第27期2018年9月No.27September ,2018
广电宽带业务DNS 防劫持系统建设
朱红杰,黄俊
(江苏有线南京分公司运维播控中心,江苏南京210001)
摘要:广电网络运营商基于自身网络发展宽带业务是大势所趋,通过大力建设内网资源,从而节约出
口成本,提升用户使用体验。文章介绍了南京广电网络通过DNS 防劫持系统建设,统一使用广电自有DNS 系统,杜绝了全网无序DNS 设置,最大限度地将用户流量留在网内。关键词:广电网络;内网资源;DNS ;防劫持中图分类号:TN91文献标识码:A有程序正在修改镜像劫持
江苏科技信息
Jiangsu Science &Technology Information
作者简介:朱红杰(1972—),男,江苏南京人,高级工程师,学士;研究方向:有线电视网络。
引言
在三网融合的大潮中,广电运营商在守住电视业务的同时,利用自身双向化网络的优势,大力发展宽带业务,但是由于广电目前没有独立宽带出口,大量宽带内容受制于传统宽带运营商,因此广电运营商将互联网优质资源引入广电网络内部,进行了大量的宽带业务内网内容建设,提升了用户体验。同时为了保障网内用户访问到内网资源,必须保证使用广电自身的DNS 系统进行目标解析。
但是随着互联网业务日新月异,出于利益驱动,各大客户端软件正在篡改用户终端数据包信息,其中包括篡改DNS 信息,强制将用户上网请求指向特定的DNS 去解析,以达到控制入口流量及商业目的。另外,由于用户使用习惯、终端设备智能化、转网后未修改等原因,用户使用异网DNS 的情况较为普遍[1]。1南京广电宽带业务DNS 防劫持系统建设
以往由于技术手段欠缺,南京广电DNS 系统不具备异网DNS 重定向的处理能力,无法实现对网内用户的DNS 管控,造成用户内容资源访问“舍近求远”、用户体验质量下降明显、流量成本支出大幅上升。
经过前期监测,这些异网DNS 稳定性很差,服务质量不可靠,对用户上网造成一定影响。另外,这种篡改DNS 行为会使用户上网绕开运营商DNS 系统的监管,网络安全隐患巨大,若不加以扼制,运营商对整个网络运营的控制力度会逐渐丧失。基于这样的情况,需要具备统一规划统一部署DNS 的手段,以保证网络的安全、稳定、高效。1.1项目简介
DNS 作为互联网宽带业务重要的基础服务,在网
站运行和维护中起着至关重要的作用。关注DNS 的安
全,关系着互联网的未来,关系着广电宽带业务发展。
本次项目部署异网DNS 重定向功能,旨在解决用户使用异网DNS 带来的一系列问题,实现对用户DNS 请求100%管控,将异网DNS 请求引导至网内解析。通过该系统,能真正掌控DNS 解析的主导权,可以使网内的资源得到最大化地利用,减少出网流量,降低网间结算费用,减少响应时延,解决了异网DNS 问题,提高了本网率,也提升了用户体验。
该系统由DNS Cache 和DNS 保护两个关联的模块及管理模块构成,将原有DNS 系统的服务性能和抵御针对DNS 的DOS 和DDOS 攻击性能大大提升,从而大幅提高现有DNS 系统的可用性和可靠性。1.2系统架构设计
系统采用旁路的模式部署重定向服务器,不影响现网环境[2]。在南京广电网络的核心层出口设备40E_A 及40E_B 上,通过流镜像方式对异网DNS 请求数据流,涵盖UDP 目标53端口进行汇聚,将流量复制到DNS 重定向服务器去处理,来实现DNS 重定向的功能(见图1)。具体为:
(1)出口设备出来的两条镜像端口接入三层交换机G1/0/4、G1/0/29口,再将其镜像汇聚到G1/0/28口输出,接入重定向服务器。
(2)重定向服务器与交换机之间连接4条链路,实现业务管理分离。一条用来接受采集交换机汇聚的DNS 请求数据;一条用来将分析过滤后需要重定向的异网DNS 请求吐给交换机;一条用来接受交换机转发的异网DNS 请求和本网DNS 服务器间递归查询、给本网用户发送抢答DNS 报文;一条用来作为管
-
-59

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。