；對(duì)于國(guó)內(nèi)公網(wǎng)的訪問，可以根據(jù)鏈路的負(fù)載情況將其指向電信DNS 或移動(dòng)DNS；對(duì)于國(guó)外網(wǎng)站和部分視頻網(wǎng)站的訪問則將其指向聯(lián)通提供的DNS，最終將某個(gè)IP 優(yōu)先返回給用戶，從而實(shí)現(xiàn)用戶最優(yōu)上網(wǎng)的功能。

圖1 分層DNS 系統(tǒng)架構(gòu)

反向智能DNS 功能實(shí)現(xiàn)

圖2 功能模塊

反向智能DNS 從功能上又可以分為控制模塊、安全模塊、服務(wù)模塊、存儲(chǔ)模塊和分析模塊，如圖2 所示。控制模塊主要負(fù)責(zé)策略定制、轉(zhuǎn)發(fā)控制以及流量調(diào)度，實(shí)現(xiàn)智能DNS 的選路功能以及對(duì)DNS 業(yè)務(wù)流量的負(fù)載均衡；安全模塊可以實(shí)現(xiàn)惡意域名攔截、DDOS 流量攻擊防護(hù)、DNS 隱蔽通道阻斷，從而建立安全可靠的DNS 架構(gòu)；服務(wù)模塊主要由DNS 遞歸、緩存服務(wù)器構(gòu)成，負(fù)責(zé)向園區(qū)網(wǎng)用戶提供DNS 查詢服務(wù)；存儲(chǔ)模塊負(fù)責(zé)收集DNS流量數(shù)據(jù)以及日志信息，由分析模塊對(duì)收集到的數(shù)據(jù)進(jìn)行多維度的數(shù)據(jù)挖掘。各模塊之間相互協(xié)調(diào)，在實(shí)現(xiàn)不同功能的基礎(chǔ)上構(gòu)成一個(gè)完整的系統(tǒng)。用戶的DNS 請(qǐng)求首先會(huì)由安全模塊進(jìn)行檢查，之后由服務(wù)模塊提供DNS 查詢服務(wù)，若DNS 請(qǐng)求命中緩存則給用戶直接返回結(jié)果，否則服務(wù)模塊將根據(jù)控制模塊的策略將DNS 遞歸請(qǐng)求轉(zhuǎn)發(fā)至第二層DNS，第二層DNS 解析之后由服務(wù)模塊將結(jié)果返回給用戶，同時(shí)，存儲(chǔ)模塊采集DNS 的流量數(shù)據(jù)，分析模塊可以對(duì)流量數(shù)據(jù)進(jìn)行實(shí)時(shí)或事后的多維分析。下面重點(diǎn)對(duì)反向智能DNS 系統(tǒng)相關(guān)功能模塊實(shí)現(xiàn)關(guān)鍵技術(shù)進(jìn)行說明。

DNS 數(shù)據(jù)重定向

默認(rèn)情況下，校內(nèi)所有用戶使用第一層DNS 進(jìn)行查詢，如果用戶能夠手動(dòng)修改本機(jī)的DNS 配置，使用指定的DNS 服務(wù)器進(jìn)行查詢，就可以繞過智能DNS 的管控，因此需要在網(wǎng)絡(luò)流量出口處部署一臺(tái)重定向設(shè)備，對(duì)用戶的DNS 數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，將所有的DNS 請(qǐng)求報(bào)文重定向到指定的校內(nèi)第一層DNS 上。

DNS 重定向設(shè)備會(huì)記錄相關(guān)的會(huì)話數(shù)據(jù)，對(duì)接收的DNS 請(qǐng)求報(bào)文進(jìn)行基本包的安全檢查，解析出使用的DNS 服務(wù)器IP 地址，若IP 地址不在設(shè)定的白名單列表內(nèi)，將其重定向至校內(nèi)第一層DNS 上；若IP 地在白名單列表內(nèi)，則不需要對(duì)其進(jìn)行重定向，重定向設(shè)備收到DNS 響應(yīng)報(bào)文后，將查詢結(jié)果返回給用戶。

智能解析

反向智能DNS 的構(gòu)建主要是為了提高園區(qū)網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的效率，因此，智能解析的選路與調(diào)度功能是反向智能DNS 的核心。

