1、    dns權(quán)威服務(wù)器選擇方式研究    王圣元+張宇+李東摘要： 關(guān)鍵詞： ： 文獻(xiàn)標(biāo)志碼： a： 2095-2163（2017）06-0122-06abstract： this paper studies the selection of authoritative dns server. in order to enhance the robustness and performance of a domain name， most domains are configured with multiple authoritative dns se

2、rvers. when the dns recursive server receives a query for the domain name， it needs to select one of the authoritative dns server to query. however， the specific manner of choice is unclear， and the relevant rfc standards do not stipulate the way in which the recursive server chooses the authoritati

3、ve dns server. this paper analyzes the selection algorithm of each common dns server version for the authoritative server， and discusses the selection effects of these algorithms and the factors influencing the selection effect. the paper also measures the open dns recursive server throughout china

4、and analyzes its selection effect on the authoritative server.0引言伴隨著因特網(wǎng)的快速發(fā)展，人們的生活早已與網(wǎng)絡(luò)息息相關(guān)。各種各樣的網(wǎng)絡(luò)服務(wù)給人們帶來無窮的便利。域名系統(tǒng)作為因特網(wǎng)最重要的基礎(chǔ)設(shè)施之一，提供域名到ip地址的轉(zhuǎn)換服務(wù)，是一切網(wǎng)絡(luò)服務(wù)正常運(yùn)行的基石，其穩(wěn)定性及其它性能對(duì)因特網(wǎng)有重要的影響1。當(dāng)dns遞歸服務(wù)器對(duì)一個(gè)擁有多個(gè)dns權(quán)威服務(wù)器的域進(jìn)行查詢時(shí)，dns遞歸服務(wù)器需要選擇其中一個(gè)開展進(jìn)一步的查詢。其選擇的結(jié)果對(duì)查詢的響應(yīng)時(shí)間有很大的影響2，各個(gè)版本的dns服務(wù)器對(duì)權(quán)威服務(wù)器的選擇算法會(huì)直接影響其性能。本文分析了常見

5、的服務(wù)器選擇算法，并對(duì)各個(gè)版本dns服務(wù)器采用的算法進(jìn)行了研究。發(fā)現(xiàn)了對(duì)算法選擇結(jié)果產(chǎn)生影響的多個(gè)因素，并對(duì)全國范圍內(nèi)開放dns遞歸服務(wù)器對(duì)權(quán)威服務(wù)器的選擇方式進(jìn)行測(cè)量和分析。1dns權(quán)威服務(wù)器選擇算法1.1權(quán)威服務(wù)器選擇算法分類在有多個(gè)備選的dns服務(wù)器可供選擇的情況下，相關(guān)的rfc文檔3沒有對(duì)選擇的方法做出明確規(guī)定，各個(gè)版本dns服務(wù)器選擇方式不同，主要有平均選擇算法和rtt（round trip time）相關(guān)的選擇算法兩個(gè)類別。平均選擇算法不考慮遞歸服務(wù)器到各個(gè)權(quán)威服務(wù)器的延遲或跳數(shù)，無差別地選擇dns權(quán)威服務(wù)器進(jìn)行查詢。這種方法的優(yōu)點(diǎn)在于實(shí)現(xiàn)簡單，且由于查詢的dns權(quán)威服務(wù)器為隨機(jī)選

6、擇，可以使得一些dns攻擊方式更加難以實(shí)施，例如kaminsky緩存攻擊4。其缺點(diǎn)在于遞歸服務(wù)器不能選擇延遲較小的權(quán)威服務(wù)器進(jìn)行查詢，整體性能較差5。rtt相關(guān)的算法以往返時(shí)間rtt為度量方式來對(duì)同一個(gè)域的多個(gè)dns權(quán)威服務(wù)器進(jìn)行選擇，可以直接選擇rtt值最小的dns權(quán)威服務(wù)器進(jìn)行查詢，也可以按照rtt值的大小給出概率，并按照概率的大小選擇，通常rtt值越小的dns權(quán)威服務(wù)器被選擇的概率越大，以此來達(dá)到更好的性能，即更快地獲得查詢結(jié)果。1.2srtt算法在與rtt相關(guān)的服務(wù)器選擇算法中，最常見的是srtt（smoothed round trip time）算法。bind（berkeley in

