域名镜像服务器部署分析

域名镜像服务器部署分析 ComputerEngineeringandApplications计算机与应用2008,44(7)161 域名镜像服务器部署分析 王伟,李晓东,孙国念 WANGWei,LIXiao-dong,SUNGuo-nian 中国互联网络信息中心,北京100080 CNNIC,Beijing100080,China E—mail:wangwei@cnnic.cn WANGWei,LIXiao-dong,SUNGuo-nian.AnalysisofDNSmirrorserverdeployment.ComputerEngineeringandAppli— cations,2008,44(7):161—163. Abstract:DNSisoneofthemostimpo~antfacilitiesonIntemet,andDNSAnycasingisanimp o~antmethodtoimprovethe security,stabilityandresolutionperformanceofDNS.Thispaperproposesamethodtooptimi zetheDNSAnycastingdeployment, basedontheDNSoperationmechanismandrootDNStestingdatainChina. Keywords:DNS;Anycasting;addressselectionalgorithm;correlationcoefficient;regressi onanalysis;clustering 摘要:DNS是互联网最为重要的基础设施之一,DNS镜像技术是提升DNS系统安 全性,稳定性和解析性能的重要方法.针对如 何采用镜像技术优化DNS部署的问题,基于DNS的工作,以DNS根镜像服务 器的实测数据为例,进行具体分析,给出一种实 施方法. 关键词:DNS;Anycasting;地址选择算法;相关系数;回归分析;聚类 文章编号:1002—8331(2008)07—0161—03文献标识码:A中图分类号:TP393 1域名系统介绍 Intemet域名服务系统(DNS)是一种分布式的等级制查询 服务,用以在域名和互联网(IP)地址间进行翻译转换. Intemet上的所有数据包和路由都基于IP地址,因此,DNS起 到IP层与应用层间的桥梁作用I1. DNS的域分为不同等级.一般说来,顶级域包括如con,net, org的通用顶级域(gTLDs)和如cn,us等的国家顶级域(ccTLDs). 在顶级域之上,是DNS的根服务器,存储DNS体系中最高层 次的zonefile供各通用顶级域和国家顶级的记录信息. …'(root) 图1域名层次体系结构 域名解析的工作原理和根服务器所起到的作用如下: (1)客户机提出域名解析请求,并将该请求发送给本地的 域名服务器(递归服务器). (2)当本地的域名服务器收到请求后,就先查询本地的缓 存,如果有该纪录项,则本地的域名服务器就直接把查询的结 果返回. (3)如果本地的缓存中没有该纪录,则本地域名服务器就 把请求发给根域名服务器,然后根域名服务器再返回给本地域 名服务器一个所查询域(根的子域,如CN)的顶级域名服务器 的地址. (4)本地服务器再向查询返回的域名服务器(权威服务器) 发送请求,收到该请求的服务器查询其数据库,并返回与此请 求所对应的资源记录(下级域名服务器的地址或者域名所对应 的IP地址等).本地域名服务器将返回的结果保存到缓存. (5)重复(4),直到找到正确的纪录. (6)本地域名服务器把返回的结果保存到缓存,以备下一 次使用,同时还将结果返回给客户机. 2DNS镜像服务器 DNS协议本身在时,就考虑到了DNS的可用性问题, 设定每个域的权威服务器可以有多个,递归服务器以一定的遍 历顺序访问这些权威服务器,如果第一个失败,则顺序访问第 二个,直到访问成功为止.通过这样的冗余协议设计,除非某域 的所有权威服务器全部失效,对该域的DNS解析才会失败,这 极大地提高了DNS的可用性. 