智能解析最基本的功能是可以智能判斷訪問網(wǎng)站的用戶，然后將其DNS 請(qǐng)求轉(zhuǎn)發(fā)到相應(yīng)運(yùn)營(yíng)商的DNS 服務(wù)器上，實(shí)現(xiàn)DNS的選路功能。除此之外，智能解析也支持策略定制，基于不同域名，可以選擇不同鏈路出口的DNS 服務(wù)器，例如對(duì)于edu.cn 域名后綴的訪問將使用教育網(wǎng)DNS；基于不同的用戶群體，可以分配不同的出口DNS，對(duì)于校內(nèi)使用不同運(yùn)營(yíng)商的用戶群體，將其DNS 請(qǐng)求指向?qū)?yīng)運(yùn)營(yíng)商的DNS；對(duì)于擁有多個(gè)IP 地址的域名，可以根據(jù)網(wǎng)絡(luò)狀況進(jìn)行優(yōu)選排序，將某個(gè)IP 優(yōu)先返回給用戶；當(dāng)某個(gè)出口鏈路負(fù)載較大時(shí)，可以根據(jù)策略將用戶的DNS 請(qǐng)求轉(zhuǎn)發(fā)至其他鏈路出口，防止鏈路擁塞影響用戶的正常上網(wǎng)；通過多種策略組合以及差異化的流量調(diào)度，以此來實(shí)現(xiàn)智能DNS 的選路與調(diào)度功能。

惡意域名攔截

智能DNS 服務(wù)器收到DNS 查詢請(qǐng)求之后，會(huì)提取其中的關(guān)鍵信息，如查詢域名、目標(biāo)DNS 服務(wù)器IP 地址等，通過與互聯(lián)網(wǎng)公司合作，獲取安全情報(bào)庫(kù)，與情報(bào)庫(kù)中的記錄進(jìn)行對(duì)比，如果用戶訪問的域名在情報(bào)庫(kù)中屬于惡意域名，或者用戶使用的DNS 服務(wù)器IP 地址在情報(bào)庫(kù)中屬于惡意IP 地址，一律將用戶重定向至特定網(wǎng)頁(yè)，告知用戶其電腦可能受到惡意程序的感染，建議其安裝終端防護(hù)軟件進(jìn)行清除。

DDOS 防護(hù)

DNS 是園區(qū)網(wǎng)最為重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之一，目前針對(duì)DNS 服務(wù)器的分布式拒絕服務(wù)（Distributed denial of service）攻擊是比較流行的一種方式。因此，一個(gè)可靠的DNS 架構(gòu)如果沒有高性能的抗DDOS 攻擊能力就不能稱其為健壯的架構(gòu)。

針對(duì)園區(qū)網(wǎng)DNS 的DDOS 攻擊通常利用多臺(tái)機(jī)器對(duì)DNS 服務(wù)器發(fā)起大量的查詢請(qǐng)求，從而消耗服務(wù)器的資源，使得正常用戶的合法請(qǐng)求得不到響應(yīng)。反向智能DNS 可以通過判斷每個(gè)源IP 的請(qǐng)求是否超過設(shè)定的閾值、每個(gè)域名的請(qǐng)求是否超過設(shè)定的閾值，對(duì)相應(yīng)的IP 地址和域名進(jìn)行限速，從而對(duì)每個(gè)IP 地址每秒訪問DNS 的并發(fā)請(qǐng)求量以及每個(gè)域名每秒并發(fā)訪問量進(jìn)行有效地控制，對(duì)于前綴變化的泛域遞歸攻擊可以采取泛域限速的措施，以此來提升DNS 的抗攻擊能力。通過智能DNS 的安全防護(hù)模塊，使用多層級(jí)限速的過濾技術(shù)，可以有效過濾DDOS 攻擊流量，最大限度地保證正常用戶的DNS 訪問。

DNS 隱蔽通道攔截

網(wǎng)絡(luò)隱蔽通道是攻擊者繞過網(wǎng)絡(luò)安全策略進(jìn)行數(shù)據(jù)傳輸?shù)闹匾緩?，而DNS 則是實(shí)現(xiàn)隱蔽通道的常用手段。由于DNS 是互聯(lián)網(wǎng)中關(guān)鍵的基礎(chǔ)服務(wù)之一，網(wǎng)絡(luò)管理策略通常對(duì)DNS 的數(shù)據(jù)作少量限制或不作限制，因此利用DNS 進(jìn)行隱蔽通訊的方法可以繞過防火墻的策略。可以利用DNS 查詢過程建立隱蔽通道，實(shí)現(xiàn)數(shù)據(jù)傳輸，如圖3 所示。DNS 隱蔽通道由客戶端和服務(wù)端兩部分組成，客戶端程序?qū)⑼ㄐ艛?shù)據(jù)通過加密或編碼封裝在DNS 請(qǐng)求報(bào)文的域名字段內(nèi)，利用DNS 的查詢過程，通過多級(jí)DNS 服務(wù)器間的層層轉(zhuǎn)發(fā)，最后分發(fā)給DNS 授權(quán)服務(wù)器，即隱蔽通道的服務(wù)端。服務(wù)端程序解析對(duì)應(yīng)的請(qǐng)求報(bào)文，將通信數(shù)據(jù)封裝在DNS 響應(yīng)報(bào)文內(nèi)，再通過DNS 服務(wù)器返回給客戶端。在這個(gè)過程中，客戶端與服務(wù)器之間并沒有直接通信，而是利用多級(jí)DNS 服務(wù)器對(duì)通信數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)達(dá)到了通信的目的。由此可知，建立DNS 隧道需要注冊(cè)一個(gè)互聯(lián)網(wǎng)域名并擁有對(duì)應(yīng)的DNS 授權(quán)服務(wù)器，以此確?？蛻舳私?jīng)過封裝后的DNS 查詢請(qǐng)求能夠分發(fā)到DNS 授權(quán)服務(wù)器上。

