飞象网讯 “第二届中国域名发展大会”于2017年1月10日在北京新世界酒店二层宴会厅举办。飞象网作为直播媒体将对会议做全程报道。直播内容:
中国电信集团网络安全产品运营中心CEO兼首席架构师 刘紫千
刘紫千:大家好,我是来自中国电信集团公司,目前我所处的部门是网络安全产品运营中心,我们之前可能做了一些将中国电信主干网的能力与开放体系类创业也好怎么样,我们把主干网的网云滴(音),云滴(音)最大的基础运营商将能力开放把技术能力和网络资源能力价值化我们认为是一个非常积极和有益的探索,所以今天我可能要借这宝贵的15分钟跟大家介绍一下我们在整个的服务的价值化探索当中,有一些东西是我们绕不开的,也就是说不管的我国服务形态,我们的产品能力是怎么样的,可能我们的底层架构我们的价值体系到底朝什么样方向去走,支撑这么大体量的客户,这是我们一直在探索的,也是跟各位报备一下,我的片子是以英文来组织,因为之前工信部有一个涉外的交流,所以当时也是根据那要求做了一些全是英文的展示,我今天的主要介绍还是会用中文,根据大会的要求,我也会在片子里面做了一些调整希望会对大家有启发。
基本上我会介绍中国电信DNS架构的演进以及在安全防护DNS做的一些有益的探索。首先来看一下中国电信现在整个的网络规模,大家知道DNS作为重要的指路人说,不管从网络规模和用量来说都是最大的基础网络已经是世界上的第一。我们从网络规模上来看,我们的移动用户数这是截止到10月底的数字,这是公开的,我们大概有2.14亿移动用户,其中4G的用户有1.13亿,我们的固网的宽带用户数是1.29亿,其中我们的光纤,中国政府在推一个宽带中国的战略,运营商包括电信、联通在内都积极的推进小区宽带光进同退,其实就是说大家可以用光纤提供50兆、100兆的接口速率,我相信今年年底这数字就到1亿的光纤的接入用户。从上面是用户的规模,下面是网络能力。网络能力我这里列了几个带宽,就是首先我们在国内,中国电信网络,整个网络大概有85T的带宽的储备,我们国际的出口,可能很多人定义不太一样,但是其实中国不管是哪一家运营商,基本上我们的国际出口会控制在大概国际出口,北京、上海和广州某个地方。这带宽其实也就接近一个T左右,我们在真正的最外延的,就是我们真正海外的点跟海外运营商北美、亚太的其他一些运营商包括非洲,我们互联的带宽大概是6.2个T,当然国内还有其他的运营商比如说移动、联通、铁通等等,这互联带宽大概是2.7个T的带宽,这是目前网络的规模。
我们DNS的规模到底是什么样,我看了今天的主题,大家介绍的时候会讲我的权威,我的权威体系或者我的授权体系大概是什么样,其实做运营商来讲,我们运营的可能是目前国内最大的一套,当然这称呼大概是五花八门,其实我更愿意是递规节点。但是不管怎么样,不管你是移动用户你是固定用户,你的通过中国电信的网络不管它是4GWIFI还是家里的宽带你接入以后,我们的接入设备会给你分配两个一主一备两个DNSIP服务地址,这两个IP服务地址就是所谓的面向用户的第一个服务的IP。我们原来的模式是31个省每一个省的服务IP都不一样,我们的建设模式是按照省集中,这里我说的Province—Based,基本上有两个或者两个以上对应的两个或者多个服务节点,整体上来看全国大概有70套以上的服务集群,然后会有多达150个服务IP,不管你是有意识还是无意识,当你从北京到上海,或者从北京去天津、河北,细心的朋友会关注到,其实运营商给你分配的DNS服务IP是不一样的。这里我永乐一个Evolving,其实这架构是会变的,一会再说怎么变。
上面是节点的规模,下面的流量峰值速率每秒最高到了13个,1300万QPS,是我们目前的峰值速率,大家可能做权威运营的或者说你做顶级运营的朋友们,大家去想一想自己的服务器集群,不管你是(英文)技术怎么样你去看看QPS峰值我相信远远小于这个量级。可以就是说我们从运营商角度,我们的缓存和递规节点最直接的去感受用户请求、DNS请求量的第一道墙。
