北京电信管理局.docVIP

中国联合网络通信有限公司北京市分公司 研究开发项目申报书 项 目 名 称： DNS安全防护和入侵检测机制研究 承 担 单 位： 宽带业务中心 起 止 年 月：2012年4月 --- 2012年10月  一. 项目背景 DNS（domain name system，域名系统)是多层次的分布式数据库系统，基本功能是负责提供域名和IP地址之间的映射。DNS通过客户端/服务器的方式工作，在服务器中存放域名信息，允许客户端访问所需的数据。DNS也是一个分布式数据库，它利用树形目录结构将主机名称的管理权分配给各级的DNS服务器，这使得管理和修改工作可以在各层本地完成，减少了每一台服务器的数据量，使得管理数据更加容易。 目前，北京联通已经建立了较为完善合理的域名解析系统。系统分为权威域名解析系统和用户递归解析系统。目前权威域名解析系统解析能力达到18000万QPS，递归解析系统能力达到日常12万QPS，应对突发情况的处理能力18万QPS。权威域名解析系统由局两个节点组成实现异地冗余备份和负载分担。递归解析系统按照城域网整体结构由4个一级节点和6个二级节点组成，所有节点上联汇聚层路由器，分布到六个DNS服务区域，每个DNS服务区域内均对外提供现有的四个服务地址对用户提供DNS解析服务。 2010年北京联通DNS日均解析量已达93亿次。2011年DNS扩容工程实施，扩容后的DNS系统为2个一级节点和12个二级节点。一级节点主要负责外网用户的DNS解析。二级节点负责汇聚层以下和郊区用户的DNS解析。初步实现了内外网用户的解析。有效保证了系统的安全。扩容项目增加了域名自愈、日志溯源等增值模块，提高了域名安全性。 为提高DNS系统遭DDoS攻击时的稳定性，北京联通已部署了较为完善的Anycast策略。Anycast策略能有效的分散DDoS攻击，降低DNS服务器失效的风险，从而提高整个系统的安全性。 二. 项目的必要性 作为当前全球最大最复杂的分布式层次数据库系统，由于其开放、庞大、复杂的特性以及设计之初对于安全性考虑的不足，再加上人为攻击和破坏，DNS系统面临非常严重的安全威胁。二十一世纪初以来，随着信息高速公路的发展和普及，严重的DNS安全事件时有发生。据不完全统计，就2009年5月到2010年8月短短16个月时间内发生了21起严重的DNS安全事件，影响广泛。因此，如何解决DNS 安全问题并寻求相关解决方案是当今DNS 亟待解决的问题。早期的DNS 协议没有包括安全，因此很容易受到缓存毒害（Cache Poisoning）、客户洪泛（Client Flooding）、动态更新攻击（Dynamic Update Vulnerabilities）以及信息泄露（Information Leakage）等攻击。在RFC 3833 中描述了目前DNS 系统所面临的威胁，包括包的非法拦截、ID 猜测和请求预测、名字链锁效应、拒绝服务等。为了解决这一问题，IETF在DNS协议里加入了安全扩展协议，也就是所谓的域名系统的安全协议（Domain Name System SECurity，DNSSEC），其目标就是为在DNS内部的信息同时提供权限认证和信息完整性。目前DNSSEC已从根服务器向通用顶级域、国家顶级域服务器部署，但依然存在着计算复杂、网络开销大、公钥基础设施建设滞后等问题亟待解决。 目前，北京联通的DNS系统已经广泛采用了Anycast策略来提高系统在遭受攻击时的稳定性。Anycast技术又称任播或任意播技术，利用动态路由协议的自主选路，有目的的形成就近优先访问原则，使同一服务地址广泛分布在网络中，形成分布式的服务架构替代常见的集中式架构。一旦某一个服务器失效，通过路由收敛，用户会自动选择另一个次优的服务器。Anycast策略本身并不能阻止攻击，但可以部分解决攻击所造成的问题。因此有必要着重分析DNS攻击手段对DNS系统产生的影响以及在部署Anycast策略后这种影响的减轻程度。Anycast技术的实现基于现有的路由协议，还需要认真研究该技术在BGP、ISIS、OSPF等路由协议中的基本原理、性能分析、配置方案等，并在此基础上对现有的配置进行一定程度的优化。 此外，近年来层出不穷的各种智能手机、平板电脑产品机器上的和网络应用促进移动互联网的发展一日千里，来自移动终端的域名解析请求也与日俱增。移动用户、移动终端和移动接入网络具有自身独特的特点，例如用户习惯单任务操作、终端处理能力较弱、对流量敏感、接入速率较慢、时延较大、接入较不稳定等。而目前的DNS系统针对固定网络和终端设计，且并不区分域名解析请求来自固定终端还是移动终端，无法对不同类型的终端请求采取区分服务策略，在一定程度上影响了移动终端用户的域名解析体验