DNS技術研究與應用結題匯報報告

中國移動集團級重點研發(fā)工程結題匯報報告2021年11月21日工程名稱：DNS技術研究與應用一.

課題目標實現(xiàn)情況目錄二、主要研究成果〔整合后〕1.1研究背景：“4+1〞戰(zhàn)略推動全業(yè)務開展，全業(yè)務開展凸顯DNS系統(tǒng)各類問題已引入網站394家中可提供全網效勞的只占42.4%電信級DNS需求亟需通過DNS技術研究、優(yōu)化和應用，提升傳統(tǒng)DNS走向電信級DNS并實現(xiàn)DNS增值傳統(tǒng)DNS缺失電信級能力主流DNS是BIND軟件，原為互聯(lián)網設計全網DNS未進行標準化，未進行電信級要求和提升原因應對方式網內資源解析問題2021.5.19，暴風影音事件造成電信大范圍斷網，百度域名被篡改導致無法訪問2021.8.18，新疆電信DDoS斷網事件特殊域名保障：新華網、政府網CPU、解析成功數性能統(tǒng)計需求迫切QPS等業(yè)務量統(tǒng)計需求騰訊、新浪等重點域名分析解析失敗后域名糾錯系統(tǒng)各類系統(tǒng)有待梳理，建統(tǒng)一管理平臺DNS平安問題電信級能力弱深化運營問題海量DNS請求QPS達5萬，需要優(yōu)化系統(tǒng)架構應對大規(guī)模災難性事故、故障等引起的域名解析問題，提升容災備份能力數據挖掘系統(tǒng)增值系統(tǒng)1.2主要研究內容立足現(xiàn)網+研究驗證+推廣應用浙江公司江蘇公司山東公司北京公司云南公司需求分析省公司調研各省回訪協(xié)調平安所封閉討論方案制定標準制定方案、網絡、數據部討論集團評審入網測試聯(lián)合工程前期調研和研究與集團各部門及平安所充分討論工程過程中進行了充分的調研和討論工程過程中進行了充分的測試和驗證完成別離架構及DNS重定位驗證測試已啟動廠家入網測試涉及廠商6家，用例達200余項1.2聯(lián)合工程研究內容和整體性江蘇：統(tǒng)一域名效勞系統(tǒng)技術研究與實踐北京：基于域名的增值業(yè)務運營體系研究及DNS標準制定山東：智能糾錯與應急解析備份浙江：基于用戶行為分析的DNS數據挖掘研究院“DNS技術研究與應用〞1〕支撐全網CMNetDNS改造及新功能引入2〕制定CMNetDNS相關標準〔架構、組網、功能等〕3〕梳理全網DNS關系，形成整體解決方案傳統(tǒng)DNSDNS優(yōu)化DNS增值云南：IPv6網絡中的DNS研究CMNetDNS全網DNS1.3目標完成情況總結-成果輸出研究報告8冊：?DNS整體解決方案研究報告?、?DNS重定位現(xiàn)網改造方案研究?、?DNS工程中期評審報告?、?基于DNS日志挖掘的用戶行為分析報告?、?統(tǒng)一域名效勞系統(tǒng)技術研究報告?、?統(tǒng)一域名效勞系統(tǒng)日志采集方案?、?容災容錯系統(tǒng)研究報告?、?基于DNS解析的增值業(yè)務體系研究報告?企業(yè)標準2冊：?中國移動互聯(lián)網DNS設備技術標準?-已評審，?中國移動DNS設備測試標準?-征求意見總計：完成研究報告8冊，標準2冊，專利5項，專利風險分析報告1冊DNS技術研究與應用項目成果在現(xiàn)網的應用與部署情況（浙江/江蘇/山東/北京/云南/研究院/網絡部/計劃部）方案部/網絡部/研究院：關于IDC路由優(yōu)化及DNS監(jiān)控問題現(xiàn)網升級方案建議，指導全網100多臺DNS效勞器升級改造研究院/網絡部/方案部：?DNS重定位現(xiàn)網改造方案研究?網絡部/研究院：DNS系統(tǒng)數據挖掘需求分析浙江公司：基于DNS日志挖掘的用戶行為分析系統(tǒng)，系統(tǒng)已上線，測試研究報告1冊山東公司：容災容錯系統(tǒng)、智能糾錯系統(tǒng)，兩系統(tǒng)均已上線，測試報告2冊江蘇公司：統(tǒng)一域名效勞系統(tǒng)需求分析及軟件開發(fā)，已完成驗證測試，工程實施中北京公司：XX現(xiàn)網試點，測試報告XX冊，系統(tǒng)已上線云南公司：支持IPv6的域名解析系統(tǒng)試點，測試報告1冊，系統(tǒng)部署中成果總計：輸出研究報告8本，標準2冊，完成5個核心產品開發(fā)，完成產品試點5個，解決方案現(xiàn)網推廣2項，正在進行入網測試〔涉及6廠家，200余測試項〕，專利5個完成了既定的工程目標，在解決方案現(xiàn)網推廣/專利/企標方面超額完成目標。1.3目標完成情況總結--技術創(chuàng)新點DNS系統(tǒng)加固DNS業(yè)務支撐能力增強業(yè)內首次制定DNS系統(tǒng)測試方法在業(yè)界首先提出DNS效勞器功能及性能測試方法，方法有望寫入行業(yè)標準DNS重定位方案首次提出DNS重定位排序方案，明確了技術要求與設備支持情況，節(jié)省了網絡升級本錢明確了DNS站點組網要求明確了DNS效勞器三層組網方案，制定了組網要求，解決了原有四層交換機組網的性能瓶頸聯(lián)合北京公司，提出了遞歸DNS效勞器的別離架構，并首次完成實驗室驗證測試，在一定程度上提高了DNS系統(tǒng)性能和可擴展性業(yè)內首家制定DNS標準業(yè)內首家制定DNS設備標準，明確了DNS相關功能、性能等要求DNS網管監(jiān)測DNS系統(tǒng)各省獨立部署與運維，集團無法對全網DNS進行集中監(jiān)測。協(xié)助網絡部首次明確DNS集中網管監(jiān)測要求首次開發(fā)多套DNS統(tǒng)一網管系統(tǒng)，實現(xiàn)對多套DNS系統(tǒng)的集中、統(tǒng)一管理首次明確DNS平安要求首次明確DDoS平安域劃分，緩存投毒、DDoS等攻擊防護要求，首次明確DNS平安配置要求DNS數據挖掘系統(tǒng)開發(fā)首次開發(fā)部署DNS數據挖掘系統(tǒng)，實現(xiàn)了對熱點業(yè)務的挖掘DNS增值系統(tǒng)開發(fā)首次進行DNS廣告增值系統(tǒng)開發(fā)，制定了相關解決方案DNS容災備份系統(tǒng)開發(fā)首次開發(fā)DNS容災備份系統(tǒng)，實現(xiàn)對權威效勞器數據的備份IPv6DNS系統(tǒng)部署與試點首次進行IPv6網絡DNS系統(tǒng)試點，實現(xiàn)了IPv6域名解析與訪問2021年底全國總經理會、2021年全國網絡會局部省公司反響網內資源解析至網外的問題，本工程采用DNS重定位方案緩解該問題，方案已在全國落實暴風影音事件、百度域名攻擊事件、新疆DNSDDOS攻擊事件對用戶造成了極大的影響，本工程對CMNet全網DNS系統(tǒng)提出了全面的DNS平安加固方案，并在標準中進行了明確和落實DNS平安加固“4+1〞戰(zhàn)略推動全業(yè)務開展，全業(yè)務開展帶來業(yè)務量猛增，DNS組網架構面臨挑戰(zhàn)，本工程優(yōu)化了DNS組網架構為應對大規(guī)模災難性和故障事件等引起的域名解析問題，本工程在現(xiàn)網實現(xiàn)了DNS容災備份方案DNS電信級提升為實現(xiàn)新華網等特殊域名保障、解析成功數性能統(tǒng)計、、QPS等業(yè)務量統(tǒng)計需求、新浪等重點域名分析，本工程大力提升了DNS網管和統(tǒng)計支撐能力，在標準中進行了明確和落實為解決用戶域名解析失敗后糾錯系統(tǒng)，本工程在現(xiàn)網實現(xiàn)了解析失敗后域名糾錯系統(tǒng)各類系統(tǒng)有待梳理，本工程在現(xiàn)網實現(xiàn)了統(tǒng)一管理平臺DNS深化運營1〕解決了7項公司在市場開展和生產運營中存在的關鍵問題1.3目標完成情況總結網內資源訪問和DNS重定位2〕研究和提出了1項關鍵技術點的決策建議。