電信技術(shù)DP tech杭州迪普科技有限公司協(xié)辦DNS性能優(yōu)化實踐張承宋志軍中國移動通信集團山西有限公司通過對運營商網(wǎng)絡(luò)DNS的邏輯架構(gòu)、系統(tǒng)參數(shù)進行優(yōu)化，在不增加硬件配置的條件下，大幅提升DNS的處摘要理性能，節(jié)省硬件投資，達到節(jié)能減排、經(jīng)濟高效的目的。關(guān)津詞DNS AnyCast lptables0引言次的攻擊，造成1臺基于Bind的普通DNS服務DNS ( Domain Name System )是因特網(wǎng)器達到性能瓶頸，出現(xiàn)丟包、響應時延大等問的一項核心服務，它可以將域名和IP地址相互題，同時DNS服務器內(nèi)存使用率達到95%。映射，從而使人們通過域名更方便地訪問互聯(lián)因此，需要對DNS進行性能優(yōu)化,提升網(wǎng)，而不用記住32位IP地址。DNS處理能力，增加對網(wǎng)絡(luò)攻擊的防御能力。DNS在Internet. 上具有重要的作用，2014年1月21日，全國DNS由于受到拒絕服務攻擊，全3 DNS性能優(yōu)化國大半網(wǎng)站不同程度地出現(xiàn)訪問故障。下文旨3.1通過AnyCast技術(shù)實現(xiàn)最 大化處理能在通過提升DNS的性能，可以在一-定程度 上緩力提升解針對DNS的拒絕服務攻擊。運營商DNS緩存服務器根據(jù)網(wǎng)絡(luò)規(guī)模至少需要兩臺或更多，- -般為- -主一備。當主服務2 DNS現(xiàn)狀器發(fā)生故障脫網(wǎng)后，可由備服務器繼續(xù)提供服運營商網(wǎng)絡(luò)DNS- -般由授權(quán)域名服務器、務，不影響用戶感知，但是如果主服務器由于遞歸域名服務器和緩存域名服務器組成，其中業(yè)務請求量太大或者受到大規(guī)模拒絕服務攻擊只有緩存服務器直接面向用戶提供域名解析服時，此時服務器達到服務瓶頸，但用戶請求不;務，遞歸請求會轉(zhuǎn)至遞歸服務器處理。由于會被調(diào)度至備服務器，導致解析時延大,無法DNS開放服務單一-般沒有必要部署專用硬解析等故障，影響用戶業(yè)務感知。件防火墻，通過Linux操作系統(tǒng)的軟件防火墻通過AnyCast技術(shù)，將用戶請求負載分擔Iptables即可滿足安全防護要求。DNS數(shù)據(jù)包為至多臺緩存服務器，這樣可以實現(xiàn)對DNS緩存無連接的小UDP數(shù)據(jù)包，對帶寬要求極低,因服務器處理性能的最大化，不會由于單臺服務此即使2MHz帶寬的用戶發(fā)起DNS拒絕服務攻器的中國煤化工改造前，服務擊，理論上可達到每秒3906.25次請求。通過控CH.CNMHG制3個用戶同時發(fā)動攻擊，即可達到每秒約1萬器的取八工C，二工域田服務器達到瓶www.ttm.com.cn 1 09