當前位置: 首頁 > 產品中心 > 運營商DNS > Recursor
Recursor

Recursor是集智能DNS,DNS軟件安全防護,數據控制,DNS解析加速為一體的DNS數據控制層面的軟件。
授權服務器的重點是配置和發布DNS數據。遞歸服務器的重點是去授權服務器尋找需要的DNS記錄?;捍娣衿韉鬧氐閌歉咚倩馗從沒NS應答。目前國內很多運營商已經基本實現了授權與緩存的分離,但泰策的Recursor已經實現了緩存與遞歸的分離,具有以下優勢:
● 提高系統的安全性。
● 實現控制層面與數據層面的分離。
● 為DNS增加新的功能后不影響用戶請求的速度。
● 提升整體DNS系統的性能。


        DNS(Domain Name Server,即域名系統)是互聯網上的關鍵應用,它直接關系到用戶的最終體驗,互聯網的大規模發展對現有DNS 系統的安全性,可擴展性,穩定性以及功能等方面提出了更高的要求。
  中國各大運營商近幾年均在大力發展IDC業務,希望通過IDC減少網間結算流量,但是在實際業務中發現很多運營商的IDC引入的資源會因為DNS不配合導致本網內部用戶不訪問IDC的內部資源,使得IDC資源利用不充分。
  近幾年關于DNS的網絡事件時有發生,主要是集中在DNS安全和用戶訪問控制二個方面。
  在傳統的域名系統中,DNS服務器往往承擔著多種功能,包括對管理域名的授權數據的發布,對外發起遞歸請求以及響應用戶的DNS請求等。
  這樣的架構,一方面在安全性上有漏洞,易于遭受攻擊;另一方面,由于各個功能包括授權、遞歸和緩存等有著不同的業務邏輯和特點,多種功能集于一體,也不利于對不同的業務邏輯進行有針對性的處理,從而導致系統效率不高。
  授權服務器的重點是配置和發布DNS數據。遞歸服務器的重點是去授權服務器尋找需要的DNS記錄?;捍娣衿韉鬧氐閌歉咚倩馗從沒NS應答。
  目前國內很多運營商已經基本實現了授權與緩存的分離,但是還未實現緩存與遞歸的分離。
  緩存與遞歸的分離主要有以下幾點好處:
  ● 提高系統的安全性。
  ● 實現控制層面與數據層面的分離,各部分完成自己的內容,控制層方便的實施策略控制,數據層實現高速的DNS應答。
  ● 為DNS增加新的功能后不影響用戶請求的速度。
  ● 提升整體DNS系統的性能。

