中國電信DNS架構(gòu)演進(jìn)和安全防護(hù)實(shí)踐

飛象網(wǎng)訊 “第二屆中國域名發(fā)展大會(huì)”于2017年1月10日在北京新世界酒店二層宴會(huì)廳舉辦。飛象網(wǎng)作為直播媒體將對(duì)會(huì)議做全程報(bào)道。直播內(nèi)容：

中國電信集團(tuán)網(wǎng)絡(luò)安全產(chǎn)品運(yùn)營中心CEO兼首席架構(gòu)師  劉紫千

劉紫千：大家好，我是來自中國電信集團(tuán)公司，目前我所處的部門是網(wǎng)絡(luò)安全產(chǎn)品運(yùn)營中心，我們之前可能做了一些將中國電信主干網(wǎng)的能力與開放體系類創(chuàng)業(yè)也好怎么樣，我們把主干網(wǎng)的網(wǎng)云滴（音），云滴（音）最大的基礎(chǔ)運(yùn)營商將能力開放把技術(shù)能力和網(wǎng)絡(luò)資源能力價(jià)值化我們認(rèn)為是一個(gè)非常積極和有益的探索，所以今天我可能要借這寶貴的15分鐘跟大家介紹一下我們?cè)谡麄�(gè)的服務(wù)的價(jià)值化探索當(dāng)中，有一些東西是我們繞不開的，也就是說不管的我國服務(wù)形態(tài)，我們的產(chǎn)品能力是怎么樣的，可能我們的底層架構(gòu)我們的價(jià)值體系到底朝什么樣方向去走，支撐這么大體量的客戶，這是我們一直在探索的，也是跟各位報(bào)備一下，我的片子是以英文來組織，因?yàn)橹�前工信部有一個(gè)涉外的交流，所以當(dāng)時(shí)也是根據(jù)那要求做了一些全是英文的展示，我今天的主要介紹還是會(huì)用中文，根據(jù)大會(huì)的要求，我也會(huì)在片子里面做了一些調(diào)整希望會(huì)對(duì)大家有啟發(fā)。

基本上我會(huì)介紹中國電信DNS架構(gòu)的演進(jìn)以及在安全防護(hù)DNS做的一些有益的探索。首先來看一下中國電信現(xiàn)在整個(gè)的網(wǎng)絡(luò)規(guī)模，大家知道DNS作為重要的指路人說，不管從網(wǎng)絡(luò)規(guī)模和用量來說都是最大的基礎(chǔ)網(wǎng)絡(luò)已經(jīng)是世界上的第一。我們從網(wǎng)絡(luò)規(guī)模上來看，我們的移動(dòng)用戶數(shù)這是截止到10月底的數(shù)字，這是公開的，我們大概有2.14億移動(dòng)用戶，其中4G的用戶有1.13億，我們的固網(wǎng)的寬帶用戶數(shù)是1.29億，其中我們的光纖，中國政府在推一個(gè)寬帶中國的戰(zhàn)略，運(yùn)營商包括電信、聯(lián)通在內(nèi)都積極的推進(jìn)小區(qū)寬帶光進(jìn)同退，其實(shí)就是說大家可以用光纖提供50兆、100兆的接口速率，我相信今年年底這數(shù)字就到1億的光纖的接入用戶。從上面是用戶的規(guī)模，下面是網(wǎng)絡(luò)能力。網(wǎng)絡(luò)能力我這里列了幾個(gè)帶寬，就是首先我們?cè)?a href="http://m.jhjtsy.com/list/11090.htm" target="_blank">國內(nèi)，中國電信網(wǎng)絡(luò)，整個(gè)網(wǎng)絡(luò)大概有85T的帶寬的儲(chǔ)備，我們國際的出口，可能很多人定義不太一樣，但是其實(shí)中國不管是哪一家運(yùn)營商，基本上我們的國際出口會(huì)控制在大概國際出口，北京、上海和廣州某個(gè)地方。這帶寬其實(shí)也就接近一個(gè)T左右，我們?cè)谡嬲�的最外延的，就是我們真正海外的點(diǎn)跟海外運(yùn)營商北美、亞太的其他一些運(yùn)營商包括非洲，我們互聯(lián)的帶寬大概是6.2個(gè)T，當(dāng)然國內(nèi)還有其他的運(yùn)營商比如說移動(dòng)、聯(lián)通、鐵通等等，這互聯(lián)帶寬大概是2.7個(gè)T的帶寬，這是目前網(wǎng)絡(luò)的規(guī)模。

