傳統DNS的(de)風(fēng)險與挑戰

DNS服務和(hé)IP地(dì)址管理(lǐ)是(shì)企業(yè)基礎網絡組成的(de)不(bù)可(kě)或缺的(de'✘$≥)組件(jiàn)，DNS服務主要(yào)為(wèi)內(nèi)網用(yòn☆≠g)戶訪問(wèn)INTERNET網絡提供緩存遞歸解γ↑β析服務、實現(xiàn)訪問(wèn)內($≈nèi)部資源提供權威解析服務，IP地(dì)>≥址管理(lǐ)則是(shì)對(duì)企業(yè)內(nèi)部₽¶ 的(de)IP地(dì)址進行(xíng)有(yǒu)效規劃和(hé)π™♠→管理(lǐ)保障故障時(shí)能(nén' ®g)精确定位。随著(zhe)企業(yè)IT信息化(huà)的(de)飛(fēi)速發展面臨‍₽極大(dà)的(de)風(fēng)險和(hé)挑戰，主∞♥∞♠要(yào)體(tǐ)現(xiàn)在以下(xià)幾個(gè)方面¥σ：

 IP地(dì)址管理(lǐ)難度大(dà)

采用(yòng)開(kāi)源的(de)，非專業(yè)化(huà™•)的(de)軟件(jiàn)來(lái)提供 ↕​服務，基本上(shàng)需要(yào)依靠技(jì)術∞¶(shù)管理(lǐ)人(rén)員(yuán)的(de)手工(gōng)管理 ' '(lǐ)維護方式，對(duì)于其中的(de)IP地(dì)址管理(l →ǐ)，隻能(néng)通(tōng)過手工(gōng)記錄賬本方式，不(b↔Ωù)僅記錄複雜(zá)，而且多(duō)人(rén)員(yuán)維護過程中存λ™♥在各種各樣文(wén)檔版本，同時(shí₽")在IP地(dì)址高(gāo)頻(pín)地(dì)動态分(fēn)配回收這φλ(zhè)種情況下(xià)，信息維護異§€±±常困難。

此外(wài)，随著(zhe)IPv6的(de)發展，IP地(dì)址長(ch<‍→∑áng)度由原來(lái)v4的(de)32位直接±≥換成128位，同時(shí)記錄方式變成了(le)÷∞‍™點分(fēn)16進制(zhì)，人(rén)工(gōng§≠)記錄越來(lái)越難管難記，純人(rén)力維護不(bù)現(xiàn)λ σ實。同時(shí)，由于網絡組網架構複雜(zá)，用(β₹yòng)戶BYOD設備種類的(de)增多±δ(duō)，企業(yè)網絡內(nèi)對(duì®∞≈≤)IP地(dì)址的(de)管理(lǐ)需要(yào)♥♥≥β做(zuò)到(dào)精細化(huà)管理(l δ←ǐ)也(yě)面臨極大(dà)的(de)挑戰：

1、手工(gōng)配置完全依賴人(rén)工(gō×₹'λng)管理(lǐ)，工(gōng)作(zuò)量繁瑣且容易出現(xià∞Ωn)錯(cuò)誤

2、即使部分(fēn)采用(yòng)了(le)DHCP服務也(yě)是(shì)網絡設備的(de)附帶功能(néng)，隻提供簡單λδα♥的(de)地(dì)址分(fēn)配能(néng)力，缺乏IP地(dì)址統一(yī)管理(lǐ)

3、配置管理(lǐ)方式複雜(zá)，能(néng)夠實現(xi>♣λ₽àn)的(de)策略有(yǒu)限，導緻部分(fēπσn)業(yè)務無法實現(xiàn)。

4、單點故障、租約無法持久化(huà)、管理® (lǐ)手段不(bù)靈活、不(bù)直觀，‌★&缺乏管理(lǐ)監控手段。

5、網絡準入缺乏有(yǒu)效控制(zhì)，造成網絡接入風(f↕ ēng)險。

 缺乏專用(yòng)DNS服務系統

部分(fēn)企業(yè)網絡缺乏專用(yòng)的(de)DNS系統，✔​即：沒有(yǒu)自(zì)建DNS，多(duō'♠♠)采用(yòng)将DNS指向上(shàng)級運營商方式，或者更£§™多(duō)的(de)是(shì)使用(yòng)開(kāi)源的(de≥↑÷Ω)BIND軟件(jiàn)來(lái)提供DNS服務。但(dàn)是(shì)←∏π×，基于開(kāi)源的(de)BIND軟件(jiàn)γ"←∑，存在著(zhe)諸多(duō)問(wèn)題：