1.3目標完成情況總結決策點：IDC路由優(yōu)化問題決策內容：完成IDC路由優(yōu)化功能技術方案研究，明確全網升級改造方案及要求決策時間：2021年04月3〕申請了國內專利申請5項，其中，挖掘專利族5個〔含專利20項〕，實現(xiàn)應用的專利1件，專利風險評估報告1份。專利名稱公司名稱專利狀態(tài)1DNS查詢的方法及設備研究院已通過集團評審2一種通過DNS引導互聯(lián)網業(yè)務流量流向的統(tǒng)一解決方案研究院已通過集團評審3一種域名解析優(yōu)化方法及系統(tǒng)實現(xiàn)研究院已通過集團評審4一種基于撥測的DNS智能解析的方法浙江已通過集團評審5一種基于DNS日志挖掘的用戶行為分析方法浙江已通過集團評審1.3目標完成情況總結4〕輸出企業(yè)標準1個。企業(yè)標準：?中國移動互聯(lián)網DNS設備技術標準?評審時間：2021年10月31日標準內容：規(guī)定了中國移動CMNet網絡DNS系統(tǒng)的設備技術要求，具體包括：系統(tǒng)結構、效勞器功能要求、網管要求、數據分析及智能挖掘要求、可靠性及擴展性要求、平安要求、性能要求、接口要求、軟硬件要求等內容5〕完成新技術試驗6項完成遞歸效勞器合設與別離架構性能比照測試〔研究院〕完成DNS重定位排序與篩選方案性能比照測試〔研究院〕完成DNS挖掘系統(tǒng)功能驗證測試〔浙江〕完成容災容錯及智能糾錯系統(tǒng)功能驗證測試〔山東〕完成統(tǒng)一域名效勞系統(tǒng)驗證測試〔江蘇〕完成支持IPv6的域名解析系統(tǒng)試點〔云南〕正在進行DNS廠家入網測試明確了設備對DNS重定位方案的支持情況，并進行了驗證性測試目前該方案已在現(xiàn)網100多臺DNS設備上進行了升級，節(jié)約設備升級本錢100萬降低建網本錢協(xié)助網絡部首次明確了DNS集中網管監(jiān)測要求首次開發(fā)面向多套DNS的統(tǒng)一網管系統(tǒng)，實現(xiàn)對多套DNS系統(tǒng)的集中、統(tǒng)一管理預計節(jié)約運維本錢30萬減少設備升級本錢降低運維本錢6〕初步估計對企業(yè)績效的奉獻情況為……1.3目標完成情況總結明確DNS三層站點組網要求，解決了原有四層交換機組網的性能瓶頸一臺四層交換機本錢約5萬以上，而一臺三層交換機本錢約1萬左右，能為每個DNS站點節(jié)約組網本錢為4萬左右全網DNS共計64個站點，因此預計節(jié)約256萬工程對企業(yè)績效奉獻的量化路徑圖1.4工程企業(yè)績效奉獻和特征指標項目特征指標（PAV）指標名稱項目應用前指標現(xiàn)狀值：PAVc項目應用1年后指標預期值：PAVe1此項目帶來的指標變動量：ΔPAV全網DNS重定位功能用戶數0戶600萬600萬企業(yè)特征指標—網絡及生產類（EAV-PS）指標名稱項目應用前指標現(xiàn)狀值（EAVc）項目應用1年后指標預期值（EAVe）此項目應用帶來的指標變動量（ΔEAV）升級DNS重定位功能設備數0臺100臺100臺企業(yè)特征指標—市場及財務類（EAV-MF）指標名稱項目應用前指標現(xiàn)狀值（EAVc）項目應用1年后指標預期值（EAVe）此項目應用帶來的指標變動量（ΔEAV）DNS重定位功能用戶收入0元/月1.4工程企業(yè)績效奉獻和特征指標工程特征指標的年度預期數值表項目特征指標（PAV）的名稱：項目應用前指標現(xiàn)狀值：PAVc0項目應用1年后指標預期值：PAVe1600萬項目應用2年后指標預期值：PAVe21200萬一.課題目標實現(xiàn)情況目錄二、主要研究成果〔整合后〕主要研究成果2.1CMNetDNS優(yōu)化方案研究2.2與其他系統(tǒng)DNS關系梳理2.1.3基于域名的增值業(yè)務運營體系研究2.1.2基于用戶行為分析的DNS數據挖掘2.1.1DNS總體優(yōu)化方案研究2.1.4DNS容災備份系統(tǒng)研究2.1.5IPv6網絡中的DNS研究2.2.2統(tǒng)一域名效勞系統(tǒng)技術研究與實踐2.2.1與其他系統(tǒng)DNS關系梳理CMNetDNS存在問題及應對措施局部省公司的權威及遞歸效勞器合設，存在平安隱患站點內組網缺乏統(tǒng)一標準，目前組網五花八門DNS效勞器攻擊防范能力差局部省份，僅設一臺DNS效勞器，難以進行容災備份目前缺乏對全網DNS運行指標的網管監(jiān)測能力目前缺乏數據分析手段，無法獲取用戶熱點業(yè)務其他關鍵問題制定并優(yōu)化全網DNS系統(tǒng)架構、邏輯架構全網統(tǒng)一組網結構要求開展DNS平安研究分階段逐步落實平安要求制定DNS網管監(jiān)測指標上報要求制定業(yè)務統(tǒng)計指標制定DNS關鍵問題的技術要求應對措施DNS系統(tǒng)架構與組網優(yōu)化現(xiàn)網問題：缺乏統(tǒng)一管理要求和標準平安和可靠性問題DNS系統(tǒng)的業(yè)務支撐能力有待提升現(xiàn)網DNS缺乏重定位能力已引入域名存在出網現(xiàn)象制定DNS重定位要求全網部署DNS重定位功能DNS重定位和IDC資源訪問我公司DNS由集團及各省共32個DNS節(jié)點組成，其中權威效勞器由集團和省網兩級架構組成遞歸效勞器為扁平化架構，集團節(jié)點主要用作各省節(jié)點的應急備份節(jié)點各DNS節(jié)點遵循“雙節(jié)點雙路由〞原那么，通過異地備份的方式實現(xiàn)互備CMNetDNS全國邏輯組網權威服務器遞歸服務器.com.cnroot……Internet權威服務器集團節(jié)點省B……權威服務器遞歸服務器遞歸服務器權威服務器遞歸服務器省ADNS平安業(yè)務支撐架構與組網CMNetDNS全國物理組網DNS平安業(yè)務支撐架構與組網CMNetDNS系統(tǒng)架構DNS平安業(yè)務支撐架構與組網關鍵問題分析：一是站點問題二是緩存和迭代別離問題關鍵問題一：DNS系統(tǒng)的站點組網優(yōu)化DNS系統(tǒng)現(xiàn)網主要采用四層組網方案，隨著DNS系統(tǒng)業(yè)務量逐漸增大，四層組網的性能瓶頸將會凸顯建議全網DNS系統(tǒng)在業(yè)務量大的情況下采用三層組網方案三層組網技術要求：CMNetDNS分為權威效勞器、遞歸效勞器，業(yè)務量大時遞歸效勞器可考慮進一步分為緩存和迭代效勞器站點內部采用L3等價路由方式實現(xiàn)負載均衡站點內部通過VLAN隔離效勞器，站點內應成對部署防火墻四層組網方案三層組網方案DNS平安業(yè)務支撐架構與組網關鍵問題二：遞歸效勞器是否別離是DNS架構分析中最主要的問題權威和遞歸別離：出于平安考慮，目前集團已要求全網DNS系統(tǒng)的權威效勞器與遞歸效勞器進行別離迭代和緩存別離：對于是否需要進一步把遞歸效勞器別離成迭代和緩存，需要進行詳細的分析DNS平安業(yè)務支撐架構與組網DNS服務器權威遞歸權威迭代緩存√？