7、ternet name domain）服務(wù)器采用srtt選擇算法。srtt算法動(dòng)態(tài)地維護(hù)一個(gè)備選的dns權(quán)威服務(wù)器的ip列表，并通過這些dns權(quán)威服務(wù)器的srtt時(shí)間來選擇其中一個(gè)進(jìn)行查詢，其中srtt為平滑的rtt時(shí)延，而具體的計(jì)算規(guī)則可表述如下：1）初始化。 當(dāng)某個(gè)備選的dns權(quán)威服務(wù)器不存在于遞歸服務(wù)器的緩存中時(shí)，需要對(duì)其賦一個(gè)初始值srttinit。數(shù)學(xué)計(jì)算公式如下：srttinit=31r sec（1）其中，r為一個(gè)32比特的隨機(jī)數(shù)。公式所計(jì)算出的srtt初始值遠(yuǎn)小于實(shí)際網(wǎng)絡(luò)中的往返時(shí)間，這使得每個(gè)備選的dns權(quán)威服務(wù)器都能被選擇至少一次，以獲得其實(shí)際的往返延遲。2）srtt的計(jì)算。

8、當(dāng)dns遞歸服務(wù)器發(fā)出的某個(gè)查詢收到應(yīng)答時(shí)，給出應(yīng)答的dns權(quán)威服務(wù)器的srtt會(huì)依據(jù)本次查詢所獲得的新的rtt和之前已有的srtt加權(quán)求和計(jì)算得出。研究得到公式如下：srttnew=srttold+1-rttnew（2）在bind服務(wù)器（版本9.8.0）中，取值為0.76。3）srtt衰減。為了防止在查詢時(shí)只選擇某個(gè)srtt最小的dns權(quán)威服務(wù)器，在收到某次查詢的應(yīng)答時(shí)，該次查詢未被選擇的權(quán)威服務(wù)器的srtt需要按照一定的規(guī)則衰減。推導(dǎo)可得公式如下：srttnew=srttold（3）在bind服務(wù)器（版本9.8.0）中，取值為0.98。而在powerdns7中，的計(jì)算公式如下：=etn-t

9、n+1c（4）其中， c為常數(shù)，tn-tn+1為兩次查詢的時(shí)間間隔。endprint由于網(wǎng)絡(luò)處在不斷變化中，原本rtt較大的dns權(quán)威服務(wù)器可能會(huì)變?yōu)閞tt較小的。為了探測(cè)到這一變化，dns遞歸服務(wù)器需要先對(duì)其進(jìn)行選擇，但如果沒有探測(cè)到該變化，則不會(huì)對(duì)其設(shè)定選擇。這就造成了死鎖的狀態(tài)，為了解決這一問題，大多數(shù)rtt相關(guān)的選擇算法都會(huì)采取rtt衰減的策略，即對(duì)于沒有被選擇的dns權(quán)威服務(wù)器，其記錄的rtt值會(huì)按照一定的方式逐漸變小，使得每個(gè)dns權(quán)威服務(wù)器都有被選擇的機(jī)會(huì)。2可控環(huán)境下權(quán)威服務(wù)器選擇算法的測(cè)量和分析2.1測(cè)量環(huán)境為了研究dns遞歸服務(wù)器對(duì)dns權(quán)威服務(wù)器選擇的算法及效果，在獨(dú)立的

10、網(wǎng)絡(luò)環(huán)境下進(jìn)行實(shí)驗(yàn)。實(shí)驗(yàn)環(huán)境如圖1所示。其中，為的子域，有五個(gè)dns權(quán)威服務(wù)器負(fù)責(zé)解析該子域下的域名，這五臺(tái)dns權(quán)威服務(wù)器向外發(fā)送的報(bào)文分別設(shè)置有不同的延遲時(shí)間。由于實(shí)驗(yàn)在同一網(wǎng)段下進(jìn)行，原本服務(wù)器間的往返時(shí)間可以忽略不計(jì)，遞歸服務(wù)器到權(quán)威服務(wù)器的實(shí)際rtt只取決于各個(gè)權(quán)威服務(wù)器的延遲時(shí)間的設(shè)定。客戶端向dns遞歸服務(wù)器發(fā)送子域下的域名的查詢，觸發(fā)dns遞歸服務(wù)器訪問備選的五臺(tái)dns權(quán)威服務(wù)器之一。統(tǒng)計(jì)各個(gè)版本的dns遞歸服務(wù)器對(duì)數(shù)個(gè)dns權(quán)威服務(wù)器選擇的分布情況。所測(cè)量的dns遞歸服務(wù)器版本如表1所示。2.2不同版本dns服務(wù)器的權(quán)威服務(wù)器選擇結(jié)果將dns遞歸服務(wù)器到各個(gè)權(quán)威服務(wù)器的rtt

