域名镜像服务器部署分析

域名镜像服务器部署 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 ComputerEngineeringandApplications计算机工程与应用2008,44(7)161 域名镜像服务器部署分析 王伟,李晓东,孙国念 WANGWei,LIXiao-dong,SUNGuo-nian 中国互联网络信息中心,北京100080 CNNIC,Beijing100080,China E—mail:wangwei@cnnic.cn WANGWei,LIXiao-dong,SUNGuo-nian.AnalysisofDNSmirrorserverdeployment.ComputerEngineeringandAppli— cations,2008,44(7):161—163. Abstract:DNSisoneofthemostimpo~antfacilitiesonIntemet,andDNSAnycasingisanimp o~antmethodtoimprovethe security,stabilityandresolutionperformanceofDNS.Thispaperproposesamethodtooptimi zetheDNSAnycastingdeployment, basedontheDNSoperationmechanismandrootDNStestingdatainChina. Keywords:DNS;Anycasting;addressselectionalgorithm;correlationcoefficient;regressi onanalysis;clustering 摘要:DNS是互联网最为重要的基础设施之一,DNS镜像技术是提升DNS系统安 全性,稳定性和解析性能的重要方法.针对如 何采用镜像技术优化DNS部署的问题,基于DNS的工作机制,以DNS根镜像服务 器的实测数据为例,进行具体分析,给出一种实 施方法. 关键词:DNS;Anycasting;地址选择算法;相关系数;回归分析;聚类 文章编号:1002—8331(2008)07—0161—03文献标识码:A中图分类号:TP393 1域名系统介绍 Intemet域名服务系统(DNS)是一种分布式的等级制查询 服务,用以在域名和互联网协议(IP)地址间进行翻译转换. Intemet上的所有数据包和路由都基于IP地址,因此,DNS起 到IP层与应用层间的桥梁作用I1. DNS的域分为不同等级.一般说来,顶级域包括如con,net, org的通用顶级域(gTLDs)和如cn,us等的国家顶级域(ccTLDs). 在顶级域之上,是DNS的根服务器,存储DNS体系中最高层 次的zonefile供各通用顶级域和国家顶级的 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 信息. …'(root) 图1域名层次体系结构 域名解析的工作原理和根服务器所起到的作用如下: (1)客户机提出域名解析请求,并将该请求发送给本地的 域名服务器(递归服务器). (2)当本地的域名服务器收到请求后,就先查询本地的缓 存,如果有该纪录项,则本地的域名服务器就直接把查询的结 果返回. (3)如果本地的缓存中没有该纪录,则本地域名服务器就 把请求发给根域名服务器,然后根域名服务器再返回给本地域 名服务器一个所查询域(根的子域,如CN)的顶级域名服务器 的地址. (4)本地服务器再向查询返回的域名服务器(权威服务器) 发送请求,收到该请求的服务器查询其数据库,并返回与此请 求所对应的资源记录(下级域名服务器的地址或者域名所对应 的IP地址等).本地域名服务器将返回的结果保存到缓存. (5)重复(4),直到找到正确的纪录. (6)本地域名服务器把返回的结果保存到缓存,以备下一 次使用,同时还将结果返回给客户机. 2DNS镜像服务器 DNS协议本身在 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 时,就考虑到了DNS的可用性问题, 设定每个域的权威服务器可以有多个,递归服务器以一定的遍 历顺序访问这些权威服务器,如果第一个失败,则顺序访问第 二个,直到访问成功为止.