²  開(kāi)源BIND需要(yào)依托于操作(zuò)系♦✔統和(hé)通(tōng)用(yòng)服務器(qì)，無法充分(↔¥fēn)發揮服務器(qì)的(de)性能(nénσ×÷g)

²  開(kāi)源BIND采用(yòng)命令行(xíng)操作(zuò)方式，←λ✔↕沒有(yǒu)有(yǒu)效的(de)管理(lǐ)λ €工(gōng)具。對(duì)DNS技(jì)術'✔♦₩(shù)要(yào)求較高(gāo)，造成較高(gāo)的(de)管理(lγ∞ǐ)複雜(zá)度以及無法做(zuò)到(dào)集中管理(lǐ)。

²  開(kāi)源BIND存在大(dà)量漏洞，需頻(p₹&♥ín)繁的(de)技(jì)術(shù)升級；隐藏大(dà)量安全性問(wèn≤♥₹α)題。

同時(shí)，企業(yè)網絡在設備接入時(shí)多(duō)使用¥π★≥(yòng)的(de)是(shì)手工(gα×÷ōng)分(fēn)配、使用(yòng)網絡設σ"∞★備進行(xíng)分(fēn)配缺乏系統™♥及業(yè)務高(gāo)可(kě)用(yòng)機(jī)制(zhì​‌​)

企業(yè)自(zì)建網絡有(yǒu)時(shí)在考慮了(le)網σ 絡設備的(de)冗餘性和(hé)高(gāo)可(kě)靠性時' ×(shí)，往往忽視(shì)DNS服務的(de)高(gāo)φ&↕可(kě)用(yòng)性，一(yī)旦DNS服務出現✔§(xiàn)故障将會(huì)導緻全網性的(de¶♠)網絡故障，幾乎所有(yǒu)的(de)應用(yòn♣ ∑g)或服務都(dōu)會(huì)中斷，這(zhè)些(xiē)恰恰都(≠©≈↑dōu)是(shì)忽略了(le)DNS服©✘務的(de)高(gāo)可(kě)用(yòng)λ→∏→性造成的(de)，另外(wài)開(kāi)源的(de)BIND在業(yè)務 ®×層面、管理(lǐ)層面也(yě)都(dōu)無法實現(xiàn←®©)HA高(gāo)可(kě)用(yòng)性。另外(wài)企業(yè)內(nΩ♦èi)一(yī)些(xiē)核心應用(yòng) λ系統雖然在業(yè)務層面考慮了(le)災備，但(♣≠dàn)往往發生(shēng)故障時(s♣₩hí)很(hěn)難進行(xíng)快(kuài)↓ 速有(yǒu)效的(de)災備切換，給運維人(rén)員∑€₹ (yuán)造成巨大(dà)壓力，同時(shí)也(yě)影(yǐng™ )響了(le)用(yòng)戶連續性訪問(wèn)。♦₽↔γ

 面臨下(xià)一(yī)代互聯網新挑戰

互聯網技(jì)術(shù)日(rì)新月(yuè)異，大(dà)α&¥€量新技(jì)術(shù)、新标準不(bù)斷湧現(xiàn)，I₹♦¶Pv6、NFV、SDN、雲計(jì)算(×♠suàn)、物(wù)聯網、區(qū)塊鏈等技(jì)術(shù)正逐步走向​δ≤→商用(yòng)，特别是(shì)IPv™↓>6的(de)大(dà)規模部署給傳統的(de)網絡管理(lǐ)及應用(yòn≈←g)管理(lǐ)帶來(lái)巨大(dà)挑戰，IP地(dì♣•)址再也(yě)無法依靠記憶或手工(gōng)配置方式完成，≠₽€ 這(zhè)些(xiē)都(dōu)将給企業(yè)IT管理(lǐσε♥©)帶來(lái)嚴峻挑戰。

