中國電信DNS架構(gòu)演進(jìn)和安全防護(hù)實踐

飛象網(wǎng)訊 “第二屆中國域名發(fā)展大會”于2017年1月10日在北京新世界酒店二層宴會廳舉辦。飛象網(wǎng)作為直播媒體將對會議做全程報道。直播內(nèi)容：

中國電信集團(tuán)網(wǎng)絡(luò)安全產(chǎn)品運營中心CEO兼首席架構(gòu)師  劉紫千

劉紫千：大家好，我是來自中國電信集團(tuán)公司，目前我所處的部門是網(wǎng)絡(luò)安全產(chǎn)品運營中心，我們之前可能做了一些將中國電信主干網(wǎng)的能力與開放體系類創(chuàng)業(yè)也好怎么樣，我們把主干網(wǎng)的網(wǎng)云滴（音），云滴（音）最大的基礎(chǔ)運營商將能力開放把技術(shù)能力和網(wǎng)絡(luò)資源能力價值化我們認(rèn)為是一個非常積極和有益的探索，所以今天我可能要借這寶貴的15分鐘跟大家介紹一下我們在整個的服務(wù)的價值化探索當(dāng)中，有一些東西是我們繞不開的，也就是說不管的我國服務(wù)形態(tài)，我們的產(chǎn)品能力是怎么樣的，可能我們的底層架構(gòu)我們的價值體系到底朝什么樣方向去走，支撐這么大體量的客戶，這是我們一直在探索的，也是跟各位報備一下，我的片子是以英文來組織，因為之前工信部有一個涉外的交流，所以當(dāng)時也是根據(jù)那要求做了一些全是英文的展示，我今天的主要介紹還是會用中文，根據(jù)大會的要求，我也會在片子里面做了一些調(diào)整希望會對大家有啟發(fā)。

基本上我會介紹中國電信DNS架構(gòu)的演進(jìn)以及在安全防護(hù)DNS做的一些有益的探索。首先來看一下中國電信現(xiàn)在整個的網(wǎng)絡(luò)規(guī)模，大家知道DNS作為重要的指路人說，不管從網(wǎng)絡(luò)規(guī)模和用量來說都是最大的基礎(chǔ)網(wǎng)絡(luò)已經(jīng)是世界上的第一。我們從網(wǎng)絡(luò)規(guī)模上來看，我們的移動用戶數(shù)這是截止到10月底的數(shù)字，這是公開的，我們大概有2.14億移動用戶，其中4G的用戶有1.13億，我們的固網(wǎng)的寬帶用戶數(shù)是1.29億，其中我們的光纖，中國政府在推一個寬帶中國的戰(zhàn)略，運營商包括電信、聯(lián)通在內(nèi)都積極的推進(jìn)小區(qū)寬帶光進(jìn)同退，其實就是說大家可以用光纖提供50兆、100兆的接口速率，我相信今年年底這數(shù)字就到1億的光纖的接入用戶。從上面是用戶的規(guī)模，下面是網(wǎng)絡(luò)能力。網(wǎng)絡(luò)能力我這里列了幾個帶寬，就是首先我們在國內(nèi)，中國電信網(wǎng)絡(luò)，整個網(wǎng)絡(luò)大概有85T的帶寬的儲備，我們國際的出口，可能很多人定義不太一樣，但是其實中國不管是哪一家運營商，基本上我們的國際出口會控制在大概國際出口，北京、上海和廣州某個地方。這帶寬其實也就接近一個T左右，我們在真正的最外延的，就是我們真正海外的點跟海外運營商北美、亞太的其他一些運營商包括非洲，我們互聯(lián)的帶寬大概是6.2個T，當(dāng)然國內(nèi)還有其他的運營商比如說移動、聯(lián)通、鐵通等等，這互聯(lián)帶寬大概是2.7個T的帶寬，這是目前網(wǎng)絡(luò)的規(guī)模。

我們DNS的規(guī)模到底是什么樣，我看了今天的主題，大家介紹的時候會講我的權(quán)威，我的權(quán)威體系或者我的授權(quán)體系大概是什么樣，其實做運營商來講，我們運營的可能是目前國內(nèi)最大的一套，當(dāng)然這稱呼大概是五花八門，其實我更愿意是遞規(guī)節(jié)點。但是不管怎么樣，不管你是移動用戶你是固定用戶，你的通過中國電信的網(wǎng)絡(luò)不管它是4GWIFI還是家里的寬帶你接入以后，我們的接入設(shè)備會給你分配兩個一主一備兩個DNSIP服務(wù)地址，這兩個IP服務(wù)地址就是所謂的面向用戶的第一個服務(wù)的IP。我們原來的模式是31個省每一個省的服務(wù)IP都不一樣，我們的建設(shè)模式是按照省集中，這里我說的Province—Based，基本上有兩個或者兩個以上對應(yīng)的兩個或者多個服務(wù)節(jié)點，整體上來看全國大概有70套以上的服務(wù)集群，然后會有多達(dá)150個服務(wù)IP，不管你是有意識還是無意識，當(dāng)你從北京到上海，或者從北京去天津、河北，細(xì)心的朋友會關(guān)注到，其實運營商給你分配的DNS服務(wù)IP是不一樣的。這里我永樂一個Evolving，其實這架構(gòu)是會變的，一會再說怎么變。