11、大小設(shè)置為60 ms、80 ms、100 ms、120 ms、140 ms，查詢速率為40次/s，測(cè)量表1中的各版本dns服務(wù)器對(duì)權(quán)威服務(wù)器的選擇分布情況，實(shí)驗(yàn)結(jié)果如圖2所示。其中，圖2（a）為bind 9.8實(shí)驗(yàn)結(jié)果，圖2（b）為bind 9.7實(shí)驗(yàn)結(jié)果。此二者在選擇dns權(quán)威服務(wù)器時(shí)，都更多地選擇rtt較小的權(quán)威服務(wù)器。bind服務(wù)器采用srtt算法對(duì)權(quán)威服務(wù)器進(jìn)行選擇， bind 9.8直接選擇srtt值最小的權(quán)威服務(wù)器進(jìn)行查詢，bind 9.7則按照srtt的大小設(shè)置概率，并依據(jù)概率選擇權(quán)威服務(wù)器進(jìn)行查詢。兩者選擇的結(jié)果相差不大，各個(gè)權(quán)威服務(wù)器被選擇的比例都與rtt成反比。window

12、s dns server采用平均選擇的方式選擇權(quán)威服務(wù)器進(jìn)行查詢，各個(gè)權(quán)威服務(wù)器基本被均勻選擇，結(jié)果如圖2（c）所示。powerdns和bind 9.1服務(wù)器的實(shí)驗(yàn)結(jié)果如圖2（d）和圖2（e）所示。bind 9.1雖然也采用srtt算法，但并沒進(jìn)行srtt衰減，因此其結(jié)果與其他版本bind服務(wù)器不同。powerdns采用了srtt衰減的策略，但其衰減的速度過慢，大量的查詢?nèi)员话l(fā)往rtt最小的權(quán)威服務(wù)器。雖然具體原因不同，但這2種服務(wù)器的表現(xiàn)形式都為選擇最優(yōu)（rtt最小）的權(quán)威服務(wù)器。如果用實(shí)驗(yàn)中每次查詢所用的平均時(shí)間（平均往返時(shí)延）代表dns遞歸服務(wù)器的查詢效率，利用dns遞歸服務(wù)器發(fā)往各個(gè)權(quán)

13、威服務(wù)器上的查詢所占比例的標(biāo)準(zhǔn)差代表查詢分布的離散情況。則windows dns server采用隨機(jī)選擇的方式，查詢效率最低，查詢分布得最均勻。bind 9.1和powerdns在選擇dns權(quán)威服務(wù)器進(jìn)行查詢時(shí)，表現(xiàn)出的形式為選擇最優(yōu)服務(wù)器，這種方式查詢的效率最高，其查詢分布得最不均勻，標(biāo)準(zhǔn)差最大。2.3查詢速率和查詢時(shí)延對(duì)算法效果的影響2.3.1查詢速率對(duì)算法選擇結(jié)果的影響在保持dns遞歸服務(wù)器到各個(gè)dns權(quán)威服務(wù)器往返時(shí)延不變的情況下，改變客戶端的查詢速率，分別設(shè)置為40次/s、80次/s、160次/s、240次/s、300次/s查詢。在這些不同的客戶端查詢速率下，統(tǒng)計(jì)bind 9.8和

