查看原文
其他

构建互联网递归域名的健康生态

2017-09-12 李 想 中国智慧城市导刊

递归域名解析服务作为互联网访问和流量调度入口,服务质量直接影响用户访问体验,所汇聚数据具有突出的应用价值。但是由于递归解析服务分散性、开放性等固有特征和多年来无统一监管的原因,我国递归解析服务难以保障。


递归域名解析服务作为流量调度重要方式,日益成为互联网行业各方争夺流量控制权的手段。作为和客户端直接交互的环节,递归域名的配置情况和运行状态对于用户所获取到的DNS解析数据的完整性、正确性和及时性有直接的影响。


递归域名解析的意义


递归域名解析服务是直接面向终端用户提供域名查询服务。通过向自身缓存记录或各级权威服务器查询,将用户访问的网站或业务应用的域名翻译为对应的服务器IP地址,并将最终应答结果转交用户,保证后续业务访问实现。所以递归解析服务的规范健康运行对整个互联网生态具有重要意义。


一方面,递归域名解析服务是用户访问互联网的入口,其服务的高效性、准确性和安全性直接影响用户访问互联网的体验质量。同时,递归解析数据汇集用户业务访问喜好、频度等重要行为信息,成为业务精准推广、广告定向投放的重要途径。


另一方面,递归域名已不仅是域名翻译的工具,同时承担了网络流量调度的重要作用,成为服务商灵活掌握网络流量流向的重要手段,减少外部不良竞争带来的流量恶意疏导。随着CDN、云计算等新技术的迅猛发展,网站或应用通过用户配置的递归域名判断用户所接入位置及服务商,实现智能解析进而完成CDN内容分发调度、流量缓存引导。


由于递归域名日益成为行业各方争夺流量控制权的手段,接入服务商、互联网企业等加大对递归域名解析点建设,一方面接入服务商通过自己广大用户优势,通过默认配置递归解析,控制流量入口;另一方面,互联网企业不断介入,2010年左右,OpenDNS和Google先后推出免费的公共递归解析服务,日处理请求量超过千亿次,近几年我国的阿里、腾讯、百度等互联网企业也纷纷推出公共递归解析服务,企图加强流量入口的控制权。


我国递归域名的发展现状


递归域名解析服务根据提供主体的不同,主要分为接入服务商(基础电信运营企业、宽带接入服务商等)递归解析服务、第三方企业(百度、阿里、腾讯等)公共递归解析服务、企事业单位自建内部递归解析服务三类,其中前两类是主要研究和监管对象。


由接入服务商提供服务是我国目前递归域名解析服务最为广泛的应用形式。据中国信息通信研究院互联网性能监测和宽带测速平台监测统计分析,在全国范围内共发现约11.2万台递归域名解析服务器(以IP计),其中部署于三大运营商网内约占87%,三大运营商DNS查询流量约占总量90%左右。


我国第三方公共递归解析服务百家争鸣。通过中国信息通信研究院互联网性能监测和宽带测速平台对一万余名用户配置的DNS抽样结果显示:有10%左右的用户配置了公共递归解析服务器,其中BAT表现尤其突出。


2014年,阿里推出公共递归解析服务器,面向互联网用户提供“快速”、“稳定”、“智能”的免费DNS递归解析服务。阿里公共DNS已经在拥有全球数百台服务器组成的集群,具备充足的带宽资源,自研高性能DNS系统和清洗中心,保障系统稳定和安全。采用BGP anycast多线技术,让用户访问最近的DNS集群,动态缓存技术,加速解析响应。此外具备精确的IP区域划分,解析结果更准确,即将支持edns-client-subnet技术,调度精准。截止目前,每天配置用户约1500万,日查询总量达到50亿次。


同年,百度宣布推出公共递归解析服务器,声称拥有遍布全国的递归出口节点,具有快速稳定、纯净无劫持等特点。


2015年,腾讯旗下DNSPod正式推出了公共递归域名解析服务Public DNS+,在国内外部署了后端递归节点,总线路数达到了84条,并与全国最大的16家运营商进行对等互联。截至目前,每天配置用户约400万,日查询总量达到50亿次。