迭代和緩存是否分離取決于四個因素安全性可擴展性性能成本〔1〕可擴展性從可擴展性方面看，由于迭代效勞器上需要升級的功能較少，且升級改造需要的工作量不大，因此兩級架構對于可擴展性有一定好處根本功能平安功能新增功能迭代效勞器功能DNS攔截〔用于應急〕TTL修改DDos防攻擊緩存投毒防護緩存查詢功能迭代查詢功能緩存效勞器功能緩存查詢功能DDos防攻擊緩存投毒防護迭代查詢功能僅需修改配置需修改代碼，代碼量較少僅需修改配置僅需修改配置改造難度CutlistSortlist篩選需修改代碼排序僅需修改配置優(yōu)先級外網探測解析結果監(jiān)控需修改代碼需修改代碼DNS平安業(yè)務支撐架構與組網從上述分析來看，別離架構在平安方面能起到一定的防護作用建議省公司根據實際的長遠需求和業(yè)務開展、實施本錢，可選支持和部署當出現(xiàn)DDoS攻擊時，由于遞歸功能的集中，有可能出現(xiàn)迭代效勞器先癱瘓，緩存效勞器尚可工作但分析說明緩存效勞器在短時間內也會癱瘓：緩存效勞器正常工作的時間與TTL值的長短，以及攻擊強度密切相關當攻擊強度大時，緩存效勞器瞬時也將癱瘓別離架構下，攻擊者也可以通過自己構造一個權威效勞器來直接獲得后端迭代效勞器的地址，因此也無法完全隱藏后端的迭代效勞器對于緩存投毒等其他類型的攻擊，別離架構與合設架構沒有差異在部署了DNSSEC后，加重了對遞歸效勞器的DDoS攻擊〔1.攻擊難度降低：原來正常的查詢請求量即可形成攻擊；2.受攻擊概率上升〕的可能性，緩存和遞歸別離的架構有助于緩解DDoS攻擊的影響2〕平安性分析--DDoS攻擊遞歸服務器權威合設架構緩存迭代權威分離架構DNS平安業(yè)務支撐架構與組網VS.〔3〕性能分析：比照分析別離架構與合設架構的性能差異，關鍵是考慮DNS效勞器數量相同，且CPU同負載的情況下，別離架構能比合設架構多處理多少QPSDNS平安業(yè)務支撐架構與組網根據測試結果，未增加任何智能策略時，別離架構緩存效勞器命中率與迭代效勞器命中率差異越小，別離架構與合設架構的性能差異越小根據測試結果，效勞器上增加智能策略〔如TTL修改和DNS重定位功能〕時，對性能影響非常小，可以忽略現(xiàn)網調研發(fā)現(xiàn)，目前無法獲取緩存效勞器命中率與迭代效勞器命中率Forward查詢迭代查詢用戶請求儀表（模擬用戶）遞歸服務器緩存服務器迭代服務器儀表（模擬權威服務器）測試拓撲別離結構下，迭代效勞器緩存命中率80%，緩存效勞器緩存命中率75%合設架構下，遞歸效勞器緩存命中率75%測試場景一QPS測試結果推導結果3臺4臺5臺6臺7臺分離架構1臺緩存1臺迭代110002：12：23：24：25：22200022000330004400055000合設架構1臺遞歸690020700276003450041400483002臺遞歸13800別離結構下，迭代效勞器緩存命中率80%，緩存效勞器緩存命中率80%合設架構下，遞歸效勞器緩存命中率80%測試場景二QPS測試結果推導結果3臺4臺5臺6臺7臺分離架構1臺緩存1臺迭代110002：12：23：24：25：22200022000330004400055000合設架構1臺遞歸700021000280003500042000490002臺遞歸14000〔4〕本錢分析根據對現(xiàn)網主要的6個DNS廠家的調研，DNS新增軟件功能模塊定價模式有以下三種：按軟件模塊賣：只收一個軟件開發(fā)費，沒有任何license限制。代表廠家是亞信、中網和潤通緩存按qps賣、迭代按軟件模塊賣：迭代效勞器新增功能模塊一般只收軟件開發(fā)費，而緩存效勞器上的新增模塊會首license的qps限制。代表廠家是泰策和牙木按效勞器臺數賣：代表廠家是中太根據調研，新增DNS功能時，廠家多數是按照軟件模塊或者QPS請求量進行收費的，與效勞器的數量并不直接相關，因此別離架構中集中建設迭代效勞器并部署相關策略，并不能節(jié)省軟件開發(fā)的費用DNS平安業(yè)務支撐架構與組網調研涉及的廠商考慮可擴展性、平安、性能、本錢多方面因素，別離架構在業(yè)務量大情況下能夠提高設備性能，但對于可擴展性、平安效果、節(jié)省本錢并不明顯；業(yè)務量小的情況下效果均不明顯，因此不建議全網強制要求別離架構可擴展性：需要升級的功能較少，且升級改造工作量不大，因此兩級架構對于可擴展性有一定好處平安：緩存迭代隔離方案在平安方面能起到一定的防護作用，但效果不明顯性能：在DNS效勞器數量大于6臺時，別離架構的性能將明顯優(yōu)于合設架構本錢：廠家多數是按照軟件模塊或者QPS請求量進行收費，與效勞器的數量并不直接相關，因此別離架構中集中建設迭代效勞器并部署相關策略，并不能節(jié)省軟件開發(fā)的費用建議后續(xù)進一步落實緩存命中率的現(xiàn)網參考數據，同時標準明確要求遞歸效勞器數量大于6臺時，建議采用別離架構緩存與迭代是否別離的結論迭代緩存是否別離集中建設與現(xiàn)有維護機制不匹配，暫不建議集中建設迭代效勞器是否集中建設迭代效勞器多層次、有重點嚴格劃分不同的平安域：縱向劃分為核心效勞域、內部支撐系統(tǒng)域、管理域、集團或省公司互聯(lián)區(qū)及互聯(lián)網〔CMNet〕接入域、DMZ域；橫向劃分為權威域、遞歸域。緩存投毒防護：支持查詢源端口支持16位隨機性根據國家的要求逐步部署DNSSEC可選支持0X20DDoS攻擊防護：遞歸效勞器要具備一定的策略，過濾或終止異常請求進程采用自動入侵防護系統(tǒng)〔檢測與清洗聯(lián)動〕系統(tǒng)邊界處部署平安設備，并加強對系統(tǒng)的訪問控制和平安審計。明確效勞器軟件配置平安要求：隱藏BIND的版本號防止透露效勞器信息建立訪問控制列表〔ACL〕……DNS系統(tǒng)無平安域劃分，訪問邊界混亂。DNS系統(tǒng)平安性差，易受到各種攻擊。緩存投毒暴風影響事件——DDoS攻擊其他類型的平安威脅DNS效勞器軟件配置不當，導致平安威脅。DNS平安防護DNS平安問題DNS系統(tǒng)平安性提升DNS平安業(yè)務支撐架構與組網1〕平安域劃分明確平安域劃分的原那么，對DNS系統(tǒng)進行區(qū)域劃分，進行層次化、有重點的保護，形成清晰、簡潔、穩(wěn)定的DNS組網架構實現(xiàn)DNS系統(tǒng)之間嚴格訪問控制的平安互連，更好的解決DNS系統(tǒng)的平安問題。集團公司和省公司兩個層面的平安域管理域、接入域、DMZ域、核心效勞域、支撐域嚴格劃分縱向劃分外網解析平安域、內網解析平安域權威DNS域、遞歸DNS域橫向劃分DNS平安業(yè)務支撐架構與組網2〕平安攻擊防護--DDoS攻擊防護1攻擊者發(fā)起大量不存在或偽造域名的遞歸請求