DNS解決方案---智慧DNS系統

 關于智慧DNS

智慧DNS是(shì)集DNS（域名系統）、DHCP（動态主機(jī)分(fē≠↕₩∏n)配）和(hé)IPAM（IP地(dì)址管理(l₹∏ǐ)）于一(yī)體(tǐ)的(de)智能(néng)業(yè)務系統。DNS÷♠©™（Domain Name System，域名系統），是(shì)域名和(hé₽​)IP地(dì)址相(xiàng)互映射的(de)一(yī)個(gè)分(fφβ•ēn)布式數(shù)據庫，幫助用(yòng)戶将域名解析成IP地(∑§dì)址使用(yòng)戶成功建立上(sh±Ωàng)網連接。DHCP（Dynamic H<↕ost Configuration Protocol）則是(shì)為(★'wèi)用(yòng)戶解決網絡地(dì©☆>$)址自(zì)動分(fēn)配問(wènλ♣γ↓)題，有(yǒu)效避免IP地(dì)址分(fēn)配紊亂÷'ε，提高(gāo)網絡運維工(gōng)作(zuò)效率，減少±ε¶(shǎo)人(rén)為(wèi)失誤，提升地(d≥☆¥ì)址的(de)使用(yòng)效率。IPAM（IP ADDRESS±" MANAGEMENT）是(shì)可(kě)以計(jì)劃，跟蹤和(hé•★↔)管理(lǐ)計(jì)算(suàn)機(jī)網絡中使用(yòng§±®∏)的(de)IP地(dì)址。

無論是(shì)廣域互聯網還(hái)是(sλ₹↓hì)單位組織內(nèi)網都(dōu)會(huì)使用(yòng)到☆¥↕÷(dào)DNS服務，可(kě)以說(shuō)是(∞↓₹™shì)應用(yòng)最廣泛的(de)互聯網應用(yòng)之一(yī)。人☆£(rén)們日(rì)常如(rú)浏覽www網頁、收發email、甚至當下™‌∑λ(xià)比較流行(xíng)的(de)移動互聯網如£ €•(rú)微(wēi)信、支付寶等APP應用(yòng)都(dōu)無一(>δyī)例外(wài)均使用(yòng)到(dào)DNS服務♠®≤β；此外(wài)，随著(zhe)網絡規模的(d✔<e)不(bù)斷擴大(dà)和(hé)無線網₽<的(de)快(kuài)速發展IPV6的(de)日(rì)↓♦ ∞益普及，在各類網絡中面對(duì)幾何集增長(cháng)的(de'♥)IP地(dì)址，使用(yòng)手工(gōng)靜(jìng♦÷§®)态DHCP進行(xíng)IP地(dì)→↑∏址分(fēn)配管理(lǐ)成為(wèi)唯一(yπΩ¶ī)有(yǒu)效措施。同時(shí)由于IP地(dì)址的(de₽≥)規模增長(cháng)，傳統EXCEL加手工(gōng)管理(l∑€ǐ)IP地(dì)址方式已經遠(yuǎn)遠(yuǎn)不(bù)能≥σ☆(néng)滿足管理(lǐ)需求，通(tōng)過IPAM÷→批量規劃、導入、管理(lǐ)IP地(dì)址，以友(yǒu)圖形化(huà)界∞ββ面呈現(xiàn)IP使用(yòng)情況，實時(shí)了(le)解IP地♥γ÷ε(dì)址使用(yòng)可(kě)能(néng)存在的±φ(de)瓶頸已經成為(wèi)不(bù)可(✘∑kě)逆轉的(de)趨勢。