通过这样的冗余协议设计,除非某域 的所有权威服务器全部失效,对该域的DNS解析才会失败,这 极大地提高了DNS的可用性. 但是,由于DNS协议本身数据单元的长度限制,上述多个 权威服务器的数量不能多于13个,这极大地限制了这一冗余 设计思路的实施,这种部署数量上的限制对根服务器,gTLD和 ccTLD来说尤其突出. 作者简介:王伟,男,博士,副主任,主要研究方向为DNS运行;李晓东,男,博士,副研究 员,技术总监,主要研究方向为DNS运行及下一代互联网 地址资源技术;孙国念,男,高工,主要研究方向为DNS运行. 收稿日期:2007—06—29修回日期:2007—10—09 1622008.44(7)ComputerEngineeringandApplications计算机工程与应用 DNS服务器不论对全球互联网还是对单独一国来说,都是 重要而关键的基础设施,DNS服务器一直以来都是分布式拒绝 服务攻击(DDOS)的目标.以根服务器为例,全球共有13个,已 经达到了协议分布的最大值,但2002年1O月发生的DDOS攻 击直接导致根服务器的性能下降,证明要构建一个强壮,安全, 高可用的DNS体系,13个服务器的数量是远远不够的. 为此,根服务器管理组织采用了Anycastlng镜像技术启动 了全部DNS根镜像服务器全球部署汁划(目前全球范围内共 有根镜像服务器111个,详情可见www.root—servers.net),其他 LD和ccTLD的管理机构,也纷纷采用镜像技术优化自己管 辖的DNS系统. "Anycasting"是一项将单个服务器复制并分布部署到多 点(即镜像)的技术,所有复制的服务器对外都是同一个IP地 址,并包含同样的DNS记录数据. Anycasting技术的内容首先出现在RFC1546中l2t,将Any— casting技术应用于DNS服务出现在RFC3258中t.RFC3258 描述了如何以同一IP配置不同权威服务器,路由选择将DNS 的访问流量引导到网络拓扑最近的服务器上去. 使用镜像来实DNS部署能够解决一系列问题,具有如下 意义: (1)提高DNS整体解析性能:各区域DNS镜像将提高各 自所在区域DNS的解析成功率和解析速度. (2)提高DNS整体抗攻击能力:从本地发起的攻击只能到 达本地镜像,全球其它镜像是不会受到影响的.这使得DNS的 整体架构更富有弹性. (3)提高紧急响应能力:部署镜像的一个非直接好处是在 发生攻击时,更利于锁定攻击发起源,利于互联网管理者辨别 和采取 措施 《全国民用建筑工程设计技术措施》规划•建筑•景观全国民用建筑工程设计技术措施》规划•建筑•景观软件质量保证措施下载工地伤害及预防措施下载关于贯彻落实的具体措施 .越快定位攻击源,能越早制止攻击. (4)提供域名信息安全的自给能力:镜像的建立,可保证 DNS体系在一定区域内的完整部署.即使在因人为事故,自然 灾害,突发战争等因素导致区域网络中断时,该区域内部镜像 仍然能提供持续的域名解析. (5)减少国际链路的开销:从国家规模减少路由器和链路 资源的开销.由于IP路由协议按最近路径传递数据包,本地镜 像根将减少占用昂贵国际链路的DNS流量.这一点对发展中 国家或孤立地区尤其有益. 3镜像技术对DNS访问性能提升的技术分析 本章以DNS根服务器为例,通过测试和分析,给出镜像技 术提升DNS性能的原因,为进一步给出DNS镜像部署方法提 供理论依据. 根据DNS的最初理论,对某域的多个权威服务器的访问 应是随机的,即每个服务器得到的访问概率应是相同的.但事 实上,根据2004年CNNIC在全国范围内组织的测试中,通过 在8家ISP放置DNS测试机,测得实际上国内对各根服务器 的访问性能和访问概率是不等的(见表1). 从到达百分比来看,对F根的访问最多,这是因为当时中 国电信建立的F根镜像,而高版本BIND的地址选择算法[4t,会 根据对根的访问速度进行优化排序,访问速度最快的根得到的 DNS请求最多. 表1测试结果中,F根镜像访问速度最快,其得到的访 问也最多,这是和理论相符的.