迭代查詢2新疆事件業(yè)務支撐架構與組網暴風影音事件4本地DNS效勞器緩存+迭代迭代查詢詢問.com根〔.〕詢問baofeng迭代查詢迭代查詢授權響應

暴風托管的解析效勞器受攻擊，IP被封1緩存過期，用戶客戶端遞歸查詢暴風失敗2大量計算機暴風影音客戶端不斷發(fā)起查詢請求3遞歸查詢

大量的暴風影音用戶持續(xù)發(fā)送域名解析請求，導致遞歸解析效勞器的資源耗盡，形成拒絕效勞攻擊；用戶無法獲得DNS解析效勞，導致網絡應用癱瘓攻擊者通過假冒源IP地址發(fā)起大量的不存在〔AAAA類型的域名請求〕或偽造〔隨機生成的以gamese456結尾的三級域名〕的域名解析請求；DNS效勞器資源耗盡，用戶無法獲得DNS解析效勞，導致網絡應用癱瘓

DNS平安業(yè)務支撐架構與組網

針對DDoS攻擊，目前還沒有成熟的方案來防范?？梢酝ㄟ^提高設備性能、事前流量監(jiān)控、事后攻擊行為分析來防范。在部署DNSSEC之后，由于遞歸時間變長、性能消耗大，針對遞歸效勞器的DDoS攻擊會更加嚴重。baofeng

針對DDoS攻擊，目前還沒有成熟的方案來防范?？梢酝ㄟ^提高設備性能、事前流量監(jiān)控、事后攻擊行為分析來防范在部署DNSSEC之后，由于遞歸時間變長、性能消耗大，針對遞歸效勞器的DDoS攻擊會更加嚴重2〕平安攻擊防護--DDoS攻擊防護大量的暴風影音用戶持續(xù)發(fā)送域名解析請求，導致遞歸解析效勞器的資源耗盡，形成拒絕效勞攻擊；用戶無法獲得DNS解析效勞，導致網絡應用癱瘓。大量計算機暴風影音客戶端不斷發(fā)起查詢請求本地DNS服務器緩存+迭代根提示（.）.com遞歸查詢1迭代查詢迭代查詢迭代查詢詢問.com詢問授權響應321

暴風托管的解析服務器受攻擊，IP被封緩存過期，用戶客戶端遞歸查詢暴風失敗

4暴風影音事件

1攻擊者發(fā)起大量不存在或偽造域名的遞歸請求

迭代查詢2新疆事件攻擊者通過假冒源IP地址發(fā)起大量的不存在〔AAAA類型的域名請求〕或偽造〔隨機生成的以gamese456結尾的三級域名〕的域名解析請求；DNS效勞器資源耗盡，用戶無法獲得DNS解析效勞，導致網絡應用癱瘓。DNS平安業(yè)務支撐架構與組網2〕平安攻擊防護--緩存投毒防護2021年7月9日以來，微軟、ISC等互聯(lián)網域名解析效勞軟件廠商紛紛發(fā)布了平安公告，稱其DNS軟件存在高危漏洞，攻擊者可以通過猜測DNS解析過程中的報文序列號來偽造DNS權威效勞器的應答，從而到達“污染〞高速緩存中記錄的目的。本地DNS服務器根提示（.）.com遞歸查詢1迭代查詢迭代查詢迭代查詢詢問.com詢問授權響應21緩存+迭代黑客主機群黑客主機群INA192.168.x.xINA錯誤的IP地址通過端口和ID碰撞；通過中間截獲；緩存投毒攻擊防護查詢源端口支持16隨機性在發(fā)現(xiàn)異常訪問后清理緩存支持DNSSEC功能支持0x20屬性(可選)定期遞歸效勞器反向查詢〔可選〕維護知名網站IP地址列表，進行IP地址驗證〔可選〕被動監(jiān)聽檢測應答報文數量〔可選〕DNS平安業(yè)務支撐架構與組網DNSSEC防范緩存投毒在DNSSEC中，所有的應答報文都經過數字簽名?？蛻舳?解析程序)通過驗證消息中的數字簽名判斷收到的信息來源是否安全可靠，從而防止緩存投毒。DNSSEC的主要功能：來源驗證：通過數字簽名，驗證數據是否來自正確的授權服務器。完整性驗證：通過Hash校驗數據在傳輸的過程中是否被更改。否定存在驗證：對否定應答報文提供驗證信息，確認授權服務器上不存在所查詢的資源記錄。緩存投毒防護—部署DNSSECDNSSEC部署建議DNSSEC機制對DNS系統(tǒng)性能有較高要求。建議部署DNSSEC時明確要求服務器的性能指標要求，并對硬件設備和帶寬進行相應的升級和擴容