 智慧DNS原理(lǐ)

vDNS( Domain Name System)是(shì)“域名系統”的(de)英文(wén)縮寫，是(shì)←∏ ×一(yī)種組織成域層次結構的(de)計(j®↔₹ì)算(suàn)機(jī)和(hé)網絡服務命名系±☆統，它用(yòng)于TCP/IP網絡，它所提∑♠λ供的(de)服務是(shì)用(yòng)來(lái)将主機(jī)名∞©↕↕和(hé)域名轉換為(wèi)IP地(dì)址的(de)工(gōng)作≤π'(zuò)。DNS就(jiù)是(shì)這(zhè)樣的(de)¶'一(yī)位“翻譯官”，它的(de)基本•δ工(gōng)作(zuò)流程可(kě)用(yòn €≥g)下(xià)圖來(lái)表示。

DHCP(Dynamic Host Configuratio↑♥₽&n Protocol)是(shì)動态主機(jī)設置協議(yì)的(de)←δ•英文(wén)縮寫，通(tōng)過集中的(de)管理(lǐ≥←≤<)、分(fēn)配IP地(dì)址，使client動ᶙ态的(de)獲得(de)IP地(dì)址、GatewaΩ÷π↓y地(dì)址、DNS服務器(qì)地(dì)址等信息，∑<"并能(néng)夠提升地(dì)址的(de)使 ↑®λ用(yòng)率。

IPAM（IP Address Management）是(shì)IP$σπ地(dì)址管理(lǐ)的(de)英文(wén)縮↔φ寫，用(yòng)于發現(xiàn)、監視(sh♠€ì)、審核和(hé)管理(lǐ)企業(yè)網絡上(s‍>∞≥hàng)使用(yòng)的(de) IP 地§" ¶(dì)址空(kōng)間(jiān)。IPAM 可(kěα₩✘★)以對(duì)運行(xíng)動态主機(jī)配置協議(y₹∏∑ì) (DHCP) 和(hé)域名服務 " (DNS) 的(de)服務器(qì)進行(xíng)管理(lǐ∏€∞©)和(hé)監視(shì)。

智慧DNS技(jì)術(shù)特點

 基于INTEL DPDK 技(jì)術(shù)研發

    為(wèi)提供更好(hǎo)的(de)DNS服務，在數(shù)據量猛漲的₽≈™(de)時(shí)代，DNS服務器(qì)單機(jī)處理(lǐ≥≤‍)能(néng)力需求到(dào)了(le)百萬至千萬級别。基于CPU中斷的≠±(de)傳統方式已經不(bù)能(néng)滿足DNS的(de)服務需求。智慧§ ♠≈DNS采用(yòng)的(de)是(shì)基于DPγ∑βDK的(de)開(kāi)發方式，由傳統的(de)CPU中斷替換γ♣為(wèi)輪詢的(de)方式，可(kě)以有(yǒu)效提升$£​DNS服務性能(néng)。智慧DNS産品的(de)優勢為(w•'☆±èi)：

·   &nb↓<'↓sp;    用(yòng)戶态實現(xiàn)DPDα↑>★K Zero Copy網卡高(gāo)速收包，減少(Ωε≠∏shǎo)操作(zuò)系統內(nèi)核開(kāi)銷，消除了☆π↑(le)IO吞吐瓶頸；

·      &←'nbsp; 基于用(yòng)戶态的(de)開(kāi)發，軟件(jià↕≈<★n)崩潰不(bù)影(yǐng)響系統的(de)穩定性；

·    &nbs♣↑ε↔p;   充分(fēn)利用(yòng)網卡和(hé)指令的(dΩ$e)性能(néng)，資源利用(yòng)最大(dàφ®')化(huà)；