但是,由于DNS协议本身数据单元的长度限制,上述多个 权威服务器的数量不能多于13个,这极大地限制了这一冗余 设计思路的实施,这种部署数量上的限制对根服务器,gTLD和 ccTLD来说尤其突出. 作者简介:王伟,男,博士,副主任,主要研究方向为DNS运行;李晓东,男,博士,副研究 员,技术总监,主要研究方向为DNS运行及下一代互联网 地址资源技术;孙国念,男,高工,主要研究方向为DNS运行. 收稿日期:2007—06—29修回日期:2007—10—09 1622008.44(7)ComputerEngineeringandApplications计算机工程与应用 DNS服务器不论对全球互联网还是对单独一国来说,都是 重要而关键的基础设施,DNS服务器一直以来都是分布式拒绝 服务攻击(DDOS)的目标.以根服务器为例,全球共有13个,已 经达到了协议分布的最大值,但2002年1O月发生的DDOS攻 击直接导致根服务器的性能下降,证明要构建一个强壮,安全, 高可用的DNS体系,13个服务器的数量是远远不够的. 为此,根服务器管理组织采用了Anycastlng镜像技术启动 了全部DNS根镜像服务器全球部署汁划(目前全球范围内共 有根镜像服务器111个,详情可见www.root—servers.net),其他 LD和ccTLD的管理机构,也纷纷采用镜像技术优化自己管 辖的DNS系统. "Anycasting"是一项将单个服务器复制并分布部署到多 点(即镜像)的技术,所有复制的服务器对外都是同一个IP地 址,并包含同样的DNS记录数据. Anycasting技术的内容首先出现在RFC1546中l2t,将Any— casting技术应用于DNS服务出现在RFC3258中t.RFC3258 描述了如何以同一IP配置不同权威服务器,路由选择将DNS 的访问流量引导到网络拓扑最近的服务器上去. 使用镜像来实DNS部署能够解决一系列问题,具有如下 意义: (1)提高DNS整体解析性能:各区域DNS镜像将提高各 自所在区域DNS的解析成功率和解析速度. (2)提高DNS整体抗攻击能力:从本地发起的攻击只能到 达本地镜像,全球其它镜像是不会受到影响的.这使得DNS的 整体架构更富有弹性. (3)提高紧急响应能力:部署镜像的一个非直接好处是在 发生攻击时,更利于锁定攻击发起源,利于互联网管理者辨别 和采取措施.越快定位攻击源,能越早制止攻击. (4)提供域名信息安全的自给能力:镜像的建立,可保证 DNS体系在一定区域内的完整部署.即使在因人为事故,自然 灾害,突发战争等因素导致区域网络中断时,该区域内部镜像 仍然能提供持续的域名解析. (5)减少国际链路的开销:从国家规模减少路由器和链路 资源的开销.由于IP路由协议按最近路径传递数据包,本地镜 像根将减少占用昂贵国际链路的DNS流量.这一点对发展中 国家或孤立地区尤其有益. 3镜像技术对DNS访问性能提升的技术分析 本章以DNS根服务器为例,通过测试和分析,给出镜像技 术提升DNS性能的原因,为进一步给出DNS镜像部署方法提 供理论依据. 根据DNS的最初理论,对某域的多个权威服务器的访问 应是随机的,即每个服务器得到的访问概率应是相同的.但事 实上,根据2004年CNNIC在全国范围内组织的测试中,通过 在8家ISP放置DNS测试机,测得实际上国内对各根服务器 的访问性能和访问概率是不等的(见表1). 从到达百分比来看,对F根的访问最多,这是因为当时中 国电信建立的F根镜像,而高版本BIND的地址选择算法[4t,会 根据对根的访问速度进行优化排序,访问速度最快的根得到的 DNS请求最多. 表1测试结果中,F根镜像访问速度最快,其得到的访 问也最多,这是和理论相符的.进行统计分析,取到达各根时 间倒数为序列A,取访问百分比为序列日,计算它们的相关系 表l某ISP访问根服务器的性能 Root成功率/%到达百分比/%平均时问 A87.563.05302 口69.750012o0 C71.551.8O330 D9349490252 ,89.071.06247 ,95.5647.7626 G89.69102262 H9O.O21.11403 ,82.O11.25263 J79.22563136 8374051523 L9225583241 M62.7917.7693 数[5t,得: p=O.981 近似线『生的相关系数表明,访问时间越小,访问频率越高,这证 明了"访问时间"与"访问百分比"之间的反比关系.