进行统计分析,取到达各根时 间倒数为序列A,取访问百分比为序列日,计算它们的相关系 表l某ISP访问根服务器的性能 Root成功率/%到达百分比/%平均时问 A87.563.05302 口69.750012o0 C71.551.8O330 D9349490252 ,89.071.06247 ,95.5647.7626 G89.69102262 H9O.O21.11403 ,82.O11.25263 J79.22563136 8374051523 L9225583241 M62.7917.7693 数[5t,得: p=O.981 近似线『生的相关系数表明,访问时间越小,访问频率越高,这证 明了"访问时间"与"访问百分比"之间的反比关系.依此方法, 分别采用其他7家ISP的测试样本(见表2),仍然可以得到上 述相关特性的结论,证明此相关『生的普遍性. 表27家ISP访问根服务器时间倒数与访问百分比的相关系数统计 ISP1ISP2ISP3ISP4ISP5ISP6ISP7 P0.87420.99320.99460.84510.9841092880.9904 因此,可以相信,若进一步提高对某特定DNS服务器的 访问速度,将等效地提高对的访问频率,最终,随所占访 问比的增加,访问速度的提高将缩短DNS的整体访问时间. 以ISP5为例:由于ISP5在2004年下半年提高了与电信的 带宽,因此其到达电信F根镜像的速度由12ms缩短到4ms, 相应地,对,根的访问比例从60%提高到90%以上,进而提高 了ISP5访问整个根DNS的成功率和平均时间. 1k,, 喜毒蚤瞢毒喜喜喜喜喜喜 8窘吝兽答呈!昌 图2ISP5在2004年访问根DNS的成功率和平均时间 综上,由于DNS协议中"优者先得"的选择机制,某域DNS 镜像服务器的建立,可有力提升用户对该域的DNS访问速度 和DNS访问成功率. 4DNS镜像服务器的部署分析 了解了DNS"优者先得"选择机制对DNS镜像服务器的重 要性后,仍然以DNS根镜像为例,分析如何更好地推进DNS 镜像服务器的部署工作. , , ^ ? 王伟,李晓东,孙国念:域名镜像服务器部署分析2008,44(7)163 一 区域内对某域DNS镜像服务器的部署应遵循—个较优的 方法,以尽量小的开销和投入,换得尽可能大的性能提升,即:此 区域内网络各点对该域DNS的访问性能相差不大,均衡最优. 以根镜像为例,截止2007年1月,我国已在国内建立了三 个根镜像(F,,,.,),但目前的三个根镜像,并不能完全实现理想 的根镜像服务器应达到的效果. 为说明这点,于2007年初再次进行了对DNS根服务器的 访问效率测试,发现,不同根镜像对不同ISP的辐射效果是不 一 样的,不同ISP,甚至不同地区用户得到的根镜像效率提升 是不同的.统计结果如表3. 可以看出,各ISP依然存在不同比例地对国外根服务器的 访问,而这种比例对某些ISP来说还相当大,并没有完全起到 提升国内网络性能和减少国际链路开销的目的.这是由下述可 能原因造成的: (1)各个网络对位于本网的根镜像查询时间较短,但鉴于 互联互通基础较差,导致跨网查询性能不佳;, (2)根镜像的接入网络规模庞大,无法辐射到各个角落,平 均性能不佳; (3)根镜像的接入网络业务繁,造成实事上的网络拥塞, 影响到根镜像性能(成功率和查询时间)的进一步提高. 一 区域内某域DNS镜像服务器的部署数量和部署地点, 是一个复杂的问题,既涉及到该区域网络安全的战略纵深规 划,又涉及区域内部的ISP平衡和地区平衡,最终影响的是互 联网用户终端DNS访问性能.本文中,不就战略规划和区域平 衡进行分析,而只以上述根镜像部署问题为例,在根镜像访问性 能测试的基础上,给出部署DNS镜像服务器的规划方法. 先利用回归分析16]给出DNS测试样本中访问时间和访问 百分比之间的精确函数关系:取到达各根时间为自变量序列 ,访问百分比为因变量序列y,采用最小残差法进行函数拟 合.以2004年8家ISP的测试样本和2007年7地区测试样本 进行上述拟合,从最小残差和曲线物理意义两方面证明,访问百 分比与访问时间之间的函数关系为近似逆函娄,如图4所示. (访问时间) 图4某ISP样本拟合函数曲线图 从减少国际链路开销的角度来看,理想状况下,对国内根 镜像的访问比例应不低于95%.那么,根据样本推出逆函数y= 6.+6./x,可计算出满足访问Y=95%的值.即,国内镜像访问 速度必须小于此数值. 理论上,链路质量越好的ISP,其满足95%访问率的访问 时间应越小.由于国内各地区ISP的国际链路和国内互联传输 质量不同,对DNS根服务器的访问性能和百分比不同,推算出 的逆函数的常数项和回归系数也不同.