·   &nΩπbsp;    平台具有(yǒu)可(kě)移植性，提供高(gāo)性₩™​ 能(néng)高(gāo)并發的(de)服務；

基于SDN業(yè)務高(gāo)可(kě)用(yòng)管理(lǐ)架構'★¶↑

企業(yè)推行(xíng)數(shù)字化(huà)企業(yè<♥)建設，将生(shēng)産、科(kē)研、管理(lǐ)和(hé→£‌δ)生(shēng)活服務有(yǒu)關的(de)所有(yǒu)信息資源全↕→¥面數(shù)字化(huà)，目前已進入快(←β→×kuài)速發展期。由于企業(yè)網絡特點是(shì)多(d£∞"™uō)園區(qū)分(fēn)布，跨地(dì)域接入總£ ∞↕節點網絡訪問(wèn)，運營商跨網訪問(wèn)等，使得(✔✔>de)企業(yè)網絡環境複雜(zá)多(duō)樣性。為•¶®™(wèi)适應複雜(zá)的(de)企業(yè)網絡架構，智慧∏→≈DNS采用(yòng)了(le)基于SDN架構的(de)設計(jì)÷ 理(lǐ)念，優化(huà)系統部署的(de)每一(yī)個"∞(gè)層級，實現(xiàn)了(le)管理(lǐ)控制(zhì)∞γ 平面和(hé)數(shù)據轉發平面的(de)有(yǒ≤‌♦ u)效分(fēn)離(lí)，從(cóng)而 ✔™達到(dào)服務的(de)自(zì)動化(huà)和(hé)集中化‍÷→(huà)管理(lǐ)，提高(gāo)網絡架構可(kě)視(shì)性。≠≤

此外(wài)，基于SDN管理(lǐ)架構在實現(xiàn)管理(lǐ)和€ε(hé)業(yè)務處理(lǐ)平面分(fēn)離(l‌₩í)基礎上(shàng)實現(xiàn)整個(gè)→☆系統的(de)業(yè)務高(gāo)可(kě)用ε•← (yòng)架構，多(duō)台Controller之間(÷&≈jiān)可(kě)以定義Master、Sla÷©★ve不(bù)同角色，通(tōng)過私有(yǒu)的(de)Ω€' 管理(lǐ)協議(yì)方式進行(xíng)數(sh←δù)據庫層面及業(yè)務配置信息的(de)實時(shí)同步，任何一(yī)★δ¶<台Controller或業(yè)務處理(lǐ)÷≈UNIT發生(shēng)故障都(dōu)不(bù)會(hu&∞ì)對(duì)系統業(yè)務造成任何的(de)影(yǐng)"✘響。

DPI級别安全報(bào)文(wén)過濾能(néng)力

在提供DNS服務的(de)過程中，智慧DNS可(kě)以做(zuò)到(d₹πào)DPI（Deep Packet Inspect深‍φ>度報(bào)文(wén)識别）級别的(de)報(bào)文(w∏Ω‌én)檢查，DPI級别的(de)分(fēn)析過程對(duì)用βΩ÷(yòng)戶的(de)價值主要(yào)體(tǐ)現(xiàn)以下(xi♦←à)三點：

·      &nβ♥bsp; 針對(duì)DNS類安全攻擊，深度報(bào)文(wé±$"n)檢測能(néng)力能(néng)解決傳統防火(huǒ)牆無法防護♠δ↓DNS類安全風(fēng)險問(wèn)題。

·    &nbs✘α§​p;   在應用(yòng)業(yè)務識别的(de)角度DPI級别的(d<​ e)檢測可(kě)分(fēn)析具體(tǐ)業(y×♦≠÷è)務類型，深度了(le)解報(bào)文✔✔•(wén)信息，使互聯網出口可(kě)做(zu∞ ò)到(dào)精細化(huà)管控的(de)目的(de)。

·      π♣;  實現(xiàn)報(bào)文(wén)級别的(de)層次化(≤→ε>huà)安全過濾和(hé)防護能(néng)力，将惡意的(de)訪問φ₽•(wèn)或攻擊行(xíng)為(wèi)拒絕于•¥系統之外(wài)。

第三方安全情報(bào)集成

冠程科(kē)技(jì)在自(zì)研智慧DNS系₽≠∑統的(de)基礎上(shàng)，通(tōng)過與國(guó)內(∑←<§nèi)領先的(de)互聯網及專業(yè)安全服務廠(chǎng)☆×‍商、CNCERT等機(jī)構開(kāi)展合作(zuò)，γ÷采用(yòng)全球較為(wèi)廣泛的(de)不(bù)良域名庫，涵蓋2>π≤>億條以上(shàng)不(bù)良域名記錄，并通(tōng)過動态實時♠≤(shí)更新，可(kě)實現(xiàn)₽€π對(duì)企業(yè)內(nèi)不(bù)良‌♦&上(shàng)網訪問(wèn)行(xíng)為(wèi)進行(xíng•&)實時(shí)檢測分(fēn)析，提供阻斷與提醒的(de)能(‍≠γ☆néng)力，為(wèi)企業(yè)網絡營造一(yī)個(←"∏∏gè)安全，健康的(de)上(shàng)網環境。