        智能DNS
        該功能實現智能DNS功能,在遞歸結果包含本網內部的IP地址和非本網IP地址時僅回復內部的地址,該功能幫助運營商減少網間結算流量。
        DNS安全
        1. 服務失敗攻擊?;?br />         有的應用程序在得到DNS的否定應答后會連續不斷的發出同樣的請求,如果安裝該類型軟件(比如暴風影音,QQ影音)的用戶太多也會對DNS服務器造成效果類似DDoS的攻擊影響。      
        為解決這個問題,我們對RFC2308中描述的Negative Cache擴展進行了實現。通過讓用戶緩存服務失敗和網絡失敗的DNS應答,避免類似這樣的事件發生。具備該功能的前提下,暴風事件就不會導致網絡失敗,Negative Cache會讓暴風保存失敗的解析記錄,確保暴風不會連續不斷的發出DNS請求。
        2. 緩存中毒?;?br />         我們的DNS系統做了如下有針對性的防護手段:
        隱藏遞歸IP,隱藏遞歸端口黑客不易發現
        端口隨機,理論上提供216隨機端口
        隨機Query ID,ID號可達216   
        采用0X20+技術
        3. 重點域名監控
        對重點域名(通過接口定義,可為配置文件,也可為單個記錄)的資源記錄進行監測,同時定義重點域名對應的IP地址群(經過人工校驗后確認的數據),當有變化的時候,且變化后的內容不在給定的IP地址群中,則輸出日志,發送告警信息?;蛘弒浠蟮哪諶薟話琁P地址群中指定的IP,則輸出日志,發送告警信息。
        該功能用于對重點域名進行監控,具備該功能后,前面描述的Baidu被劫持事件會在第一時間被發現。
        4. 遞歸攻擊?;?br />         DNS服務器在做遞歸請求時,需要占用服務器更多的資源,所以DNS服務軟件會對遞歸并發數進行限制,當并發數達到設定的數值后系統就不在處理新的遞歸請求,這樣黑客就會利用發送大量的遞歸請求來耗盡DNS服務器的遞歸資源,導致用戶的DNS遞歸解析失敗。
         面對這種攻擊,我們的DNS軟件特別設計了一套遞歸淘汰機制,該機制可在遞歸資源飽和時通過遞歸淘汰算法計算出可能是黑客發出的攻擊遞歸請求,并釋放這些遞歸資源,這項策略的意義在于當服務器遭受遞歸攻擊時,能夠使遞歸個數滿足正常的用戶遞歸請求,而不是被垃圾流量占用。
        用戶?;?/strong>
        Recursor一個重要功能是可作為運營商的內容控制平臺,協助運營商提供最好的用戶體驗和服務質量。Recursor可對用戶發起的DNS請求報文進行實時的域名控制,確保為用戶提供一個干凈的網絡環境,事實上DNS是Internet業務的基礎,Recursor通過檢測DNS流量,在源頭上將非法網站流量轉發到相對應的告警平臺。比如,如果用戶請求某非法網站,我們系統可將它轉發到相應的網絡警察網站或某提醒網絡,比如泰策科技提供的Navigator平臺,Navigatior可以針對URL進行很好的篩選和判斷,呈現設定的頁面。非法的定義類型非常靈活,用戶可根據自己的需求配置,比如色情,暴力等等。
        DNS性能優化
        這個功能確保熱點域名的數據在緩存中保持最新數據,在預設的時間點更新,使用戶不會在請求熱點DNS請求時觸發遞歸事件起到解析加速的作用。
        當需要對指定的域名在緩存中定期刷新時應用此策略。例如域名www.baidu.com的在緩存中的TTL為100秒,策略定義www.baidu.com的Cache刷新時間為10秒,這樣當www.baidu.com在Cache中緩存了90秒以后就會刷新緩存中www.baidu.com的內容,并且www.baidu.com在緩存中的過期時間TTL重新置為100秒,這樣保證www.baidu.com的資源記錄永遠在緩存中存在。
        錯誤域名轉發
        目前運營商DNS服務器接收的域名請求有大約10%的是NXDOMAIN,NXDOMAIN的充分利用將會給運營商帶來可觀的利潤,因此對NXDOMAIN域名請求的利用顯得相當的重要。
        DNS對發現符合條件的錯誤域名直接返回重定向地址。從根本上擺了錯誤域名轉發受瀏覽器限制的問題。同時轉發策略還能針對域名的類型、用戶群、域名前后綴實施不同的轉發策略,配合域名導航平臺Navigator,能實現對應用的識別,比如只轉發HTTP的流量。
        數據統計
        Recursor可統計如下業務數據: 
A記錄
PTR紀錄
MX紀錄
IPV6請求
每秒請求數
每秒應答數
正確應答
服務失敗
錯誤域名數
遞歸請求
重復包
丟棄包
其他失敗請求
解析成功率
IPV4請求
IPV6請求
IPV4回復
遞歸錯誤域名
服務失敗數
格式錯誤數
其他錯誤遞歸請求數
EDNS0請求失敗數
重試遞歸請求數
超時請求數
IPV4 NS 地址獲取
IPV6 NS 地址獲取
IPV4 NS 地址獲取失敗
IPV6 NS 地址獲取失敗
延時統計
遞歸成功率
智能策略/分鐘
智能策略/秒
智能策略改變/秒
錯誤域名/秒
惡意域名/秒
服務失敗/秒
CPU利用率
內存利用率
硬盤使用率


        Recursor是集智能DNS,DNS軟件安全防護,數據控制,DNS解析加速為一體的DNS數據控制層面的軟件,具有以下的優勢:
     ● 通過DNS應答引導用戶就近訪問網絡資源,起到加速網絡訪問和減少網間流量的作用。
     ● 通過對“服務失敗的DNS應答包”進行特殊處理,有效的避免由于授權服務器不可達引發的類似DNS DDoS的攻擊。
     ● 通過引入DNS “0X20+”的安全機制有效的使DNS系統免受緩存投毒攻擊。
     ● 對重點域名進行監控,如果重點域名出現問題,管理員可在第一時間發現。
     ● 通過遞歸淘汰算法可有效的減輕遞歸攻擊對DNS系統的危害。
     ● 可對錯誤域名進行有效的引導和匯聚,為運營商運營由于“錯誤域名而引起的流量”提供幫助。
     ● 可對黃色網站,釣魚網站,掛馬網站等非法網站進行屏蔽,確保用戶的訪問行為合法、安全。

RFC1034      Domain names - concepts and facilities
RFC1035      Domain names - implementation and specification
RFC1612      DNS Resolver MIB Extensions
RFC2181      Clarifications to the DNS Specification
RFC2308      Negative Caching of DNS Queries (DNS NCACHE)
RFC2671      Extension Mechanisms for DNS (EDNS0)
RFC2827      RFC2827 Network Ingress Filtering Defeating Denial of Service Attacks which employ IP Source Address Spoofing
RFC2874      DNS Extensions to Support IPv6 Address Aggregation and Renumbering
RFC3225      Indicating Resolver Support of DNSSEC
RFC3226      DNSSEC and IPv6 A6 aware server resolver message size requirements
RFC3596      DNS Extensions to Support IP Version 6
RFC3597      Handling of Unknown DNS Resource Record (RR) Types
RFC3704      Ingress Filtering for Multihomed Networks BCP84
RFC4033      DNS Security Introduction and Requirements
RFC4034      Resource Records for the DNS Security Extensions
RFC4035      Protocol Modifications for the DNS Security Extensions
RFC5358      Preventing Use of Recursive Nameservers in Reflector Attacks BCP140
RFC5395      Domain Name System (DNS) IANA Considerations BCP42
RFC5452      Measures for Making DNS More Resilient against Forged Answers
RFC5966      DNS Transport over TCP - Implementation Requirements