对2004年8个样本和 2007年7个样本分别计算,发现2007年的值(平均3.5ms, 最大20ms)明显小于2004年值(平均15ms,最大50ms), 这表明过去几年中,国内基础网络的建设和国际出口带宽的扩 大,使得各ISP国际访问性能普遍提高,这很好地解释了值 的减小. 得到目前根DNS访问的理想性能X=20ms这个指标后, 本文提出根镜像部署的两种方法: 方法1实测法 进行全国范围的各ISP统一测试,以保证各测试点之间的 DNS互访性能不大于毫秒. 难度:需要在各ISP进行全国范围的测试,调动资源多,测 试时间长. 优点:以结果为导向,循序渐进,根据测试结果逐步调整根 镜像数量和地点. 方法2聚类法 如建成完善的国内DNS根镜像体系,从BIND优选机制来 说,用户将访问满足毫秒性能指标的根镜像,即,用户到达 根镜像服务器的网络时间在毫秒内(此处忽略DNS服务器 的处理时间,为百微妙级).基于此,提出算法如下: (1)得到各ISP的网络拓扑. 表3不同ISP访问根服务器的百分比 ABCDEFGHljK 0.530.570.570.53o596.50o.53o.5333.9053.92o.57 1.992.032.471.902.1938.872.041.7338.071.882.14 0580.761.56o.64o.905.52o.50o.54o.6086.281.14 6.812.202.701.762.8423.662.981.657.9428.544.71 1_251.651.501.322.1680.671.401.052.282.261.19 1.952.582.382.292.2525.542402.0949.111.212.31 1.211.341.561.4612443.451.141O31.1o43.151.28(下转167页) %一一川一O2O73 L 一""?舵m —O2O72 , 一06cde厂g一 姚国祥,莫乐群:一种新的基于Chebyshev的代理多签名 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 2008,44(7)167 Qd=??r妒()SHA—l(m)Ql+Q其中=()i=t+1i=+I 因为显然 I, ?s.():?()+dJ'i~O()SHA—l(m)=f=】i:】i=l ?k()+(?d())SHA—l(m)?0modni=1i=l 所以:?s()+m.dn??s()+modnf=li=t+l 所以Q=?+?()SHA—l(m)Ql斗Q? ?+?()SHA—l(m)QQ=t+】i=t+l 所以合谋团体{A,A,…,A}无法提出代理多签名(m,m, PI,…,,,r,s)等同于的质疑. 所以本方案可以抵抗合谋攻击. (2)本方案使用的Chebyshev多项式序列不会显着加重加 密的运算负担. 由于只是做多项式运算,所以运算量要比幂运算小得多, 因此,相比较而言,引入Chebyshev对加密得运算负担无明显 影响. (3)本方案具有Wu和Shen的代理多签名体制的抵抗伪 造攻击的优点. 由于代理人构造代理多签名时候,用了Cheybyshev多项 式,并且伪造者无法得到该多项式,因此即使伪造者得到所有 原始签名人的,也不可能构造出伪造的代理多签名. (4)本方案具有ji和Li的代理多签名体制的所有优点. 5结论 (1)本文对Wu和Shen提出的代理多签名体制进行安全 性分析,并指出来自内部的合谋攻击团体能利用本文提出的合 谋攻击,可以使得授权代理人所生成的代理签名违反代理多签 名的安全特性规定m,从而在承认授权状合法的情况下,对代理 人所做的代理签名提出质疑并予以否定. (2)本文对Wu和Shen的代理多签名体制进行了改进,提 出了新的安全的代理多签名方案.改进后的方案不仅能抵抗 本文提出的合谋攻击,还保留了原方案的可以抵抗伪造攻击 的优点. (3)本文对Chebyshev多项式序列进行了论证,证明该多 项式的性质符合本文所提出的改进方案的加密运算要求. 