依此方法, 分别采用其他7家ISP的测试样本(见表2),仍然可以得到上 述相关特性的结论,证明此相关『生的普遍性. 表27家ISP访问根服务器时间倒数与访问百分比的相关系数统计 ISP1ISP2ISP3ISP4ISP5ISP6ISP7 P0.87420.99320.99460.84510.9841092880.9904 因此,可以相信,若进一步提高对某特定DNS服务器的 访问速度,将等效地提高对的访问频率,最终,随所占访 问比的增加,访问速度的提高将缩短DNS的整体访问时间. 以ISP5为例:由于ISP5在2004年下半年提高了与电信的 带宽,因此其到达电信F根镜像的速度由12ms缩短到4ms, 相应地,对,根的访问比例从60%提高到90%以上,进而提高 了ISP5访问整个根DNS的成功率和平均时间. 1k,, 喜毒蚤瞢毒喜喜喜喜喜喜 8窘吝兽答呈!昌 图2ISP5在2004年访问根DNS的成功率和平均时间 综上,由于DNS协议中"优者先得"的选择机制,某域DNS 镜像服务器的建立,可有力提升用户对该域的DNS访问速度 和DNS访问成功率. 4DNS镜像服务器的部署分析 了解了DNS"优者先得"选择机制对DNS镜像服务器的重 要性后,仍然以DNS根镜像为例,分析如何更好地推进DNS 镜像服务器的部署工作. , , ^ ? 王伟,李晓东,孙国念:域名镜像服务器部署分析2008,44(7)163 一 区域内对某域DNS镜像服务器的部署应遵循—个较优的 方法,以尽量小的开销和投入,换得尽可能大的性能提升,即:此 区域内网络各点对该域DNS的访问性能相差不大,均衡最优. 以根镜像为例,截止2007年1月,我国已在国内建立了三 个根镜像(F,,,.,),但目前的三个根镜像,并不能完全实现理想 的根镜像服务器应达到的效果. 为说明这点,于2007年初再次进行了对DNS根服务器的 访问效率测试,发现,不同根镜像对不同ISP的辐射效果是不 一 样的,不同ISP,甚至不同地区用户得到的根镜像效率提升 是不同的.统计结果如表3. 可以看出,各ISP依然存在不同比例地对国外根服务器的 访问,而这种比例对某些ISP来说还相当大,并没有完全起到 提升国内网络性能和减少国际链路开销的目的.这是由下述可 能原因造成的: (1)各个网络对位于本网的根镜像查询时间较短,但鉴于 互联互通基础较差,导致跨网查询性能不佳;, (2)根镜像的接入网络规模庞大,无法辐射到各个角落,平 均性能不佳; (3)根镜像的接入网络业务繁,造成实事上的网络拥塞, 影响到根镜像性能(成功率和查询时间)的进一步提高. 一 区域内某域DNS镜像服务器的部署数量和部署地点, 是一个复杂的问题,既涉及到该区域网络安全的战略纵深规 划,又涉及区域内部的ISP平衡和地区平衡,最终影响的是互 联网用户终端DNS访问性能.本文中,不就战略规划和区域平 衡进行分析,而只以上述根镜像部署问题为例,在根镜像访问性 能测试的基础上,给出部署DNS镜像服务器的规划方法. 先利用回归分析16]给出DNS测试样本中访问时间和访问 百分比之间的精确函数关系:取到达各根时间为自变量序列 ,访问百分比为因变量序列y,采用最小残差法进行函数拟 合.以2004年8家ISP的测试样本和2007年7地区测试样本 进行上述拟合,从最小残差和曲线物理意义两方面证明,访问百 分比与访问时间之间的函数关系为近似逆函娄,如图4所示. (访问时间) 图4某ISP样本拟合函数曲线图 从减少国际链路开销的角度来看,理想状况下,对国内根 镜像的访问比例应不低于95%.那么,根据样本推出逆函数y= 6.+6./x,可计算出满足访问Y=95%的值.即,国内镜像访问 速度必须小于此数值. 理论上,链路质量越好的ISP,其满足95%访问率的访问 时间应越小.由于国内各地区ISP的国际链路和国内互联传输 质量不同,对DNS根服务器的访问性能和百分比不同,推算出 的逆函数的常数项和回归系数也不同.