DNS服务器负载均衡解决方案.docx

DNS服务器负载均衡解决方案 2011-06-29 11:31:38 标签： DNSSEC 防攻击 负载均衡 A10 DNS 添加标签 DNS-互联网访问的第一步 现在，每天有数以亿计的互联网用户访问各种各样的互联网应用，而所有这些访问的第一步就是DNS解析获得所要访问域名的IP地址。因此，DNS对于所有用户尤其是运营商来说是最基本最重要的应用。近几年来比较重大的几起DNS事故可以让人们体会到DNS的重要性，包括2006年国内大规模断网（新网DNS事件）、2009年大规模断网（暴风影音事件）、2010年百度DNS事件。这也是现在运营商不断优化和改造DNS的原因所在。而服务器负载均衡设备对整体DNS设施的安全、性能和可用性起着攸关重要的作用，是不可或缺的重要设备。美国A10网络的AX负载均衡设备针对DNS有着完整的解决方案，可以在保证安全、高效、和高可用性的前提下缩减服务器投入，降低用户整体拥有成本。 DNS攻击 随着互联网的不断发展，面向DNS基础设施的攻击也随之增长。DNS服务中断会损害声誉和消费者信心，乃至不可容忍。攻击者采取多种形式，从拒绝服务（DoS）到DNS缓存中毒（DNS Cache Poisoning）。针对DNS缓存中毒攻击的防护需要DNS服务器弥补相关漏洞乃至逐步过渡到新一代安全DNS协议DNSSEC，在此不多做陈述。最近的DDoS （分布式拒绝服务）攻击显示攻击者利用特定协议特点和不断发展的技术进行攻击。例如，一个大型运营商曾经历了不寻常的持续变异的DNS放大攻击如下： 使用DNS UDP协议发送针对“.”的NS记录查询 伪造IP地址 由于这次攻击是针对DNS，通过发送看似有效的请求，躲开了典型的DDoS SYN Flood攻击保护。这种攻击有两个潜在的目标：被冒用IP地址的真正拥有者，以及供应商的DNS基础设施。 首先，被冒用IP地址的真正拥有者可能被冲跨，因为被“劫持”的机器作为DNS查询流量的生成器通知DNS服务器被冒用IP地址的机器是请求者。其次，也有可能更重要的是，DNS服务器本身可能会由于脆弱而中断服务。随着大量的数据请求，DNS服务器的CPU和位于其前端的服务器负载均衡器可能超负荷，网络本身也一样。 这就是所谓的DNS放大攻击，因为一个小请求发送到服务器会造成较大的一组数据发出。举例来说，如果一个黑客发出了一个5k的请求，并能产生20k应答，他已将初始数据包放大了4倍。 通过许多被劫持机器作为“僵尸” （也称为僵尸网络），这种攻击可以造成服务中断的重大后果。 A10提供了一系列缓解技术处理DNS放大攻击以及其他类似的攻击，确保合法用户的服务可用性。这使得所有类别的攻击得以缓解，而不仅仅是当前的攻击。 缓解方法 基础设施的变化，如要求所有用户更改DNS服务器，是不可选的。因此，处理服务请求的能力以及速率和连接限制对于缓解攻击影响都是至关重要的。 高性能：在上述的DNS放大攻击中，竞争对手的负载均衡器负载从12 ％飙升至100 ％。置换为A10的AX系列后，AX的 CPU平均负荷是4-5 ％ ，受攻击时仅升高到20 ％。这是由于A10的高级核心操作系统（ ACOS ）架构，利用灵活流量处理ASIC能够智能地管理和分配流量到多个工作在真正解耦架构下的处理器，而且ACOS采用了目前业界唯一的高性能的共享内存架构。 DNS缓存：AX的DNS缓存功能可以大大降低后端服务器的访问量，降低服务器的投入。而AX高达上百万请求/秒的DNS处理能力配合缓存功能可以在不增加服务器数量的情况下应付各种大规模的DNS DDoS攻击。 DNS 请求异形检查：AX可以对DNS请求依据相关标准进行解析并检查，如发现请求不符合标准，可以选择丢弃或转发到特定服务器进行分析。这样可以保证转发到后端服务器的请求为正确的DNS请求，而非不合法的异形攻击请求消耗服务器资源。 基于源IP的连接速率限制：保护系统免受来自单一客户的过度连接请求。对于超过的请求，可以采取丢弃、日志、锁定等多种处理方式。重要的是，AX架构采用共享内存完成这一任务。每个CPU内核可以即时访问任何所需IP的连接速率数据。避免了象一些竞争对手的产品那样需要与另一个处理器通讯获得数据，这大大提高了处理效率。 基于策略的服务器负载均衡（ PBSLB ） ：利用包含多达800万个主机地址和多达1万个子网的黑/白名单， PBSLB具有高度的可扩展性用于阻止已知的恶意或特定IP地址或子网。可以设置客户IP地址的连接数量门限，丢弃超过的连接请求或将其分配到一组指定的服务器。 连接限制：规定了允许连接到服务器的最大连接数。如果超过连接限制，AX停止发送新的连接到服务器。当连接数到达或低于设定的连接恢复门限值时，AX恢复发送新连接到该服务器。 连接速率