上面是節(jié)點的規(guī)模，下面的流量峰值速率每秒最高到了13個，1300萬QPS，是我們目前的峰值速率，大家可能做權(quán)威運營的或者說你做頂級運營的朋友們，大家去想一想自己的服務(wù)器集群，不管你是（英文）技術(shù)怎么樣你去看看QPS峰值我相信遠(yuǎn)遠(yuǎn)小于這個量級�？梢跃褪钦f我們從運營商角度，我們的緩存和遞規(guī)節(jié)點最直接的去感受用戶請求、DNS請求量的第一道墻。

下面是我們1300萬QPS，其實你轉(zhuǎn)換成流量來講其實并不是很大，當(dāng)然Request比Response要大。我們來看一下我們怎么做架構(gòu)演進(jìn)？這里面簡單回顧一下，可能有點班門弄斧，但是整體上來講，其實很多朋友對DNS到底怎么樣解析過程，到底是怎么樣其實并不是很清楚，而且有一些概念，可能有一些混淆，所以我這里簡單的介紹一下到底DNS整個的過程是怎么樣。首先藍(lán)色的小人代表用戶，用戶發(fā)起DNS請求，會到電信我們剛才講的緩存和遞規(guī)服務(wù)節(jié)點，或者到第三方的服務(wù)節(jié)點，比如說谷歌四個8等等這一些請求過來我會在緩存里面去查，你問的域名記錄有沒有，如果沒有的話我們向外發(fā)起一個遞規(guī)查詢，會到最左邊的整個授權(quán)體系，從ROOT到TLD到具體的企業(yè)NS來去所有的遞規(guī)查詢?nèi)ゲ樽詈蟮臋?quán)威服務(wù)器在哪里。

上面是我們原來的做法但是下面這里講的電信內(nèi)部怎么做架構(gòu)調(diào)整，我們在下面這一張圖我們實際上做的和遞規(guī)功能是不同，不管是功能還是軟件硬件的服務(wù)器上都是都套�，F(xiàn)在把緩存和遞規(guī)進(jìn)行了物理的隔離或者叫分割，緩存是有專門的服務(wù)器來做，后面帶著一大堆的遞規(guī)服務(wù)器從第1臺到第N臺。

我們?yōu)槭裁匆�做這一件事情，其實在2009年的時候，在北京DNS（英文）我在哪上面有一個發(fā)言，其實在那之前我們剛剛我們在5月19號國內(nèi)DNS體系遭受了很大的沖擊，實際上就是因為暴風(fēng)影音，表面上519暴風(fēng)影音的根本事件，其實根本的原因是那臺NS服務(wù)器托管在了（英文）那機(jī)房其他的基礎(chǔ)設(shè)施一個網(wǎng)游的服務(wù)器被攻擊導(dǎo)致整個機(jī)房帶寬擁塞，變成了暴風(fēng)影音NS無法正確的回答所有運營商發(fā)過來的遞規(guī)請求，運營商會累計越來越多的遞規(guī)請求，所以最后導(dǎo)致（英文）那個參數(shù)一般默認(rèn)一千或者是五千，那個馬上占滿，整個服務(wù)器性能下降會宕機(jī)。其實整個服務(wù)器的帶寬還OK，我的CPU進(jìn)程還OK。因為現(xiàn)在關(guān)于使用DNS攻擊在緩存里沒有應(yīng)答，我去攻擊你的模式，現(xiàn)在在互聯(lián)網(wǎng)每天都在發(fā)生當(dāng)我把這種物理進(jìn)行了分割以后，我可以很有效的保護(hù)我需要保護(hù)那部分物理服務(wù)器的資源。

這里我也強(qiáng)調(diào)了一下，就是我們認(rèn)為緩存和遞規(guī)在整個DNS面向用戶的第一側(cè)，其實他們的緩存上高性能、它的高并發(fā)，在遞規(guī)上可能你首先要滿足的是我要CDN友好，現(xiàn)在越來越多的互聯(lián)網(wǎng)公司會根據(jù)你的遞規(guī)IP來做服務(wù)的就近選擇，所以遞規(guī)次元一定要足夠的物理分散，在網(wǎng)絡(luò)上邏輯上或者實際的地理上都要足夠的分散。當(dāng)然還有一點就是DNS架構(gòu)內(nèi)部是不應(yīng)該要有所謂的四層負(fù)載均衡的設(shè)備，當(dāng)時519我們很多負(fù)載均衡的設(shè)備，也都成為了性能的瓶頸。

