關于異網DNS管控方案的對比分析摘要：在目前的isp網絡中，均出現了不同程度的異網dns流量，這給本網絡的數據安全造成了一定的威脅，同時也降低了本網dns服務質量，造成了dns時延的上升，最終影響了用戶的體驗度，給isp的整張運營帶來了不利影響。該文從網絡信息處理的角度出發，對pbr策略路由方式、路由牽引方式和旁路搶答方式這三種常用的dns管控機制進行研究和探討，對比分析了這些管控機制的管控策略的優缺點，對提高異網dns管控質量起到了一定的參考價值。關鍵詞：dns管控；pbr策略路由、路由牽引；旁路搶答1概述域名解析系統dns負責為用戶解析域名至lp地址的映射關系，當用戶通過瀏覽器登錄internet時，往往無法準確的記住所訪問站點的ip地址，而域名通常簡單易記，因此對于絕大多數的網絡使用者而言，dns服務是非常方便且必不可少的，甚至可以將其視為互聯網的人口，其他的網絡服務如icp內容資源、cdn等若要能正常運轉并幫助用戶搜索到最合適的資源站點，其前提就是dns能夠正確反饋回相關的域名映射。異網dns則是指某個isp的用戶并未使用本ips所提供的dns服務，而向其他網絡中的dns服務器發出申請，發生這種情況的原因是多種多樣的，如病毒或黑客攻擊所致、一些應用軟件自動設置所致，但其中最主要原因還是因為用戶在設置dns服務器的ip地址時人為選擇了異網提供的服務器地址。配置不合適的異網dns不僅會降低用戶上網體驗，帶來安全風險，對中小isp而言還提高了流量結算成本。因此，從isp的角度出發，選擇科學合理的管控機制，對異網dns進行有效的約束與控制，具有十分重要的現實意義。2異網dns現狀概述2.1流量來源分析首先從源頭來分析異網dns流量的特點，其主要來源于以下幾種情況：）某些網絡用戶在改變isp時沒有更改設置：這種情況比較普遍，網絡用戶大多數不具備對網絡進行靈活設置的能力，因此在轉網后往往仍然在沿用以前的dns服務，這就造成異網dns流量，通常在網絡出現故障后的檢修過程中才能被發現；）用戶自主修改dns：這種情況往往是由于網絡用戶收到了第三方公眾dns的宣傳誤導而人為進行修改設置的，這些第三方機構通常利用大規模的用戶基數來實現其商業目的，如推送廣告等，這顯然會使得網絡用戶的dns功能舍近求遠，性能大大下降；）用戶被動修改dns：部分互聯網公司借助終端軟件積極推行自己的dns，用戶在不知情的情況下，這些軟件一旦被下載運行，就會在后臺自動地將dns地址修改，造成本網絡dns流量的流失；）用戶dns被黑客劫持：黑客利用路由器存在弱口令、安全漏洞、惡意代碼等將用戶路由器或終端電腦上的dns篡改為黑客所控制的非法dns，而這些dns往往會將網絡用戶引導至黑客預先成立的釣魚網站，從而獲得用戶賬戶的關鍵信息；）某些網絡硬件設備內置dns：如各類電視盒子或在公共場合中的免費wi-fi等設備就有可能在出廠時內置了公共。通過以上分析與總結，可以看出，異網dns流量的出現，原因是多樣的，但造成的結果都類似，即給用戶帶來訪問時延增長、網絡性能下降、dns服務成本提高以及數據安全性的降低，因此必須通過可靠機制對其加以改善。2.2異網dns管控目標所謂的異網dns管控，即通過科學合理的手段，對異網dns流量進行約束控制和壓縮，盡可能地將異網dns請求引導回其所在的isp網絡，從而保障本網絡的dns服務質量，現根據工作實踐經驗，將異網dns管控的目標總結如下：）對異網dns的解析請求返回isp官方dns的最佳解析結果，即將所有的異網dns請求排除在本網服務范圍之外；21所有策略的實施與操作都必須是透明的，即上層用戶無法感知到這些dns重定向的過程，所有環節均自動完成并能夠自適應的進行調整，從而降低dns服務的使用門檻；）在自動調度之外，還必須提供手動調度功能，以提高調度機制的靈活性；）在保障用戶體驗度的同時，盡可能降低運營成本。根據以上的異網dns管控目標，目前市面上主流的管控機制有三種，以下分別對其優缺點進行介紹。3異網dns管控技術對比分析3.1pbr策略路由方式該機制需要在isp出口設備進行策略路由的預先設定，將53端口流量策略路由至網內，指向專門部署的dns重定向系統，該系統向isp官方dns發起解析請求并獲取到解析結果，在得到確切的反饋信息后，將結果傳回給最初發出申請的網絡用戶。在此應答報文中，將最初用戶的源地址地址作為目的地址，從而實現數據包的反向流動，這些操作全部自動進行，通過運輸層和網絡層就可解決，因此對于更高層的應用層而言，用戶是無法感知到此過程的進行的。該方法的優點在于隱蔽性好，覆蓋范圍大，通用性也較強，可以適用于絕大部分的網絡，且從理論上看，在網絡性能不發生突變的前提下，調度的成功率應當達到；其缺點在于算法的復雜度較高，對數據包的操作環節過多，且省網網絡設備必須要配置策略路由，這無疑也增加了設備投資成本。3.2路由牽引方式路由牽引方式首先需要獲知異網dns的ip地址，再通過路由發布的方式將這些ip指定isp官方，用戶訪問這些特定ip的dns請求將被牽引至運商dns，這種方式顯然針對性極強，在獲知了異網dns服務器地址的情況下，可實現流量管控的最優化。通過數據包的定向轉發，可以較好的節約網絡資源，并有效的降低因轉發錯誤而導致的數據包的丟失現象。從使用角度來看，該方法的主要優點在于部署快、成本低，對現存網絡的影響最小，且調控效果好；但其缺點也是很明顯的，即該方法只能適用于已知異網dns的情況，這顯然大大限制了該方案的適用范圍，若為了發現異網dns服務器地址而進行廣播的話，又會大大增加網絡擁塞發生的概率。3.3旁路搶答方式戶ip，則說明該用戶為合法用戶，則系統放行該申請，否則即認定該申請為異網dns申請，此時將該申請通過forward機制重新引導回該用戶所所屬的isp網絡；為了進一步提高搜索效率，可在重定向安全裝置中開辟緩存空間用以存儲本網dns的解析