我們DNS的規(guī)模到底是什么樣，我看了今天的主題，大家介紹的時(shí)候會(huì)講我的權(quán)威，我的權(quán)威體系或者我的授權(quán)體系大概是什么樣，其實(shí)做運(yùn)營商來講，我們運(yùn)營的可能是目前國內(nèi)最大的一套，當(dāng)然這稱呼大概是五花八門，其實(shí)我更愿意是遞規(guī)節(jié)點(diǎn)。但是不管怎么樣，不管你是移動(dòng)用戶你是固定用戶，你的通過中國電信的網(wǎng)絡(luò)不管它是4GWIFI還是家里的寬帶你接入以后，我們的接入設(shè)備會(huì)給你分配兩個(gè)一主一備兩個(gè)DNSIP服務(wù)地址，這兩個(gè)IP服務(wù)地址就是所謂的面向用戶的第一個(gè)服務(wù)的IP。我們?cè)瓉淼哪Ｊ绞?1個(gè)省每一個(gè)省的服務(wù)IP都不一樣，我們的建設(shè)模式是按照省集中，這里我說的Province—Based，基本上有兩個(gè)或者兩個(gè)以上對(duì)應(yīng)的兩個(gè)或者多個(gè)服務(wù)節(jié)點(diǎn)，整體上來看全國大概有70套以上的服務(wù)集群，然后會(huì)有多達(dá)150個(gè)服務(wù)IP，不管你是有意識(shí)還是無意識(shí)，當(dāng)你從北京到上海，或者從北京去天津、河北，細(xì)心的朋友會(huì)關(guān)注到，其實(shí)運(yùn)營商給你分配的DNS服務(wù)IP是不一樣的。這里我永樂一個(gè)Evolving，其實(shí)這架構(gòu)是會(huì)變的，一會(huì)再說怎么變。

上面是節(jié)點(diǎn)的規(guī)模，下面的流量峰值速率每秒最高到了13個(gè)，1300萬QPS，是我們目前的峰值速率，大家可能做權(quán)威運(yùn)營的或者說你做頂級(jí)運(yùn)營的朋友們，大家去想一想自己的服務(wù)器集群，不管你是（英文）技術(shù)怎么樣你去看看QPS峰值我相信遠(yuǎn)遠(yuǎn)小于這個(gè)量級(jí)�？梢跃褪钦f我們從運(yùn)營商角度，我們的緩存和遞規(guī)節(jié)點(diǎn)最直接的去感受用戶請(qǐng)求、DNS請(qǐng)求量的第一道墻。

下面是我們1300萬QPS，其實(shí)你轉(zhuǎn)換成流量來講其實(shí)并不是很大，當(dāng)然Request比Response要大。我們來看一下我們?cè)趺醋黾軜?gòu)演進(jìn)？這里面簡單回顧一下，可能有點(diǎn)班門弄斧，但是整體上來講，其實(shí)很多朋友對(duì)DNS到底怎么樣解析過程，到底是怎么樣其實(shí)并不是很清楚，而且有一些概念，可能有一些混淆，所以我這里簡單的介紹一下到底DNS整個(gè)的過程是怎么樣。首先藍(lán)色的小人代表用戶，用戶發(fā)起DNS請(qǐng)求，會(huì)到電信我們剛才講的緩存和遞規(guī)服務(wù)節(jié)點(diǎn)，或者到第三方的服務(wù)節(jié)點(diǎn)，比如說谷歌四個(gè)8等等這一些請(qǐng)求過來我會(huì)在緩存里面去查，你問的域名記錄有沒有，如果沒有的話我們向外發(fā)起一個(gè)遞規(guī)查詢，會(huì)到最左邊的整個(gè)授權(quán)體系，從ROOT到TLD到具體的企業(yè)NS來去所有的遞規(guī)查詢?nèi)ゲ樽詈蟮臋?quán)威服務(wù)器在哪里。

上面是我們?cè)瓉淼淖龇ǖ�是下面這里講的電信內(nèi)部怎么做架構(gòu)調(diào)整，我們?cè)谙旅孢@一張圖我們實(shí)際上做的和遞規(guī)功能是不同，不管是功能還是軟件硬件的服務(wù)器上都是都套�，F(xiàn)在把緩存和遞規(guī)進(jìn)行了物理的隔離或者叫分割，緩存是有專門的服務(wù)器來做，后面帶著一大堆的遞規(guī)服務(wù)器從第1臺(tái)到第N臺(tái)。