。DNSSEC無法防護拒絕服務攻擊，在一定程度上加重了拒絕服務攻擊。開啟和部署DNSSEC后，相應的安全防護手段仍需不斷加強。DNS平安業(yè)務支撐架構與組網DNS與IDC訪問控制DNS平安業(yè)務支撐架構與組網網間結算費用高用戶體驗差上述訪問問題造成的后果在TOP1000已引入的394家網站，約有42%的子域名需要出網訪問在所有已引入的流量中，出網訪問的流量占比約為14%…IDC網站訪問存在的問題該問題的解決方案方案一：升級我公司DNS具備域名重定位能力(主動式)☆方案二：通過域名攔截方式將已引入網內的域名攔截至網內(主動式)☆方案三：要求網站具備DNS智能解析能力〔被動式〕DNS重定位方案對運營商側DNS進行功能改造，對CP授權DNS的解析結果進行IP地址比對、把本網的解析地址排序在前，結果上能實現(xiàn)網內用戶優(yōu)先訪問所有網內網站方案簡介1、發(fā)起解析請求遞歸DNS3、進行地址比對，把移動IP排在前面2、返回解析結果，但順序隨機（聯(lián)通）（移動）（電信）CP授權DNS網內用戶排序方案遞歸DNS3、進行地址比對，只保留移動IP2、返回解析結果，但順序隨機（聯(lián)通）（移動）（電信）CP授權DNS網內用戶篩選方案DNS重定位方案比較排序方案（sortlist）篩選方案（cutlist）是否需要進行軟件開發(fā)Bind軟件已支持，只需進行相關配置即可，無需重新開發(fā)。且已經過互聯(lián)網用戶的廣泛測試，穩(wěn)定性較好。升級簡單，網絡改造小須對Bind進行軟件開發(fā)，穩(wěn)定性有待觀察開發(fā)量不大重定位后是否可輪詢排序后不同網段IP地址暫不支持輪詢。支持輪詢。對DNSSec的影響無DNSSec終結點到用戶側時，則與DNSSec不兼容；DNSSec終結點到本地DNS服務器時，需DNS設備進行相應適配。對DNS性能的影響每次用戶查詢時，均需進行排序，理論分析對DNS設備性能要求高；但現(xiàn)網調研浙江、山東、江蘇、云南DNS，升級sortlist前后性能基本沒有變化。外網迭代查詢后即進行篩選，對DNS設備性能影響較小。廠家支持情況均支持部分廠家反饋無計劃支持成本Bind已支持，廠家調研基本無需任何費用需要進行軟件開發(fā)，存在一定開發(fā)費用。方案比照分析DNS平安業(yè)務支撐架構與組網DNS重定位兩種方案測試比照實驗室排序方式與篩選方式性能比照測試現(xiàn)網調研升級排序方式前后性能比照根據實驗室比照測試結果，在相同硬件情況下，sortlist與cutlist的性能差異不大根據現(xiàn)網對各省升級sortlist前后性能比照情況看，sortlist對效勞器的性能影響幾乎可忽略綜上，由于sortlist功能升級簡單，網絡改造小，本錢低，建議優(yōu)選排序方式迭代查詢用戶請求儀表〔模擬用戶〕儀表〔模擬權威效勞器〕測試拓撲遞歸效勞器CPU利用率不超過30%模擬權威效勞器QPS采用Bind軟件測試sortlist采用Recursor軟件測試sortlist采用Recursor軟件測試cutlist遞歸服務器500050004900注：Recursor是廠家自行開發(fā)的DNS軟件，同時支持sortlist和cutlist測試結果DNS平安業(yè)務支撐架構與組網均值7.1-7.77.8-7.148.15-8.218.22-8.28cpu_usage21202121mem_usage14141414山東公司DNS設備性能調研總量〔億條〕峰值(QPS)均值8.9-8.158.16-8.228.22-8.288.22-8.28cpu_usage4.95.56.56.7mem_usage7.627.8333337.333337.52333云南公司DNS設備性能調研均值6.7-6.147.11-7.188.15-8.229.5-9.12cpu_usage0.9710.821.321.46mem_usage10.8213.901.3219.06浙江公司DNS設備性能調研