14、bind 9.7服務(wù)器的平均查詢時(shí)間，結(jié)果如圖3所示。可以看出，隨著客戶端查詢速率的加快，bind 9.8服務(wù)器和bind 9.7服務(wù)器的平均查詢時(shí)間都逐漸增大，而bind 9.8服務(wù)器增加的幅度更大。兩者在查詢速率變高時(shí)，選擇較小往返延遲的dns權(quán)威服務(wù)器進(jìn)行查詢的比例逐漸減少，而選擇較大往返延遲的比例逐漸增加。由于bind 9.7服務(wù)器采用的是根據(jù)與rtt相關(guān)的概率隨機(jī)選擇，因此變化的幅度沒有bind 9.8大。bind 9.8服務(wù)器在高查詢速率下，出現(xiàn)了更多地選擇高rtt的dns權(quán)威服務(wù)器進(jìn)行查詢的現(xiàn)象，在查詢速率為300次/s的情況下，bind 9.7和bind 9.8實(shí)驗(yàn)結(jié)果如圖4所

15、示。這是由于srtt算法本身導(dǎo)致的。具體原因在2.3.3小節(jié)中進(jìn)行分析。2.3.2往返時(shí)延大小對(duì)算法選擇結(jié)果的影響除了客戶端的查詢速率可能會(huì)對(duì)實(shí)驗(yàn)結(jié)果產(chǎn)生影響之外，往返時(shí)延的大小本身也會(huì)對(duì)dns權(quán)威服務(wù)器的選擇結(jié)果產(chǎn)生影響。將客戶端的查詢速率設(shè)置為80次/s，并改變dns遞歸服務(wù)器到dns權(quán)威服務(wù)器的往返延遲。觀察bind 9.8服務(wù)器對(duì)dns權(quán)威服務(wù)器的選擇結(jié)果。首先，將dns遞歸服務(wù)器到各個(gè)dns權(quán)威服務(wù)器的往返延遲的比例固定，改變其大小，分別設(shè)置為20 ms、40 ms、60 ms、80 ms、100 ms和100 ms、200 ms、300 ms、400 ms、500 ms，實(shí)驗(yàn)結(jié)果如

16、圖5（a）所示。再將dns遞歸服務(wù)器到各個(gè)dns權(quán)威服務(wù)器的往返延遲的差值固定，改變其大小，分別設(shè)置為 20 ms、40 ms、60 ms、80 ms、100 ms， 40 ms、60 ms、80 ms、100 ms、120 ms和60 ms、80 ms、100 ms、120 ms、140 ms三組，實(shí)驗(yàn)結(jié)果如圖5（b）所示。從圖5的實(shí)驗(yàn)結(jié)果中可以看出，在dns遞歸服務(wù)器與備選的dns權(quán)威服務(wù)器之間的往返時(shí)延等比例地?cái)U(kuò)大時(shí)，dns遞歸服務(wù)器趨向于平均選擇dns權(quán)威服務(wù)器進(jìn)行查詢。當(dāng)各個(gè)備選dns權(quán)威服務(wù)器往返時(shí)延的差值不變，而絕對(duì)值增加時(shí)，dns遞歸服務(wù)器發(fā)往各個(gè)dns權(quán)威服務(wù)器的查詢比例趨向

17、于相等。具體的原因在2.3.3小節(jié)中進(jìn)行分析。endprint2.3.3srtt算法的分析在bind 9.8采用的srtt算法當(dāng)中，當(dāng)一個(gè)dns權(quán)威服務(wù)器被緩存后，如果對(duì)應(yīng)的srtt值不是最小的，則進(jìn)行srtt值衰減至最小，再選擇其進(jìn)行查詢；如果對(duì)應(yīng)的srtt值是最小的，則選擇該服務(wù)器進(jìn)行查詢，并根據(jù)實(shí)際查詢的往返時(shí)延來更新srtt值。因此，可以將一個(gè)dns權(quán)威服務(wù)器的srtt值的變化分為srtt衰減、被選擇、srtt更新三個(gè)階段。假設(shè)某個(gè)域有n臺(tái)dns權(quán)威服務(wù)器負(fù)責(zé)解析，分別為ns1， ns2， ， nsn，對(duì)應(yīng)的往返時(shí)延分別為rtt1， rtt2， ， rttn，其中某個(gè)權(quán)威服務(wù)器nsi的