我們?yōu)槭裁匆�做這一件事情，其實(shí)在2009年的時(shí)候，在北京DNS（英文）我在哪上面有一個(gè)發(fā)言，其實(shí)在那之前我們剛剛我們?cè)?月19號(hào)國內(nèi)DNS體系遭受了很大的沖擊，實(shí)際上就是因?yàn)楸╋L(fēng)影音，表面上519暴風(fēng)影音的根本事件，其實(shí)根本的原因是那臺(tái)NS服務(wù)器托管在了（英文）那機(jī)房其他的基礎(chǔ)設(shè)施一個(gè)網(wǎng)游的服務(wù)器被攻擊導(dǎo)致整個(gè)機(jī)房帶寬擁塞，變成了暴風(fēng)影音NS無法正確的回答所有運(yùn)營商發(fā)過來的遞規(guī)請(qǐng)求，運(yùn)營商會(huì)累計(jì)越來越多的遞規(guī)請(qǐng)求，所以最后導(dǎo)致（英文）那個(gè)參數(shù)一般默認(rèn)一千或者是五千，那個(gè)馬上占滿，整個(gè)服務(wù)器性能下降會(huì)宕機(jī)。其實(shí)整個(gè)服務(wù)器的帶寬還OK，我的CPU進(jìn)程還OK。因?yàn)楝F(xiàn)在關(guān)于使用DNS攻擊在緩存里沒有應(yīng)答，我去攻擊你的模式，現(xiàn)在在互聯(lián)網(wǎng)每天都在發(fā)生當(dāng)我把這種物理進(jìn)行了分割以后，我可以很有效的保護(hù)我需要保護(hù)那部分物理服務(wù)器的資源。

這里我也強(qiáng)調(diào)了一下，就是我們認(rèn)為緩存和遞規(guī)在整個(gè)DNS面向用戶的第一側(cè)，其實(shí)他們的緩存上高性能、它的高并發(fā)，在遞規(guī)上可能你首先要滿足的是我要CDN友好，現(xiàn)在越來越多的互聯(lián)網(wǎng)公司會(huì)根據(jù)你的遞規(guī)IP來做服務(wù)的就近選擇，所以遞規(guī)次元一定要足夠的物理分散，在網(wǎng)絡(luò)上邏輯上或者實(shí)際的地理上都要足夠的分散。當(dāng)然還有一點(diǎn)就是DNS架構(gòu)內(nèi)部是不應(yīng)該要有所謂的四層負(fù)載均衡的設(shè)備，當(dāng)時(shí)519我們很多負(fù)載均衡的設(shè)備，也都成為了性能的瓶頸。

就是你去中國電信不同的省，其實(shí)國內(nèi)運(yùn)營商都差不多，你去國內(nèi)的省會(huì)看到不同的IP，現(xiàn)在我們正在做的一件事情就是你去不同的省特別在北方，你有可能用到或者是看到4個(gè)118.135或者是4個(gè)118，這是我們?nèi)�網(wǎng)做的服務(wù)的地址，也就是說希望在2017年底中國電信所有的用戶，不管是通過移動(dòng)接入還是固定互聯(lián)網(wǎng)接入，我們都希望你的服務(wù)IP就這一個(gè)，實(shí)際上我們后臺(tái)遞規(guī)我們還是要滿足所謂的CDN友好等等的那些遞規(guī)的約束條件都會(huì)滿足，但是在前面我們給用戶服務(wù)側(cè)推的其實(shí)是同樣的IP一些大的集群。接下來講一下有可能面臨，或者正在面臨什么樣的安全風(fēng)險(xiǎn)和威脅。首先看一下還是剛才那張圖，當(dāng)用戶發(fā)起DNS請(qǐng)求的說話，或者它的一個(gè)請(qǐng)求整個(gè)數(shù)據(jù)流會(huì)經(jīng)過我的哪一些系統(tǒng)。這里黃顏色心形標(biāo)出來，有可能遭受到或者說事實(shí)上已經(jīng)遭受過攻擊或者安全風(fēng)險(xiǎn)威脅的一些關(guān)鍵的節(jié)點(diǎn)。