4010016.7616升級前升級后

30721.6690

4100012DNS攔截方案DNS攔截方案：指對于網內已引入網站，直接在我公司DNS上進行域名攔截，由我公司DNS進行域名解析、直接返回解析結果給用戶，用戶不再到權威DNS進行域名解析建議DNS攔截方案作為全網的應急方案〔必選〕由于風險較大，DNS攔截方案不建議用于常態(tài)下大規(guī)模的域名解析方案在通過相應手段能完全防止?jié)撛诘姆娠L險和用戶投訴風險的前提下，允許對少量域名進行域名攔截DNS攔截方案的意義：對于那些已經引入移動的IDC但是不支持智能DNS解析的CP域名進行攔截〔部署DNS攔截方案最大能解決約14%出網訪問業(yè)務量的解析問題，有一定的部署意義，但是空間并不大〕DNS攔截方案存在的問題：問題一：一旦CP更新了IP地址，而我公司DNS未及時更新，將存在很大的用戶投訴風險問題二：需要部署探測效勞器或者增加探測模塊，否那么將存在投訴風險問題三：需要和CP簽署相關的協(xié)議，否那么會存在法律風險問題四：當有域名更新需要進行攔截時，我公司需頻繁修改DNS攔截效勞器上的配置，每次配置生效需重啟該設備，影響網絡穩(wěn)定性；我公司DNS要進行改造，具備配置我公司網站和IP地址對應關系能力及相關配置管理接口1、發(fā)起解析請求移動DNS2、進行地址比對，直接用移動IP構造DNS響應包(移動)移動節(jié)點域名IP地址3、直接解析至移動網內CMNet網內CP授權DNS網內用戶電信聯(lián)通節(jié)點DNS平安業(yè)務支撐架構與組網DNS網管和日志網管：DNS系統(tǒng)通過數據網管系統(tǒng)進行管理，能夠支持對設備運行指標及業(yè)務相關指標的實時監(jiān)控日志：建議設置獨立的日志效勞器，在解析請求到達DNS效勞器之前通過分光方式對DNS流量進行旁路DNS平安業(yè)務支撐架構與組網建議通過分光獲取DNS日志，以降低DNS服務器性能壓力DNS業(yè)務量統(tǒng)計、DNS重點域名解析統(tǒng)計、域名解析請求排行統(tǒng)計、域名解析異常流量排行統(tǒng)計DNS與NTP同步在集團北京節(jié)點和集團廣州節(jié)點分別設置NTP主備效勞器，啟動NTP效勞各省DNS節(jié)點劃分為南區(qū)和北區(qū)，分別同北京/廣州主備節(jié)點進行同步時間同步必要性對DNS數據進行數據挖掘、業(yè)務分析時，需要關聯(lián)全網DNS系統(tǒng)進行分析，因此DNS系統(tǒng)應有一致的時鐘。DNS系統(tǒng)內部各效勞器需要有一致的時鐘，以便于統(tǒng)一管理。北京廣州DNS平安業(yè)務支撐架構與組網TTL修改RFC2181指出：TTL是RR記錄的最大生存周期，但并非強制。其取值可為0~2147483647〔合24855天〕Bind軟件對TTL配置沒有要求，根據調研，局部根效勞器TTL設置達3000000〔合34.7天〕TTL改大：能夠大大減輕DNS性能壓力，對現(xiàn)網意義較大。但當網站割接，易造成用戶無法訪問的風險TTL改小：易造成DNS頻繁的出網學習，給DNS效勞器造成性能壓力。且用戶無法直接從緩存獲取DNS響應，造成體驗降低根據現(xiàn)網調研，目前DNS效勞器性能壓力不大，不建議出于降低DNS效勞器性能壓力，全網要求支持TTL修改由于局部省公司反響有些CP解析不穩(wěn)定〔互聯(lián)互通出口擁塞造成丟包〕，因此現(xiàn)網曾進行TTL修改。建議標準明確要求設備能夠支持對TTL進行修改。但由于各省公司情況不一，因此標準里要求設備應支持TTL修改功能，但不指定具體值。DNS平安業(yè)務支撐架構與組網TC位修改512字節(jié)TC位=0，表示DNS響應報文總長度未超過512字節(jié)，報文未被截斷TC位=1，表示DNS響應報文總長度超過512字節(jié)，報文已被截斷。此時用戶需要重新發(fā)起TCP查詢，重新獲取DNS響應報文TC位根本原理TC位=1的躲避方式升級改造DNS軟件，將TC位置1的強制置0RFC2671定義了EDNS0實現(xiàn)方式：效勞器可將包長大于512字節(jié)的DNS報文發(fā)送用戶由于易造成DNS受到TCP攻擊，現(xiàn)網多數已在四層交換機上將TCP查詢請求關閉根據北京現(xiàn)網調研，目前TCP查詢占比約0.0935%，用戶影響面不大隨著DNSSec部署，未來出現(xiàn)大于512字節(jié)的DNS響應報文可能性增多；由于EDNS0方式需要客戶端配合，難以控制；因此建議逐步翻開TCP查詢的限制，且不進行對DNS效勞器TC位修改的升級遞歸DNS網內用戶需要修改遞歸效勞器需要客戶端配合DNS平安業(yè)務支撐架構與組網主要研究成果2.1CMNetDNS優(yōu)化方案研究2.2與其他系統(tǒng)DNS關系梳理2.1.3基于域名的增值業(yè)務運營體系研究2.1.2基于用戶行為分析的DNS數據挖掘2.1.1DNS總體解決方案研究2.1.4DNS容災備份系統(tǒng)研究2.1.5IPv6網絡中的DNS研究2.2.2統(tǒng)一域名效勞系統(tǒng)技術研究與實踐2.2.1與其他系統(tǒng)DNS關系梳理DNS日志挖掘-研究目標DNS系統(tǒng)記錄了全省所有用戶的域名解析請求，包含用戶普遍行為，通過對域名解析請求的聚合分析，可實現(xiàn)網內用戶關注熱點提取、協(xié)助業(yè)務排障，支撐寬帶業(yè)務開展用戶行為分析是配合業(yè)務開展重要分析手段采取何種技術進行用戶行為分析，需要結合現(xiàn)網部署綜合考慮互聯(lián)網業(yè)務發(fā)展需求IDC資源引入需求：需要分析網內用戶聚合行為，提取關注熱點已引入資源效能評估：對已引入資源是否提供正確服務，提供資源服務評估DPI系統(tǒng)能力有限DPI系統(tǒng)分析能力有限：無法按業(yè)務需求提供分析報表，設備鏡像口帶寬有限，開發(fā)周期長DPI系統(tǒng)能力有限：海量數據分析需要大量硬件平臺支撐，目前系統(tǒng)無法提供研究目標解決方案實施成效DNS日志挖掘的用戶行為方法DNS日志挖掘組網圖解析日志入庫單獨設置解析日志留存服務器。通過交換機端口鏡像，采集DNS系統(tǒng)上下行流量，通過DPI設備提取DNS解析與應答，形成日志日志采集服務器從解析日志留存服務器提取日志，按照設計的數據庫表，進行入庫操作數據表設計基礎信息表：記錄運營商IP地址信息；地市級別IP地址列表；用戶類型IP地址信息業(yè)務表：解析日志表，每日一張，分4個存儲隨機存放行為聚合分析全網用戶TOPN域名按有線寬帶、WLAN、企業(yè)用戶提取TOPN域名按區(qū)域提取局部用戶集中關注域名按解析結果范圍提取TOPN域名，如解析到電信/聯(lián)通、到地市電信/聯(lián)通的TOPN域名網站資源分析IDC引入站點評估：建立資源引入深度、考慮用戶點擊量的資源引入深度、服務全省率等三個指標網站與域名關聯(lián)分析，提取基于某站點的用戶最關注的域名，實施優(yōu)先引入協(xié)助投訴處理協(xié)助GPRS用戶無下行DNS數據故障處理，提取解析日志，明確原因處理用戶網站打不開投訴，統(tǒng)計某時段某域名的解析情況，明確產生投訴原因研究目標解決方案實施成效實施成效11非著名域名挖掘基于域名解析請求量的分析，可以挖掘非著名域名。Gtmg,5rmrp等非著名域名，卻在TOP100榜上有名。2基于一級域名的域名關聯(lián)分析對TOPN的網站域名進行細分，按解析量提取子域名，輸出用戶關注更多的子域名清單，按業(yè)務局部需求，提供過qq\qvod\uusee等子域名清單3用戶關注首頁與用戶關注站點有所不同用戶關注的TOP15首頁和用戶關于的TOP15站點有較大差異，這和用戶安裝的軟件有極大的關系，引入360\毒霸\搜狗\PPSTREAM站點同樣意義非凡研究目標解決方案實施成效實施成效24浙江IDC已引入站點評估引入深度對浙江已引入的TOP200及TOP1000站點進行分析，完全引入的僅占7%5考察本地智能DNS功能升級的必要性對浙江省網DNS域名解析的TOP30000域名進行解析結果分析，其中同時包含移動地址和非移動地址的域名量僅占總量的0.64%?？芍v本地智能DNS排序功能升級的效果不會太好。雖然浙江分析到了該數據，但本地DNS仍然按集團的要求進行了排序。監(jiān)測用戶域名解析請求量，及時發(fā)現(xiàn)異常行為6浙江省網DNS域名解析請求量從3月份的每日2億條，現(xiàn)已上漲為每日12億條。但單用戶的域名解析請求量應該在一個合理范圍。而用戶異常的請求也是導致請求量大量上漲的原因。從監(jiān)控中曾發(fā)現(xiàn)緩存系統(tǒng)、專線用戶的異常請求請求。研究目標解決方案實施成效主要研究成果2.1CMNetDNS優(yōu)化方案研究2.2與其他系統(tǒng)DNS關系梳理2.1.4DNS容災備份系統(tǒng)研究2.1.2基于用戶行為分析的DNS數據挖掘2.1.1DNS總體解決方案研究2.1.3基于域名的增值業(yè)務運營體系研究2.1.5IPv6網絡中的DNS研究2.2.2統(tǒng)一域名效勞系統(tǒng)技術研究與實踐2.2.1與其他系統(tǒng)DNS關系梳理基于域名的增值業(yè)務運營體系研究--研究目標研究目標解決方案實施成效目標1：現(xiàn)網DNS解析結果中有10%的錯誤域名解析，有效利用這局部訪問流量來開展增值業(yè)務目標2：進一步提高DNS系統(tǒng)的智能功能有效利用鐵通及直連的IDC資源；提高解析時延；進一步優(yōu)化0X20功能；解決方案1--利用Nxdomain開展增值業(yè)務研究目標解決方案實施成效BMCCCMNET北京智能DNS系統(tǒng)internet根域DNSsever授權DNSsever1234512用戶請求“〞域名的IP地址；通過迭代查詢查找域名對應的IP地址，查找失敗，反響報文中通過Nxdomain字段標示該域名不存在；3智能DNS將Nxdomain域名封裝廣告網站的IP地址；4將重新封裝后的結果反響給用戶；5用戶訪問廣告網站；Nxdomain時彈出頁面業(yè)務流程解決方案2—提升DNS系統(tǒng)智能性控制緩存效勞器緩存DNS記錄的時間，在緩存DNS到期之前進行預緩存，獲得最新的數據，如以下圖所示在，TTL=590秒時進行迭代查詢；當SDNS檢測到偽裝響應包時〔比方TXID不對，或回復域名的大小寫與遞歸請求中域名的大小寫不能完全對應〕，那么產生告警，拋棄回復包，同時對該域名發(fā)出第二次TCP請求，防止緩存中毒；基于IP地址的多級匹配功能開發(fā)及實現(xiàn)IP地址匹配的擴展應用緩存結果的提前迭代功能“0x20+〞功能的實現(xiàn)研究目標解決方案實施成效實施效果1研究目標解決方案實施成效1、DNS增值業(yè)務系統(tǒng)已在北京公司立項實施2、智能DNS系統(tǒng)新增功能的實現(xiàn)緩存結果的提前迭代功能〔已完成開發(fā)〕“0x20+〞功能的實現(xiàn)〔已完成開發(fā))域名增值網站功能：網址預測，根據用戶輸入的域名，如果有類似的常見域名，那么從其中推薦最常見的一個域名，置于首行顯示；后臺統(tǒng)計，可統(tǒng)計整個導航頁面的UV、PV，并可針對具體導航鏈接進行統(tǒng)計；終端適配，根據終端是還是電腦，返回相應的WAP/WEB頁面，并做好相應的頁面適配；運營能力，頁面中的樣式、板塊、各元素均可動態(tài)調整。支持廣告等商務操作；實施效果2定義A和B兩個IP地址段，解析結果先于A匹配，命中就直接封裝報文；未命中，再與B匹配，命中后直接封裝；A={/24;;/24;}B={90;/24;/24;}多級匹配策略應用后命中90策略實施前解析結果基于IP地址的多級匹配功能〔已完成開發(fā)〕研究目標解決方案實施成效主要研究成果2.1CMNetDNS優(yōu)化方案研究2.2與其他系統(tǒng)DNS關系梳理2.1.3DNS容災備份系統(tǒng)研究2.1.2基于用戶行為分析的DNS數據挖掘2.1.1DNS總體解決方案研究2.1.4基于域名的增值業(yè)務運營體系研究2.1.5IPv6網絡中的DNS研究2.2.2統(tǒng)一域名效勞系統(tǒng)技術研究與實踐2.2.1與其他系統(tǒng)DNS關系梳理研究目標研究目標解決方案實施成效研究目標：提升DNS系統(tǒng)容災容錯能力解決方案研究目標解決方案實施成效容災容錯系統(tǒng)運行機制容災容錯數據采集：用戶發(fā)起DNS域名查詢請求，Cache效勞器收到請求后遞歸查詢該域名，收到域名查詢返回數據后將結果。同時，緩存效勞器部署數據采集agent模塊，采集數據去重、比對更新后寫入容錯數據庫。容災容錯數據讀取：緩存效勞器部署解析數據異常探測器，當監(jiān)測到某域名遞歸解析出現(xiàn)異常時，觸發(fā)容災容錯功能，緩存效勞器轉向容災容錯Portal效勞器進行查詢，容災容錯Portal效勞器作為加速器沉著災容錯數據數據庫提取數據并返回結果給緩存效勞器。實施效果研究目標解決方案實施成效顯示系統(tǒng)當前容錯的狀態(tài)，包括問題域名列表，更多信息界面，可以看到哪個域名在具體dns效勞器上的狀態(tài)。主要研究成果2.1CMNetDNS優(yōu)化方案研究2.2與其他系統(tǒng)DNS關系梳理2.1.3DNS容災備份系統(tǒng)研究2.1.2基于用戶行為分析的DNS數據挖掘2.1.1DNS總體解決方案研究2.1.4基于域名的增值業(yè)務運營體系研究2.1.5IPv6網絡中的DNS研究2.2.2統(tǒng)一域名效勞系統(tǒng)技術研究與實踐2.2.1與其他系統(tǒng)DNS關系梳理研究目標研究目標解決方案實施成效云南教育專網覆蓋全省16個州市、129個縣區(qū)教育主管部門，各級學校和教育機構的教育專用數據網絡。