参考文献: [1]KimS,ParkS,WonD.Pxoxysignatures,revisited[C]//ProcofICI— CS'97.Int'lConfonInformationandCommunicationsSecurity. Berlin:SpringerVerlag,1997:223—232. [2]MamboM,UsudaK,OkamotoE.Proxysignature:delegationofthe powertosignmessages[J].IEICETransonFundamentalsofElec— tronicsCommunicationsandComputerSciences,1996,E792A(9): 1338-1354. [3]MamboM,UsudaK,OkamotoE.Proxysignaturesfordelegation signingoperation[C]//Procofthe3rdACMConfonComputerand CommunicationsSecurity.NewYork:ACMPress,1996:48—57. [4]KoblitzN.EllipticCHilecryptosystems[J].MathematicsofComputa— tion,1987,48:203—209. [5]MilierVS.UseofellipticCHileincryptography[C]//LNCS218:Ad— vancesinCryptology—CRYPTO'85.Berlin:Spring—verlag,1986:417— 426. [6]LeeB,KimH,KimK.Strongproxysignatureanditsapplications[C]// The2001IEICESymponCryptographyandInformationSecurity, Oiso,Japan,2001. [7]纪家慧,李大兴.新的代理多签名体制[J1.计算机研究与发展,2004, 41(4):715—719. [8]吴旭辉,沈庆浩.一种代理多签名体制的安全性分析[J1.通信, 2005.26(7):199—122. [9]莫乐群,王晓明,姚国祥.一种新的多重数字签名方案[J1.计算机应 用,2005,25(10):2294—2295. [1O]施妙根,顾丽珍.科学和工程计算基础[M].北京:清华大学出版社, 2002 (上接163页) (2)由于各ISP网络拥塞程度不同,测试拓扑中各路由点 之问的拥塞程度,并将拥塞加权到路由跳数上,形成加权拓扑. (3)以拓扑中节点间互访性能不大于为目标,采用聚类 算法计算出聚类个数(镜像个数)和在拓扑中的分布位置. 难度:需要得到各ISP的网络拓扑(精确到地市),且根据 路由跳数的推算不保证实际精度和拥塞变动. 优点:得到拓扑后,测试复杂度小,理论计算即可,时问短. 如上,以DNS根镜像为例,给出了数据收集,函数拟合,目 标拟定,部署分析的全过程.相对来说,聚类法是一个开销较小 的方法,但需要国内各ISP的协作以取得国内详细的网络拓扑 信息.类似地,对任一DNS服务器的镜像部署,可仿照上述思 路和过程,实现优化部署. 5结论 为最大化发挥DNS镜像对互联网性能的提升,本文基于 DNS工作机制,以DNS根镜像的实测数据为例,提出部署镜像 服务器的算法和性能指标.但这种部署,应随着网络发展和变 化,周期性地进行性能重新测试和部署地点调整.例如,未来国 内网络发生链路扩展和拓扑变化,DNS性能指标发生变化,则 根镜像的部署地点也必然需要进行相应调整. 参考文献: 『11DNSRFC系列:RFC1034,1035,l123,1886,1995,1996,2136,2181, 2308,2535,26712782[$1. [2]RFC1546:HostAnycastingseilice[S].1993. [3]RFC3258:Distributingauthoritativenameserversviashareduni— castaddresses[S].2002. [4]AlbitzP,CricketL.DNSandbind[M].4thed.is.I.]:O'Reilly,2001. [5]贾俊平,何晓群,金勇进.统计学[M].3版.北京:科学出版社,2002. [6]何晓群,刘文卿.应用回归分析[M]E京:中国人民大学出版社,2001. [7]张文彤.SPSS统计分析高级教程[M].北京:高等教育出版社,2004.