云解析大学第一期:DNS安全之道

摘要:11月29日云栖社区在线培训,云栖社区请来了阿里巴巴基础架构事业群技术专家宋毅给大家带来了DNS安全之道的讲解。本文主要从介绍云解析DNS开始,详细分析了DNS的总技术架构,接着分享了权威解析系统和安全解析系统,最后与大家介绍了云解析高级功能,包括基础解析和智能解析等。一起来了解下吧。

直播视频回顾

云解析DNS是权威解析服务,完成域名到IP的翻译过程,围绕获取IP、得到IP访问的过程的一款云产品。

云解析DNS

DNS整个系统架构中,主要有递归DNS、权威DNS、最终用户三个角色,云解析是权威DNS。

云解析是域名解析环节的产品,重要性远远大于域名注册,域名解析关系到网站在运行过程中是否被攻击、攻击后能否正常恢复等问题。

云解析DNS依托阿里云全球机房基础设施及技术创新动力,助力权威域名解析服务平台化,让权威域名解析服务从网络访问到网站访问更安全更稳定更智能,成为可靠的访问基础设施和入口,真正的成为网络服务普惠科技平台,成就用户完美访问。

云解析优势

云解析DNS有四大特点:稳定可靠、安全保障、智能解析、全球部署。

随着互联网的高速发展,个人数据和企业业务逐渐线上化,域名解析作为网站访问的源头和入口,关系到网站的访问的稳定性、安全性和高效性。

用户在处理企业业务和个人数据时,会遇到许多与云解析相关的头疼问题,比如:

1)网络攻击

2)解析服务失败

3)解析记录篡改

4)解析数据不一致

5)访问劫持

解决这些问题是有较高的专业门槛和成本投入,对大多数个人和企业很难解决但又无法不去面对的。

总技术架构

云解析大学第一期:DNS安全之道

权威解析系统总体架构如图,现在的网络程序都是管控层和解析层分离,整套系统具有高效稳定的数据平面+灵活强大的控制平面,数据平面是由全球很多的解析服务器组成的,解析服务器出口是我们自研的SecurityDNS系统,它会将进入/流出DNS服务器集群的流量做清洗。

ADNS服务器在华南部署了两套,整个DNS系统的容灾切换分成两大部分,一是DNS系统本身的容灾切换,这个由阿里云云解析完成,通过热备方式进行切换;一是域名对应的A记录,如果A记录指向的服务器宕机,可以把A记录服务器的IP地址切换到另一台服务器,阿里云提供了一些接口供用户调用,嵌入到自动化容灾程序中。

权威解析系统

ADNS基于dpdk框架,优化了整个软硬件协议栈,用经过优化的x86服务器,配上完全自主研发的ADNS软件,采用巧妙的内存数据结构设计,精确地调整每个内核对内存或CPU cache的访问效率,完美解决了困扰业界的C10M问题。ADNS是一个高性能、可扩展的DNS权威服务器。

ADNS+ADMS是完全自主研发的DNS权威服务器系统。其可以做到以下几点:

  • 单机性能和容量超开源软件BIND 100倍;

  • 性能超过1000万qps(经过软硬件优化,可达到4000万qps);

  • 容量可存储超过2000万域名(可随内存增长而线性增长);

  • 设计目标99.9999%的高可用性,上线以来,实际不可用时间为0;

  • 提供友好的API给用户,把复杂的智能解析逻辑包裹在内。

安全防护系统

事件回顾

DNS攻击非常常见,门槛低,最近八年来国内外爆发的影响较大的DNS安全事件如下:

  • 2009年5月19日南方六省断网事件。游戏私服私斗打挂DNSPod,殃及暴风影音域名解析,进一步殃及电信运营商本地DNS服务器,从而爆发六省大规模断网的事故。

  • 2010年1月12日百度域名劫持事件。baidu.com的NS记录被伊朗网军(Iranian Cyber Army)劫持,然后导致www.baidu.com无法访问。事件持续时间8小时。

  • 2011年9月5日,包括微软、宏碁、沃达丰和UPS在内的众多知名网站都遭遇了DNS劫持。

  • 2012年2月16日,黑客组织匿名者(Anonymous)对外宣称,将在3月31日攻击DNS的13个根服务器,以达到让全球互联网瘫痪的目的。

  • 2013年8月25日CN域被攻击事件。cn域DNS受到DDoS攻击而导致所有cn域名无法解析。

  • 2014年1月21日全国DNS故障。迄今为止,大陆境内发生的最为严重的DNS故障,所有通用顶级域(.com/.net/.org)遭到DNS污染。

  • 2014年12月10日,爆发了运营商DNS网络DDoS攻击事件。16个省的网站访问出现异常。

  • 2015年11月30日DNS根服务器攻击事件。13个根服务器大都受到了攻击,攻击者对根服务器发起了针对两个特定域名的数十亿次无效查询请求。

  • 2015年12月14日土耳其国家域遭攻击。黑客组织匿名者(Anonymous)宣布自己是40Gbps DDoS的网络攻击发起人,并表示该攻击跟反ISIS行动相关。

  • 2016年9月21日,世界最大的主机托管提供商OVH、遭1Tb流量总计高达1Tbps,最大的单次攻击峰值近 800 Gbps。

  • 2016年10月21日,解析运营商DynDNS被攻击,导致欧美大量使用相关DNS的网站遭遇访问问题其中包括Twitter等知名网站。

系统架构

云解析大学第一期:DNS安全之道

整个架构是由阿里巴巴分布在全球的清洗中心构成的,依托阿里巴巴在全球的清洗实力,我们将进入到DNS机房的流量进行清洗,通过一套内部的算法去辨别哪些请求是攻击、哪些是正常请求。

阿里云云解析前身是有着悠久历史的万网,在多年的发展中赢得了很多客户的信任。发展到现在,云解析在国内市场占有率达到30%多,共托管了1000+万个域名,可以承受10+亿QPS请求量,我们还在全球部署了7个BGP机房,开放了40+个API接口。

云解析高级功能

基础解析

基础解析支持域名海外IP解析,支持A、AAAA、MX、CNAME、TXT、NS、URL转发、SRV所有主流的类型,支持最小1秒的TTL值,子域名级别可以扩展到10级,支持最高90条A记录负载均衡。

智能解析

智能解析支持国内各大运营商的线路;支持海外大洲国家/地区的线路;支持搜索引擎线路。

OpenAPI

云解析大学第一期:DNS安全之道

API和相应的SDK,支持对域名所有信息的增删改查,方便用户从其它云解析提供商倒到我们这边来,SDK支持Java/Python/PHP/C#开发语言。

安全

云解析大学第一期:DNS安全之道

安全方面如图所示,云解析提供包括最基础的DNS防护DDoS攻击、DDoS高防IP、服务器安全以及Web应用防火墙等功能,可以为客户提供一站式的安全解决方案。

相关推荐