DNS性能優(yōu)化實(shí)踐

電信技術(shù)DP tech杭州迪普科技有限公司協(xié)辦DNS性能優(yōu)化實(shí)踐張承宋志軍中國移動(dòng)通信集團山西有限公司通過(guò)對運營(yíng)商網(wǎng)絡(luò )DNS的邏輯架構、系統參數進(jìn)行優(yōu)化，在不增加硬件配置的條件下，大幅提升DNS的處摘要理性能，節省硬件投資，達到節能減排、經(jīng)濟高效的目的。關(guān)津詞DNS AnyCast lptables0引言次的攻擊，造成1臺基于Bind的普通DNS服務(wù)DNS ( Domain Name System )是因特網(wǎng)器達到性能瓶頸，出現丟包、響應時(shí)延大等問(wèn)的一項核心服務(wù)，它可以將域名和IP地址相互題，同時(shí)DNS服務(wù)器內存使用率達到95%。映射，從而使人們通過(guò)域名更方便地訪(fǎng)問(wèn)互聯(lián)因此，需要對DNS進(jìn)行性能優(yōu)化,提升網(wǎng)，而不用記住32位IP地址。DNS處理能力，增加對網(wǎng)絡(luò )攻擊的防御能力。DNS在Internet. 上具有重要的作用，2014年1月21日，全國DNS由于受到拒絕服務(wù)攻擊，全3 DNS性能優(yōu)化國大半網(wǎng)站不同程度地出現訪(fǎng)問(wèn)故障。下文旨3.1通過(guò)AnyCast技術(shù)實(shí)現最 大化處理能在通過(guò)提升DNS的性能，可以在一-定程度 上緩力提升解針對DNS的拒絕服務(wù)攻擊。運營(yíng)商DNS緩存服務(wù)器根據網(wǎng)絡(luò )規模至少需要兩臺或更多，- -般為- -主一備。當主服務(wù)2 DNS現狀器發(fā)生故障脫網(wǎng)后，可由備服務(wù)器繼續提供服運營(yíng)商網(wǎng)絡(luò )DNS- -般由授權域名服務(wù)器、務(wù)，不影響用戶(hù)感知，但是如果主服務(wù)器由于遞歸域名服務(wù)器和緩存域名服務(wù)器組成，其中業(yè)務(wù)請求量太大或者受到大規模拒絕服務(wù)攻擊只有緩存服務(wù)器直接面向用戶(hù)提供域名解析服時(shí)，此時(shí)服務(wù)器達到服務(wù)瓶頸，但用戶(hù)請求不;務(wù)，遞歸請求會(huì )轉至遞歸服務(wù)器處理。由于會(huì )被調度至備服務(wù)器，導致解析時(shí)延大,無(wú)法DNS開(kāi)放服務(wù)單一-般沒(méi)有必要部署專(zhuān)用硬解析等故障，影響用戶(hù)業(yè)務(wù)感知。件防火墻，通過(guò)Linux操作系統的軟件防火墻通過(guò)AnyCast技術(shù)，將用戶(hù)請求負載分擔Iptables即可滿(mǎn)足安全防護要求。DNS數據包為至多臺緩存服務(wù)器，這樣可以實(shí)現對DNS緩存無(wú)連接的小UDP數據包，對帶寬要求極低,因服務(wù)器處理性能的最大化，不會(huì )由于單臺服務(wù)此即使2MHz帶寬的用戶(hù)發(fā)起DNS拒絕服務(wù)攻器的中國煤化工改造前，服務(wù)擊，理論上可達到每秒3906.25次請求。通過(guò)控CH.CNMHG制3個(gè)用戶(hù)同時(shí)發(fā)動(dòng)攻擊，即可達到每秒約1萬(wàn)器的取八工C，二工域田服務(wù)器達到瓶www.ttm.com.cn 1 09