惡意域名分(fēn)類包含：

1、     α↑'♣惡意病毒及APK

2、     β 釣魚、欺詐網站(zhàn)

3、     色情、賭博、暴力站(zhàn)點

4、   &nφεbsp; 金(jīn)融詐騙

5、   &n✔£bsp; C&C、botnet、DGA

6、    &n"©₽bsp;其它威脅情報(bào)來(lái)源及自(±>£≤zì)定義

Anycast負載均衡技(jì)術(shù)

智慧DNS系統通(tōng)過Anycast技(jì)術(shù)提供分(δ'≤fēn)布式服務，保障系統冗餘并實現(xiàn)負載均ε↓衡，有(yǒu)效降低(dī)系統服務器(qì)的(de"γλ)壓力，以支持高(gāo)可(kě)靠性的(de)系統運行(xíng)要(✘≤λyào)求。現(xiàn)有(yǒu)網絡環境通(tōng)過硬件(jiàn↔∑₽₽)設備來(lái)達成負載均衡的(de)缺點在于：

A、    &nbs☆δπγp;網絡瓶頸出現(xiàn)：數(shù)據♦¶•∞流都(dōu)要(yào)通(tōng)過負載₩↔λ<均衡設備

B、     ÷♦₽高(gāo)昂的(de)硬件(jiàn)成本：所有(y σ¥ǒu)域都(dōu)要(yào)部署負載均衡設備

通(tōng)過Anycast技(jì)術(shù)不(bù)β<用(yòng)借助負載均衡硬件(jiàn)設備即可(kě)達到(dàφ€&λo)要(yào)求，從(cóng)而給用(yòng)戶提供冗餘的(de)，高γ¥ (gāo)可(kě)靠性的(de)DNS、DHCP服務。

 非法DNS地(dì)址攔截技(jì)術(shù)

互聯網存在衆多(duō)免費(fèi)及開(kāi)源甚至是(shì)私自(₹↑™zì)搭建的(de)PublicDNS，如(rú)較知(zhī)名的(de×δ)8.8.8.8.8和(hé)114.114.114.©π™114、9.9.9.9、1.1.1.1等，部分(fēn)黑(hē→₽≠i)客甚至通(tōng)過入侵後惡意修改用(yòng)戶DNS至非♥♣α法DNS進而實施域名劫持、釣魚欺詐等行(xíng)為→>β(wèi)，這(zhè)些(xiē)都(dōu)給用(yòng)↔÷戶信息安全帶來(lái)嚴峻挑戰。此外(wài)，部分(fēn)企業(yè)β​☆&開(kāi)始自(zì)建CDN系統，如(rú)果大(dà)量用(yòng‍☆×♥)戶将DNS設置為(wèi)外(wài)網DNS将導緻無法進行(xíng)本λΩ γ地(dì)資源調度，造成第三方出口帶寬資源的(de)占用(yòng)，也≈→(yě)無法提升用(yòng)戶的(de)訪問(wèn)體(tǐ)驗。

冠程科(kē)技(jì)智慧DNS系統采用(yòng)獨有(yǒu$δ §)的(de)外(wài)網DNS攔截技(jì)術(shù)通(tōn ↕g)過與路(lù)由器(qì)或者采用(yòng)分(fēn)光 ☆​α(guāng)、鏡像等方式可(kě)對(duì)外(wàσ₹>i)網DNS訪問(wèn)進行(xíng)有(yǒu)效攔截₽₩σ ，有(yǒu)效防止用(yòng)戶訪問(wèn)不(bù¥±♥‌)安全的(de)DNS系統，同時(shí∑←)還(hái)可(kě)以避免利用(yòng)DNα∞σS隐蔽隧道(dào)方式傳輸涉密及敏感信息，杜絕用‍'(yòng)戶訪域名被劫持、篡改風(fēng)險，切實保障用(♥<₽←yòng)戶的(de)信息及網絡安全。