就是你去中國電信不同的省，其實國內(nèi)運營商都差不多，你去國內(nèi)的省會看到不同的IP，現(xiàn)在我們正在做的一件事情就是你去不同的省特別在北方，你有可能用到或者是看到4個118.135或者是4個118，這是我們?nèi)�網(wǎng)做的服務(wù)的地址，也就是說希望在2017年底中國電信所有的用戶，不管是通過移動接入還是固定互聯(lián)網(wǎng)接入，我們都希望你的服務(wù)IP就這一個，實際上我們后臺遞規(guī)我們還是要滿足所謂的CDN友好等等的那些遞規(guī)的約束條件都會滿足，但是在前面我們給用戶服務(wù)側(cè)推的其實是同樣的IP一些大的集群。接下來講一下有可能面臨，或者正在面臨什么樣的安全風(fēng)險和威脅。首先看一下還是剛才那張圖，當(dāng)用戶發(fā)起DNS請求的說話，或者它的一個請求整個數(shù)據(jù)流會經(jīng)過我的哪一些系統(tǒng)。這里黃顏色心形標(biāo)出來，有可能遭受到或者說事實上已經(jīng)遭受過攻擊或者安全風(fēng)險威脅的一些關(guān)鍵的節(jié)點。

比如說第一個整個的授權(quán)體系不管你跟TLD還是運營商的DNS設(shè)備，雖然他們的角色不一樣，但是他們都會成為實際攻擊對象。我前面一位演講嘉賓是講到了2013，因為現(xiàn)在互聯(lián)網(wǎng)都能查得到8月25.CN被攻擊了，當(dāng)時使用.CN所有的域名和網(wǎng)站都打不開，不是因為你的其他服務(wù)器被攻擊而是你的.CNNS被攻擊了所有的域名查詢解析沒有IP，沒有IP后面的流量就沒有了。還包括2016年10月21號DYN被攻擊導(dǎo)致北美很多的（英文）還有一些CIN等等域名解析失效，包括講的暴風(fēng)也一樣。

第二個在圖的左下角，我們講的是有可能你的根區(qū)文件，或者你的權(quán)威記錄的文件會被篡改，這個被篡改呢，可能各位做NS運營的人服務(wù)提供商也好，或者你是系統(tǒng)管理員也好，可能你會有很多很多的案例切膚之痛，我自己直接經(jīng)歷過就有國內(nèi)很多家大的互聯(lián)網(wǎng)企業(yè)，比如說最近又發(fā)生了谷歌NS也被篡改了，一個是你被篡改，另外一個就是你做運維或者業(yè)務(wù)開放，你可能因為配置誤操作多敲了一個1，或者把.11IP看成.11等等的造成NS配置完了正好我有全部的同步到我運營商以及互聯(lián)網(wǎng)其他的公共的（英文）上面，除非你的TTL超時，否則你這錯誤的解析或者背景篡改的解析會長久的停留在我們的緩存服務(wù)器，用戶的后續(xù)查詢都是不對的。

當(dāng)然還有一個就是我們說的緩存投毒也好緩存污染也好，這一件事情事實上也曾經(jīng)發(fā)生過，但是目前來講要做這一件事情的成本確實很難，從我們的角度來看，可能除非是一些極特殊的場景下，那運營商的緩存被大范圍的攻擊幾乎沒有，當(dāng)然這一件事情曾經(jīng)發(fā)生過。2014年中國計算機(jī)網(wǎng)絡(luò)年會我記得在汕頭當(dāng)時也有一個案例，除了那個之外，其他的事件在緩存投毒相對來講是比較少的。還有一些就是我想借這機(jī)會跟大家講一講，很多朋友來說，運營商有接觸我的DNS，說我的DNS被篡改等等，其實大家想一想從你的手持終端，從你的手機(jī)服務(wù)器那邊，到所謂的權(quán)威DNS服務(wù)，你要查一個DNS請求，可能你經(jīng)歷了多少跳的網(wǎng)絡(luò)，在你最近的最后一公里的位置，其實那地方真的是魚龍混雜，不管是小區(qū)寬帶運營商，或者你接入以為是你家的WIFI不是你家的WIFI等等的現(xiàn)象，在那個上面你的IP都會被篡改。