对2004年8个样本和 2007年7个样本分别计算,发现2007年的值(平均3.5ms, 最大20ms)明显小于2004年值(平均15ms,最大50ms), 这表明过去几年中,国内基础网络的建设和国际出口带宽的扩 大,使得各ISP国际访问性能普遍提高,这很好地解释了值 的减小. 得到目前根DNS访问的理想性能X=20ms这个指标后, 本文提出根镜像部署的两种方法: 方法1实测法 进行全国范围的各ISP统一测试,以保证各测试点之间的 DNS互访性能不大于毫秒. 难度:需要在各ISP进行全国范围的测试,调动资源多,测 试时间长. 优点:以结果为导向,循序渐进,根据测试结果逐步调整根 镜像数量和地点. 方法2聚类法 如建成完善的国内DNS根镜像体系,从BIND优选机制来 说,用户将访问满足毫秒性能指标的根镜像,即,用户到达 根镜像服务器的网络时间在毫秒内(此处忽略DNS服务器 的处理时间,为百微妙级).基于此,提出算法如下: (1)得到各ISP的网络拓扑. 表3不同ISP访问根服务器的百分比 ABCDEFGHljK 0.530.570.570.53o596.50o.53o.5333.9053.92o.57 1.992.032.471.902.1938.872.041.7338.071.882.14 0580.761.56o.64o.905.52o.50o.54o.6086.281.14 6.812.202.701.762.8423.662.981.657.9428.544.71 1_251.651.501.322.1680.671.401.052.282.261.19 1.952.582.382.292.2525.542402.0949.111.212.31 1.211.341.561.4612443.451.141O31.1o43.151.28(下转167页) %一一川一O2O73 L 一""?舵m —O2O72 , 一06cde厂g一 姚国祥,莫乐群:一种新的基于Chebyshev的代理多签名2008,44(7)167 Qd=??r妒()SHA—l(m)Ql+Q其中=()i=t+1i=+I 因为显然 I, ?s.():?()+dJ'i~O()SHA—l(m)=f=】i:】i=l ?k()+(?d())SHA—l(m)?0modni=1i=l 所以:?s()+m.dn??s()+modnf=li=t+l 所以Q=?+?()SHA—l(m)Ql斗Q? ?+?()SHA—l(m)QQ=t+】i=t+l 所以合谋团体{A,A,…,A}无法提出代理多签名(m,m, PI,…,,,r,s)等同于的质疑. 所以本方案可以抵抗合谋攻击. (2)本方案使用的Chebyshev多项式序列不会显着加重加 密的运算负担. 由于只是做多项式运算,所以运算量要比幂运算小得多, 因此,相比较而言,引入Chebyshev对加密得运算负担无明显 影响. (3)本方案具有Wu和Shen的代理多签名体制的抵抗伪 造攻击的优点. 由于代理人构造代理多签名时候,用了Cheybyshev多项 式,并且伪造者无法得到该多项式,因此即使伪造者得到所有 原始签名人的,也不可能构造出伪造的代理多签名. (4)本方案具有ji和Li的代理多签名体制的所有优点. 5结论 (1)本文对Wu和Shen提出的代理多签名体制进行安全 性分析,并指出来自内部的合谋攻击团体能利用本文提出的合 谋攻击,可以使得授权代理人所生成的代理签名违反代理多签 名的安全特性规定m,从而在承认授权状合法的情况下,对代理 人所做的代理签名提出质疑并予以否定. (2)本文对Wu和Shen的代理多签名体制进行了改进,提 出了新的安全的代理多签名方案.改进后的方案不仅能抵抗 本文提出的合谋攻击,还保留了原方案的可以抵抗伪造攻击 的优点. (3)本文对Chebyshev多项式序列进行了论证,证明该多 项式的性质符合本文所提出的改进方案的加密运算要求. 