比如說第一個(gè)整個(gè)的授權(quán)體系不管你跟TLD還是運(yùn)營商的DNS設(shè)備，雖然他們的角色不一樣，但是他們都會(huì)成為實(shí)際攻擊對(duì)象。我前面一位演講嘉賓是講到了2013，因?yàn)楝F(xiàn)在互聯(lián)網(wǎng)都能查得到8月25.CN被攻擊了，當(dāng)時(shí)使用.CN所有的域名和網(wǎng)站都打不開，不是因?yàn)槟愕钠渌�服�?wù)器被攻擊而是你的.CNNS被攻擊了所有的域名查詢解析沒有IP，沒有IP后面的流量就沒有了。還包括2016年10月21號(hào)DYN被攻擊導(dǎo)致北美很多的（英文）還有一些CIN等等域名解析失效，包括講的暴風(fēng)也一樣。

第二個(gè)在圖的左下角，我們講的是有可能你的根區(qū)文件，或者你的權(quán)威記錄的文件會(huì)被篡改，這個(gè)被篡改呢，可能各位做NS運(yùn)營的人服務(wù)提供商也好，或者你是系統(tǒng)管理員也好，可能你會(huì)有很多很多的案例切膚之痛，我自己直接經(jīng)歷過就有國內(nèi)很多家大的互聯(lián)網(wǎng)企業(yè)，比如說最近又發(fā)生了谷歌NS也被篡改了，一個(gè)是你被篡改，另外一個(gè)就是你做運(yùn)維或者業(yè)務(wù)開放，你可能因?yàn)榕渲谜`操作多敲了一個(gè)1，或者把.11IP看成.11等等的造成NS配置完了正好我有全部的同步到我運(yùn)營商以及互聯(lián)網(wǎng)其他的公共的（英文）上面，除非你的TTL超時(shí)，否則你這錯(cuò)誤的解析或者背景篡改的解析會(huì)長久的停留在我們的緩存服務(wù)器，用戶的后續(xù)查詢都是不對(duì)的。

當(dāng)然還有一個(gè)就是我們說的緩存投毒也好緩存污染也好，這一件事情事實(shí)上也曾經(jīng)發(fā)生過，但是目前來講要做這一件事情的成本確實(shí)很難，從我們的角度來看，可能除非是一些極特殊的場景下，那運(yùn)營商的緩存被大范圍的攻擊幾乎沒有，當(dāng)然這一件事情曾經(jīng)發(fā)生過。2014年中國計(jì)算機(jī)網(wǎng)絡(luò)年會(huì)我記得在汕頭當(dāng)時(shí)也有一個(gè)案例，除了那個(gè)之外，其他的事件在緩存投毒相對(duì)來講是比較少的。還有一些就是我想借這機(jī)會(huì)跟大家講一講，很多朋友來說，運(yùn)營商有接觸我的DNS，說我的DNS被篡改等等，其實(shí)大家想一想從你的手持終端，從你的手機(jī)服務(wù)器那邊，到所謂的權(quán)威DNS服務(wù)，你要查一個(gè)DNS請(qǐng)求，可能你經(jīng)歷了多少跳的網(wǎng)絡(luò)，在你最近的最后一公里的位置，其實(shí)那地方真的是魚龍混雜，不管是小區(qū)寬帶運(yùn)營商，或者你接入以為是你家的WIFI不是你家的WIFI等等的現(xiàn)象，在那個(gè)上面你的IP都會(huì)被篡改。

之前有一個(gè)論壇我也講過一個(gè)案例，另外偽造的請(qǐng)求，CIFF攻擊模式，它可能你通過點(diǎn)擊某個(gè)互聯(lián)網(wǎng)網(wǎng)站，它可以去從你的筆記本去直接登陸你家寬帶路由器上，用默認(rèn)的用戶名口令去修改你自己的家用寬帶路由器DHCP的位置。所以等等這一些最后的現(xiàn)象我的DNS被劫持等等，但是我想比較負(fù)責(zé)任的告訴大家，在我們管理的中國電信官方的31個(gè)省的DNS上面，我們不可能也完全沒必要所謂以企業(yè)，或者其他的運(yùn)營IP，如果真正發(fā)生這一件事，如果我們非常歡迎來聯(lián)系中國電信，我們第一時(shí)間來處理，事實(shí)上基于這業(yè)務(wù)處理，我們也做一了款服務(wù)產(chǎn)品，域名無憂，就是前置IP或者通過微信的操作界面你可以直接去刷新，你所負(fù)責(zé)的企業(yè)某個(gè)域名，當(dāng)然這域名今天會(huì)有一些備案的審核。那刷新的過程其實(shí)就是我們會(huì)強(qiáng)制的RND（英文）緩存清空一次，只要你（英文）記錄上是對(duì)的緩解的就是對(duì)，這功能其實(shí)現(xiàn)在也得到了很多很多的云服務(wù)提供商和大的互聯(lián)網(wǎng)公司反應(yīng)，但是一方面也作為網(wǎng)絡(luò)環(huán)境，另一方面是維護(hù)工具，萬一真正的手潮錯(cuò)配的配置我可以通過這功能快速的調(diào)整和引導(dǎo)。