之前有一個論壇我也講過一個案例，另外偽造的請求，CIFF攻擊模式，它可能你通過點擊某個互聯(lián)網(wǎng)網(wǎng)站，它可以去從你的筆記本去直接登陸你家寬帶路由器上，用默認(rèn)的用戶名口令去修改你自己的家用寬帶路由器DHCP的位置。所以等等這一些最后的現(xiàn)象我的DNS被劫持等等，但是我想比較負(fù)責(zé)任的告訴大家，在我們管理的中國電信官方的31個省的DNS上面，我們不可能也完全沒必要所謂以企業(yè)，或者其他的運營IP，如果真正發(fā)生這一件事，如果我們非常歡迎來聯(lián)系中國電信，我們第一時間來處理，事實上基于這業(yè)務(wù)處理，我們也做一了款服務(wù)產(chǎn)品，域名無憂，就是前置IP或者通過微信的操作界面你可以直接去刷新，你所負(fù)責(zé)的企業(yè)某個域名，當(dāng)然這域名今天會有一些備案的審核。那刷新的過程其實就是我們會強(qiáng)制的RND（英文）緩存清空一次，只要你（英文）記錄上是對的緩解的就是對，這功能其實現(xiàn)在也得到了很多很多的云服務(wù)提供商和大的互聯(lián)網(wǎng)公司反應(yīng)，但是一方面也作為網(wǎng)絡(luò)環(huán)境，另一方面是維護(hù)工具，萬一真正的手潮錯配的配置我可以通過這功能快速的調(diào)整和引導(dǎo)。

總結(jié)一下就是這一些小星星一旦出了運用，本來用戶想得到4個1的IP，他要不得到4個L的IP。最后一張片子就是講一下基于這一些安全的風(fēng)險，我們會有哪一些方面開展一些具體的舉措，比如說大家提到我們在中國電信給用戶側(cè)的，有中國電信，如果大家用電信寬帶怎么樣光錨什么，我們有用戶名的口打上一個標(biāo)簽，貼在你的寬帶路由器的背面，那個標(biāo)簽其實每一臺設(shè)備是隨機(jī)，基本上物理接近上你就能看得見，什么一二三四五六默認(rèn)密碼給你，去防止所謂的偽造、請求。另外其實也是在部里的統(tǒng)一領(lǐng)導(dǎo)下，我們也是從519之后我們也是多方呼吁，我們希望說國內(nèi)的互聯(lián)網(wǎng)軟件廠商，多多的去看一下自己的軟件應(yīng)用有沒有過度的占用DNS請求資源，特別是遞規(guī)請求。

第二點就是我們會在DNS節(jié)點上層的網(wǎng)絡(luò)，我們會做一些有必要的措施，包括去做限速、包括結(jié)合骨干網(wǎng)的進(jìn)緣的防護(hù)等等，提供足夠的帶寬。在我們自身的DNS節(jié)點，我們緩存和遞規(guī)整個的架構(gòu)重構(gòu)，同時又一些榮譽(yù)性的模糊，在整個DNSOS系統(tǒng)上面我們提供各種各樣的應(yīng)急措施。這里我舉了幾個例子，比如說剛才講的（英文）還有我們緩存的特殊的拍照，在緊急的情況下把之前認(rèn)為正確的解析重新到我們的緩存里。還有一些就是我們在流量上面，我們會去時時分析，可能一次的遞規(guī)分析，對這一些應(yīng)該是2014年12月10日索尼的（英文）攻擊打游戲的所謂域名，關(guān)于這遞規(guī)的域名量是非常非常高，所以在這系統(tǒng)上就可以識別出來。

最后關(guān)于權(quán)威關(guān)于授權(quán)的服務(wù)器上，我們也是建議在有條件下大家可以去嘗試（英文），你去管理到你的管理員的帳號別被涉公，涉公冒用你的帳號改你的記錄，包括標(biāo)行就是跟DNS總工，原來一直在溝通，包括對.CN我們也希望就是說建議在政府的主導(dǎo)上我們?nèi)ソ�立國�?nèi)重要的基礎(chǔ)運營商在給國內(nèi)重要的TLD查詢通道我們希望有一些隔離的通道，不要走普通公眾的，對中國電信來講70%的流量都會流進(jìn)中國電信網(wǎng)絡(luò)，不管產(chǎn)生于哪都會流進(jìn)中國電信網(wǎng)絡(luò)，我們在希望保護(hù)絕大多數(shù)網(wǎng)民的針對特定的TLD，比如說.CN，或者還有其他的國內(nèi).信息，其他的通用局域的查詢在異常的情況下我們?nèi)��?yōu)先的服務(wù)優(yōu)先占用網(wǎng)絡(luò)通道，去提供服務(wù)可持續(xù)性。

基本上我的報告就這到里，也歡迎大家多交流謝謝。