需求：云南移動、云南鐵通聯(lián)合云南省教育廳展開深度合作，建設一張效勞于云南教育信息化的專用網絡，簡稱云南教育專網。云南大學負責開展云南教育專網上的IPv6應用研究。背景：集團客戶是近年來電信市場的新藍海，也是中國移動重要的市場戰(zhàn)略方向之一。從中國移動云南公司集團客戶業(yè)務開展情況來看，政府、教育、金融行業(yè)是其客戶規(guī)模和收入快速提升的三大重點領域。綜合辦公統(tǒng)一認證門戶網站IPv6研究教育郵箱研究和開發(fā)基于IPv6的互聯(lián)網應用欄目管理、內容管理、在線互動、業(yè)務服務超大存儲、統(tǒng)一消息、到達通知、手機郵箱統(tǒng)一賬號、統(tǒng)一授權、單點登錄公文流轉、信息管理、個人辦公、移動辦公、短信提醒中職信息化資源共享、遠程教育、學校信息化云服務平臺教育專網研究目標：基于CMNET網絡給集團客戶提供IPv6域名解析效勞。解決方案研究目標解決方案實施成效實施效果12021年，云南移動在昆明樞紐機房5層及高新機房3層新建了兩套DNS系統(tǒng)，高新節(jié)點配置了2臺緩存效勞器、1臺授權效勞器；樞紐節(jié)點配置了2臺緩存效勞器、1臺授權效勞器以及兩臺管理效勞器；此兩套系統(tǒng)及周邊網絡設備目前均支持IPv6域名的解析，可以提供相關解析效勞。研究目標解決方案實施成效教育專網路由器〔IPv6已配置〕路由器〔IPv6已配置〕1×GE1×GE云南教育專網純IPv6試驗網用1臺路由器及1×GE鏈路與樞紐機房我方1臺路由器互聯(lián)；兩臺路由器上只配置IPv6相關地址及協(xié)議。云南教育專網純IPv6試驗網向我方DNS系統(tǒng)IPv6地址發(fā)起域名解析請求，我方DNS系統(tǒng)為其返回相應的IPv6效勞器地址。測試域名及地址規(guī)劃如下，測試前已在兩套DNS系統(tǒng)上進行了配置：2001:da8:225:103:793a:532d:3261:81e3實施效果2測試編號：1.2測試項目：IPv6域名解析測試結果：教育專網測試PC發(fā)出的解析請求我方DNS系統(tǒng)能夠收到并成功為其返回相對應的IPv6地址，一共測試了300次，解析成功率100%，達到預期目的。測試編號：1.1測試項目：IPv6地址可達性測試結果：