国内递归域名解析面临的问题


由于递归解析服务分散性、开放性等固有特征和多年来无统一监管的原因,我国递归解析服务面临许多问题:


1、服务极度开放,能力参差不齐,缺乏相关监管。


我国递归解析服务管理制度和办法缺失,只有部分推荐执行行业标准,市场运行主体能力参差不齐。


首先,我国缺乏相关准入制度的约束,任何个人或单位都可以通过开源软件建立递归解析系统向外提供服务,此外各递归域名解析系统建设规模与管理能力参差不齐,有的递归域名解析系统在抗攻击等方面能力不足,服务的稳定性和可靠性很难保障。


其次,我国缺乏服务规范的约束,且技术规范执行性差,不正当流量争夺和域名劫持等情况严重,严重影响用户的互联网访问体验和互联网生态的健康运行。如部分接入服务商为减少跨网结算,在网内搭建了内容缓存服务器,通过把域名强行指向内容缓存服务器的IP地址,实现流量本地消化,在内容缓存服务器缓存内容不完整情况下会导致用户访问失败;部分递归解析服务将域名劫持并替换指向其合作的第三方广告或者其它利益相关的页面,严重侵害用户和应用服务商权益。


2、先天的分散开放和后天的不规范,使得遭受安全攻击频繁,影响严重。


首先,递归解析服务是互联网访问入口,且具有分散性、开放性的特点,长期以来都是网络攻击的重要目标。其次,由于市场运行不规范,各DNS设备厂商、运营商的防护策略参差不齐,使得安全攻击成本降低,拒绝服务(DDoS)攻击、域名劫持、缓存投毒等安全事件频发。再次,由于递归解析服务自身的查询请求工作机制,其桥梁作用常被恶意利用,成为攻击互联网的手段之一,可能会造成大面积网络瘫痪或侵害用户、服务商权益。


3、与权威解析之间协同性较差,无法高效、准确和安全地完成解析。


据腾讯探测,腾讯旗下域名每天的递归解析异常或不准确数量超过几十万条。一方面,部分接入服务商为了节省资源,减少网间结算费用,在网内自设内容缓存服务器,或者把域名解析请求转发到其它运营商的递归服务器,导致解析异常。另一方面,部分第三方公共递归解析服务商,全国启用同一个IP地址,但是由于不支持“edns-client-subnet”,导致网站权威服务器无法判断用户实际所在地理位置及运营商,无法提供准确的流量调度。


递归解析服务器与权威解析服务器面对安全攻击时协同性较差,不能协同安全运行。一方面,面对大量异常流量查询时,一些递归解析服务器为保证正常服务减少递归查询次数,往往粗暴地封杀权威解析服务的IP,导致用户无法正常访问相关网站。另一方面,当某网站权威解析遭受大规模查询攻击时,一些递归解析服务因无法对突发的大量解析查询请求做出相应处理,难以承受巨大的查询压力而瘫痪,进而导致网络故障。


递归解析服务作为互联网的重要基础设施,作用日益重要。2015年,工业和信息化部发布的《电信业务分类目录(2015年版)》增加了递归解析服务,将其纳入了《中华人民共和国电信条例》的管理范围,针对递归解析建立相应的管理办法、服务规范、组织体系和支撑系统以保障其规范运作并保障用户的权益已迫在眉睫。主管部门应制定相关管理办法和服务规范,构建健康生态,实现域名解析服务行业的协同发展、资源共享、安全高效运行。

文章原载于  中国信息界杂志


免责声明:本文为网络摘录或转载,版权归原作者所有,内容为原作者个人观点,并不代表本公众号赞同其观点和对其真实性负责。如涉及作品版权问题,请与我们联系,我们将在第一时间删除内容!



《中国智慧城市导刊》(smt360)是由国家发改委主管《中国信息界》杂志社于2013年,在国家有关部门领导支持下,针对“智慧城市”领域打造的一份精品公众微信刊物。《导刊》力图整合国内外信息化、互联网等各领域最精华的科技资讯和政策信息,为各行业参与“智慧城市”“互联网+”“大数据”“移动互联网”“云计算”“物联网”“人工智能”等领域建设的中高层领导提供最为及时迅速且高质量的决策参考信息!


 

↓↓↓关于我们请点击“阅读原文”查看!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存