由于DNS 隱蔽通道經(jīng)常被攻擊者用于僵尸網(wǎng)絡(luò)的通信以及APT（Advanced Persistent Threat）攻擊，因此需要對(duì)隱蔽通道進(jìn)行攔截，以此來提升園區(qū)網(wǎng)的安全性，避免攻擊者利用DNS 隱蔽通道對(duì)園區(qū)網(wǎng)造成危害。

圖3 DNS 隱蔽通道架構(gòu)

圖4 數(shù)據(jù)分析功能層次結(jié)構(gòu)

為了盡可能的傳輸更多的數(shù)據(jù)，在真實(shí)網(wǎng)絡(luò)環(huán)境中，DNS隱蔽通道一般會(huì)使用TXT、ANY 記錄類型來進(jìn)行DNS 查詢。智能DNS 可以對(duì)TXT、ANY 類型的DNS 查詢進(jìn)行限速或禁用這兩種記錄類型，以此來阻斷DNS 隱蔽通道的建立。由于用戶在使用DNS 的過程中幾乎不會(huì)用到TXT、ANY 這兩種查詢類型，所以禁用這兩種類型的DNS 查詢對(duì)用戶基本不會(huì)產(chǎn)生影響，同時(shí)，這種方法也可以阻斷大部分DNS 隱蔽通道的建立。

大數(shù)據(jù)分析

DNS 是整個(gè)互聯(lián)網(wǎng)流量的入口，擁有DNS 的訪問數(shù)據(jù)就等于擁有了用戶上網(wǎng)行為的大數(shù)據(jù)，通過對(duì)DNS 大數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘并分析，可以從中發(fā)現(xiàn)互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)行為，為優(yōu)化園區(qū)網(wǎng)結(jié)構(gòu)、提高互聯(lián)網(wǎng)訪問效率提供幫助。

DNS 數(shù)據(jù)挖掘、多維分析在物理部署上由流量采集與存儲(chǔ)、多維數(shù)據(jù)分析兩大部分組成。對(duì)DNS 流量的采集通過網(wǎng)絡(luò)設(shè)備上的流量鏡像實(shí)現(xiàn)。鏡像設(shè)備將網(wǎng)絡(luò)中的域名流量數(shù)據(jù)復(fù)制下來，通過網(wǎng)絡(luò)鏈路傳送給存儲(chǔ)系統(tǒng)，由存儲(chǔ)系統(tǒng)進(jìn)行相應(yīng)處理后再做存儲(chǔ)。數(shù)據(jù)分析系統(tǒng)由分析服務(wù)器陣列構(gòu)成，主要負(fù)責(zé)讀取存儲(chǔ)平臺(tái)中的流量數(shù)據(jù)，并進(jìn)行有關(guān)的多種分析，其層次結(jié)構(gòu)如圖4 所示。

數(shù)據(jù)分析可以從IP 地址、域名、用戶訪問量、區(qū)域等多個(gè)維度進(jìn)行分類和計(jì)算，例如對(duì)用戶請(qǐng)求域名的TopN 及對(duì)應(yīng)域名請(qǐng)求數(shù)最多的用戶源IP 進(jìn)行統(tǒng)計(jì)分類，并將數(shù)據(jù)結(jié)果以報(bào)表形式呈現(xiàn)出來。

DNS 是用戶訪問互聯(lián)網(wǎng)的入口，無論對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)商、網(wǎng)絡(luò)管理者還是攻擊者，DNS 都是非常重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，也是相對(duì)薄弱的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。適用于多出口園區(qū)網(wǎng)的反向智能DNS系統(tǒng)，不僅能解決互聯(lián)網(wǎng)的多路優(yōu)化訪問問題，使得用戶能更加高效、安全、可控地訪問互聯(lián)網(wǎng)資源，提升DNS 系統(tǒng)自身的安全性，也便于網(wǎng)絡(luò)管理者更為有效地對(duì)網(wǎng)絡(luò)進(jìn)行分析與管理，可為園區(qū)網(wǎng)建設(shè)與管理提供借鑒與參考。