ping2000次/2000size/包，全部可達，平均延遲2ms，最大10ms，最小1ms，測試通過，達到預期目的。云南移動DNS系統(tǒng)研究目標解決方案實施成效主要研究成果2.1CMNetDNS優(yōu)化方案研究2.1.3DNS容災備份系統(tǒng)研究2.1.2基于用戶行為分析的DNS數據挖掘2.1.1DNS總體解決方案研究2.1.4基于域名的增值業(yè)務運營體系研究2.1.5IPv6網絡中的DNS研究2.2與其他系統(tǒng)DNS關系梳理2.2.2統(tǒng)一域名效勞系統(tǒng)技術研究與實踐2.2.1與其他系統(tǒng)DNS關系梳理無線接入有線接入RouterSR固定接入集團客戶2GBSCSGSNPCU3GGGSNAPN解析DNSSwitchBRASS-GWP-GWE-NBMME/DNSLTERNCGGSNIMS接入WLAN接入IMSDNSCDN調度器CDN效勞節(jié)點IMSCDNSBCCMNetDNSCMNetDNS隨著全業(yè)務的開展，省內呈現(xiàn)設多套DNS系統(tǒng)的需求，主要包括：互聯(lián)網訪問類：CMNetDNS、設備類：APN解析DNS〔包括〕、IMSDNS現(xiàn)網幾大DNS系統(tǒng)DNS與CDN調度器的關系其他運營商網絡網站ADNS網站BDNSCDN調度器與DNS關系DNSCDN調度器未簽約CDN網站(B)DNS解析流程簽約CDN網站(A)DNS解析流程假設網站A已簽約我公司CDN，B未簽約我公司CDN用戶訪問網站B用戶訪問網站ACDN調度器通過判斷發(fā)出解析請求的DNS設備地址，判斷用戶位置，并向DNS返回離該用戶最近的CDN效勞節(jié)點CDN能實現(xiàn)已簽約網站的DNS重定位；對于未簽約網站，需要升級現(xiàn)網DNS支持DNS重定位功能網站A〔已簽約CDN〕IDCCDN效勞節(jié)點網站B〔未簽約CDN〕CDN服務旨在優(yōu)化用戶體驗，但需通過與網站簽約實現(xiàn)。簽約后網站DNS要具備重定向至CDN調度器的功能，此功能和網站的智能DNS解析能力類似（一個是解析至調度器；一個是解析至目的網站）返回CDN調度器域名返回CDN效勞節(jié)點地址返回網站效勞節(jié)點地址IMSDNS和GPRSDNSS-CSCF/I-CSCF/BGCFSBCIP專網CMNet權威服務器遞歸服務器IMSDNSIMSDNS主要用于解析SBC設備的IP地址，以幫助IMS用戶發(fā)現(xiàn)SBC入口全網IMSDNS設備IP地址需要統(tǒng)一；同時為保證IMS業(yè)務的高可用性，還需要在CMNetDNS的權威效勞器上配置IMS域名的授權體系，以防IMSDNS不可用時，用戶可通過查詢CMNetDNS獲取SBC地址GPRSDNS主要用于在用戶激活PDP上下文過程中根據用戶請求的APN解析出GGSN的設備IP地址用戶PDP激活成功后，需要通過CMNetDNS解析網站IP地址并上網IMSDNSGPRSDNS主要研究成果2.1CMNetDNS優(yōu)化方案研究2.1.3DNS容災備份系統(tǒng)研究2.1.2基于用戶行為分析的DNS數據挖掘2.1.1DNS總體解決方案研究2.1.4基于域名的增值業(yè)務運營體系研究2.1.5IPv6網絡中的DNS研究2.2與其他系統(tǒng)DNS關系梳理2.2.2統(tǒng)一域名效勞系統(tǒng)技術研究與實踐2.2.1與其他系統(tǒng)DNS關系梳理研究目標研究目標解決方案實施成效業(yè)務節(jié)點容量寬帶業(yè)務南京節(jié)點18萬QPS(250萬寬帶+100萬WLAN）無錫節(jié)點手機業(yè)務南京節(jié)點4萬QPS（6000萬手機用戶）無錫節(jié)點IMS業(yè)務南京節(jié)點1萬QPS（250萬IMS用戶）問題及需求不同業(yè)務不同解析需求：滿足不同業(yè)務對于域名解析的不同需求降低故障風險和影響：不同業(yè)務之間不會相互影響，控制風險簡化配置，提升運維效率：打破目前全人工的維護模式，簡化配置難度，防止數據配置錯誤造成故障便于數據分析和挖掘：能夠分別分析各種業(yè)務的DNS請求，挖掘業(yè)務相關的信息；如何提升運維效率？分布部署，集中管理寬帶DNS配置運行參數ZONE數據Option參數域名列表View參數……IMSDNS配置ZONE1…………配置文件1配置文件1配置文件1江蘇現(xiàn)網DNS節(jié)點現(xiàn)狀現(xiàn)網DNS數據配置示意解決方案研究目標解決方案實施成效可視化管理：管理系統(tǒng)采用B/S架構，通過WEB界面對各DNS節(jié)點進行集中管理；統(tǒng)一的管理接口：采用SSH/SFTP接口方式，兼顧平安性和通用性；自動安裝代理效勞：自動為效勞器下發(fā)和安裝代理效勞，便于維護；多操作系統(tǒng)適配：能夠自動適配多種操作系統(tǒng)，