總結(jié)一下就是這一些小星星一旦出了運(yùn)用，本來用戶想得到4個(gè)1的IP，他要不得到4個(gè)L的IP。最后一張片子就是講一下基于這一些安全的風(fēng)險(xiǎn)，我們會(huì)有哪一些方面開展一些具體的舉措，比如說大家提到我們?cè)谥袊�電信給用戶側(cè)的，有中國電信，如果大家用電信寬帶怎么樣光錨什么，我們有用戶名的口打上一個(gè)標(biāo)簽，貼在你的寬帶路由器的背面，那個(gè)標(biāo)簽其實(shí)每一臺(tái)設(shè)備是隨機(jī)，基本上物理接近上你就能看得見，什么一二三四五六默認(rèn)密碼給你，去防止所謂的偽造、請(qǐng)求。另外其實(shí)也是在部里的統(tǒng)一領(lǐng)導(dǎo)下，我們也是從519之后我們也是多方呼吁，我們希望說國內(nèi)的互聯(lián)網(wǎng)軟件廠商，多多的去看一下自己的軟件應(yīng)用有沒有過度的占用DNS請(qǐng)求資源，特別是遞規(guī)請(qǐng)求。

第二點(diǎn)就是我們會(huì)在DNS節(jié)點(diǎn)上層的網(wǎng)絡(luò)，我們會(huì)做一些有必要的措施，包括去做限速、包括結(jié)合骨干網(wǎng)的進(jìn)緣的防護(hù)等等，提供足夠的帶寬。在我們自身的DNS節(jié)點(diǎn)，我們緩存和遞規(guī)整個(gè)的架構(gòu)重構(gòu)，同時(shí)又一些榮譽(yù)性的模糊，在整個(gè)DNSOS系統(tǒng)上面我們提供各種各樣的應(yīng)急措施。這里我舉了幾個(gè)例子，比如說剛才講的（英文）還有我們緩存的特殊的拍照，在緊急的情況下把之前認(rèn)為正確的解析重新到我們的緩存里。還有一些就是我們?cè)诹髁可厦妫�我們�?huì)去時(shí)時(shí)分析，可能一次的遞規(guī)分析，對(duì)這一些應(yīng)該是2014年12月10日索尼的（英文）攻擊打游戲的所謂域名，關(guān)于這遞規(guī)的域名量是非常非常高，所以在這系統(tǒng)上就可以識(shí)別出來。

最后關(guān)于權(quán)威關(guān)于授權(quán)的服務(wù)器上，我們也是建議在有條件下大家可以去嘗試（英文），你去管理到你的管理員的帳號(hào)別被涉公，涉公冒用你的帳號(hào)改你的記錄，包括標(biāo)行就是跟DNS總工，原來一直在溝通，包括對(duì).CN我們也希望就是說建議在政府的主導(dǎo)上我們?nèi)ソ�立國�?nèi)重要的基礎(chǔ)運(yùn)營商在給國內(nèi)重要的TLD查詢通道我們希望有一些隔離的通道，不要走普通公眾的，對(duì)中國電信來講70%的流量都會(huì)流進(jìn)中國電信網(wǎng)絡(luò)，不管產(chǎn)生于哪都會(huì)流進(jìn)中國電信網(wǎng)絡(luò)，我們?cè)谙Ｍ�保護(hù)絕大多數(shù)網(wǎng)民的針對(duì)特定的TLD，比如說.CN，或者還有其他的國內(nèi).信息，其他的通用局域的查詢?cè)诋惓５那闆r下我們?nèi)��?yōu)先的服務(wù)優(yōu)先占用網(wǎng)絡(luò)通道，去提供服務(wù)可持續(xù)性。

基本上我的報(bào)告就這到里，也歡迎大家多交流謝謝。