参考文献: [1]KimS,ParkS,WonD.Pxoxysignatures,revisited[C]//ProcofICI— CS'97.Int'lConfonInformationandCommunicationsSecurity. Berlin:SpringerVerlag,1997:223—232. [2]MamboM,UsudaK,OkamotoE.Proxysignature:delegationofthe powertosignmessages[J].IEICETransonFundamentalsofElec— tronicsCommunicationsandComputerSciences,1996,E792A(9): 1338-1354. [3]MamboM,UsudaK,OkamotoE.Proxysignaturesfordelegation signingoperation[C]//Procofthe3rdACMConfonComputerand CommunicationsSecurity.NewYork:ACMPress,1996:48—57. [4]KoblitzN.EllipticCHilecryptosystems[J].MathematicsofComputa— tion,1987,48:203—209. [5]MilierVS.UseofellipticCHileincryptography[C]//LNCS218:Ad— vancesinCryptology—CRYPTO'85.Berlin:Spring—verlag,1986:417— 426. [6]LeeB,KimH,KimK.Strongproxysignatureanditsapplications[C]// The2001IEICESymponCryptographyandInformationSecurity, Oiso,Japan,2001. [7]纪家慧,李大兴.新的代理多签名体制[J1.计算机研究与发展,2004, 41(4):715—719. [8]吴旭辉,沈庆浩.一种代理多签名体制的安全性分析[J1.通信, 2005.26(7):199—122. [9]莫乐群,王晓明,姚国祥.一种新的多重数字签名方案[J1.计算机应 用,2005,25(10):2294—2295. [1O]施妙根,顾丽珍.科学和工程计算基础[M].北京:清华大学出版社, 2002 (上接163页) (2)由于各ISP网络拥塞程度不同,测试拓扑中各路由点 之问的拥塞程度,并将拥塞加权到路由跳数上,形成加权拓扑. (3)以拓扑中节点间互访性能不大于为目标,采用聚类 算法计算出聚类个数(镜像个数)和在拓扑中的分布位置. 难度:需要得到各ISP的网络拓扑(精确到地市),且根据 路由跳数的推算不保证实际精度和拥塞变动. 优点:得到拓扑后,测试复杂度小,理论计算即可,时问短. 如上,以DNS根镜像为例,给出了数据收集,函数拟合,目 标拟定,部署分析的全过程.相对来说,聚类法是一个开销较小 的方法,但需要国内各ISP的协作以取得国内详细的网络拓扑 信息.类似地,对任一DNS服务器的镜像部署,可仿照上述思 路和过程,实现优化部署. 5结论 为最大化发挥DNS镜像对互联网性能的提升,本文基于 DNS工作机制,以DNS根镜像的实测数据为例,提出部署镜像 服务器的算法和性能指标.但这种部署,应随着网络发展和变 化,周期性地进行性能重新测试和部署地点调整.例如,未来国 内网络发生链路扩展和拓扑变化,DNS性能指标发生变化,则 根镜像的部署地点也必然需要进行相应调整. 参考文献: 『11DNSRFC系列:RFC1034,1035,l123,1886,1995,1996,2136,2181, 2308,2535,26712782[$1. [2]RFC1546:HostAnycastingseilice[S].1993. [3]RFC3258:Distributingauthoritativenameserversviashareduni— castaddresses[S].2002. [4]AlbitzP,CricketL.DNSandbind[M].4thed.is.I.]:O'Reilly,2001. [5]贾俊平,何晓群,金勇进.统计学[M].3版.北京:科学出版社,2002. [6]何晓群,刘文卿.应用回归分析[M]E京:中国人民大学出版社,2001. [7]张文彤.SPSS统计分析高级教程[M].北京:高等教育出版社,2004.