18、srtt值為srtti，其srtt變化曲線如圖6所示。在srtt衰減階段，dns權(quán)威服務(wù)器nsi的srtt值不是最小的，當(dāng)dns遞歸服務(wù)器收到一個(gè)該域的查詢請(qǐng)求時(shí)，會(huì)選擇該域的其他dns權(quán)威服務(wù)器進(jìn)行查詢，此時(shí)，每當(dāng)收到一個(gè)該域權(quán)威服務(wù)器的應(yīng)答，權(quán)威服務(wù)器nsi的srtt按照一定的方式進(jìn)行衰減，通常為乘以一個(gè)小于1的衰減系數(shù)。srtt衰減階段對(duì)應(yīng)圖6中的t1t2階段。dns遞歸服務(wù)器在t2時(shí)發(fā)出一次查詢，在t3時(shí)刻收到查詢的應(yīng)答并對(duì)nsi的srtt進(jìn)行衰減，此次衰減使srtti比該域其他dns權(quán)威服務(wù)器的srtt值都小，進(jìn)入到被選擇階段。在被選擇階段，每當(dāng)dns遞歸服務(wù)器收到一個(gè)該域的遞歸查詢

19、時(shí)，都會(huì)選擇nsi進(jìn)行進(jìn)一步查詢。當(dāng)客戶端的查詢速率較高時(shí)，在t2t2間仍有許多發(fā)往其他dns權(quán)威服務(wù)器的請(qǐng)求尚未收到應(yīng)答，當(dāng)遞歸服務(wù)器收到這些查詢的應(yīng)答時(shí)，nsi的srtt仍然會(huì)減小，對(duì)應(yīng)圖6中的t2t3階段。從t3開始，dns遞歸服務(wù)器收到在t2t3階段發(fā)送給nsi的查詢的應(yīng)答，并根據(jù)實(shí)際的往返時(shí)延對(duì)nsi的srtt值進(jìn)行更新。經(jīng)過數(shù)次更新后，從t4開始，nsi的srtt不再是最小的，此時(shí)進(jìn)入srtt更新階段。在srtt更新階段中，遞歸服務(wù)器不會(huì)再選擇nsi進(jìn)行查詢。但dns遞歸服務(wù)器可能會(huì)繼續(xù)收到nsi的應(yīng)答報(bào)文，并對(duì)nsi的srtt進(jìn)行更新。到t5時(shí)，收到被選擇階段中遞歸服務(wù)器發(fā)往ns

20、i的查詢的所有應(yīng)答后，nsi再次進(jìn)入srtt衰減階段。若有一個(gè)備選的dns權(quán)威服務(wù)器nsi，其srtt衰減階段所占時(shí)間為tdecay=t2-t1，被選擇階段所占時(shí)間為tselect=t4-t2，選擇后的srtt更新階段所占時(shí)間為tupdate=t5-t4，則選擇該權(quán)威服務(wù)器進(jìn)行查詢的占比pi為：pi=tselecttdecay+tselect+tupdate（5）dns遞歸服務(wù)器從t2時(shí)刻開始向nsi發(fā)送查詢，到t3時(shí)刻收到nsi返回的應(yīng)答，t2與t3間的時(shí)間間隔取決于dns遞歸服務(wù)器與nsi間的往返時(shí)延。在bind 9.8中，進(jìn)行srtt衰減時(shí)的系數(shù)為0.98，srtt在增長時(shí)采用與實(shí)際rt

21、t加權(quán)平均的方式。當(dāng)實(shí)際的rtt與衰減后得到的srtt相差較大時(shí)，只要收到少數(shù)幾個(gè)nsi的應(yīng)答并對(duì)srtti進(jìn)行更新后，srtti就不再是最小的srtt值。因此，tselect的大小主要取決于dns遞歸服務(wù)器與nsi間的rtt大小。參考文獻(xiàn)：1孫瑞. 基于分布式平臺(tái)的dns信息探測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)d. 哈爾濱：哈爾濱工業(yè)大學(xué)， 2013.2 somegawa r， cho k， sekiya y， et al. the effects of server placement and server selection for internet servicesj. ieice transactions on communications， 2003， 86（2）：542-552.3 mockapetris p. domain namesconcepts