下面是我们1300万QPS,其实你转换成流量来讲其实并不是很大,当然Request比Response要大。我们来看一下我们怎么做架构演进?这里面简单回顾一下,可能有点班门弄斧,但是整体上来讲,其实很多朋友对DNS到底怎么样解析过程,到底是怎么样其实并不是很清楚,而且有一些概念,可能有一些混淆,所以我这里简单的介绍一下到底DNS整个的过程是怎么样。首先蓝色的小人代表用户,用户发起DNS请求,会到电信我们刚才讲的缓存和递规服务节点,或者到第三方的服务节点,比如说谷歌四个8等等这一些请求过来我会在缓存里面去查,你问的域名记录有没有,如果没有的话我们向外发起一个递规查询,会到最左边的整个授权体系,从ROOT到TLD到具体的企业NS来去所有的递规查询去查最后的权威服务器在哪里。
上面是我们原来的做法但是下面这里讲的电信内部怎么做架构调整,我们在下面这一张图我们实际上做的和递规功能是不同,不管是功能还是软件硬件的服务器上都是都套。现在把缓存和递规进行了物理的隔离或者叫分割,缓存是有专门的服务器来做,后面带着一大堆的递规服务器从第1台到第N台。
我们为什么要做这一件事情,其实在2009年的时候,在北京DNS(英文)我在哪上面有一个发言,其实在那之前我们刚刚我们在5月19号国内DNS体系遭受了很大的冲击,实际上就是因为暴风影音,表面上519暴风影音的根本事件,其实根本的原因是那台NS服务器托管在了(英文)那机房其他的基础设施一个网游的服务器被攻击导致整个机房带宽拥塞,变成了暴风影音NS无法正确的回答所有运营商发过来的递规请求,运营商会累计越来越多的递规请求,所以最后导致(英文)那个参数一般默认一千或者是五千,那个马上占满,整个服务器性能下降会宕机。其实整个服务器的带宽还OK,我的CPU进程还OK。因为现在关于使用DNS攻击在缓存里没有应答,我去攻击你的模式,现在在互联网每天都在发生当我把这种物理进行了分割以后,我可以很有效的保护我需要保护那部分物理服务器的资源。
这里我也强调了一下,就是我们认为缓存和递规在整个DNS面向用户的第一侧,其实他们的缓存上高性能、它的高并发,在递规上可能你首先要满足的是我要CDN友好,现在越来越多的互联网公司会根据你的递规IP来做服务的就近选择,所以递规次元一定要足够的物理分散,在网络上逻辑上或者实际的地理上都要足够的分散。当然还有一点就是DNS架构内部是不应该要有所谓的四层负载均衡的设备,当时519我们很多负载均衡的设备,也都成为了性能的瓶颈。
就是你去中国电信不同的省,其实国内运营商都差不多,你去国内的省会看到不同的IP,现在我们正在做的一件事情就是你去不同的省特别在北方,你有可能用到或者是看到4个118.135或者是4个118,这是我们全网做的服务的地址,也就是说希望在2017年底中国电信所有的用户,不管是通过移动接入还是固定互联网接入,我们都希望你的服务IP就这一个,实际上我们后台递规我们还是要满足所谓的CDN友好等等的那些递规的约束条件都会满足,但是在前面我们给用户服务侧推的其实是同样的IP一些大的集群。接下来讲一下有可能面临,或者正在面临什么样的安全风险和威胁。首先看一下还是刚才那张图,当用户发起DNS请求的说话,或者它的一个请求整个数据流会经过我的哪一些系统。这里黄颜色心形标出来,有可能遭受到或者说事实上已经遭受过攻击或者安全风险威胁的一些关键的节点。
比如说第一个整个的授权体系不管你跟TLD还是运营商的DNS设备,虽然他们的角色不一样,但是他们都会成为实际攻击对象。我前面一位演讲嘉宾是讲到了2013,因为现在互联网都能查得到8月25.CN被攻击了,当时使用.CN所有的域名和网站都打不开,不是因为你的其他服务器被攻击而是你的.CNNS被攻击了所有的域名查询解析没有IP,没有IP后面的流量就没有了。还包括2016年10月21号DYN被攻击导致北美很多的(英文)还有一些CIN等等域名解析失效,包括讲的暴风也一样。
第二个在图的左下角,我们讲的是有可能你的根区文件,或者你的权威记录的文件会被篡改,这个被篡改呢,可能各位做NS运营的人服务提供商也好,或者你是系统管理员也好,可能你会有很多很多的案例切肤之痛,我自己直接经历过就有国内很多家大的互联网企业,比如说最近又发生了谷歌NS也被篡改了,一个是你被篡改,另外一个就是你做运维或者业务开放,你可能因为配置误操作多敲了一个1,或者把.11IP看成.11等等的造成NS配置完了正好我有全部的同步到我运营商以及互联网其他的公共的(英文)上面,除非你的TTL超时,否则你这错误的解析或者背景篡改的解析会长久的停留在我们的缓存服务器,用户的后续查询都是不对的。
当然还有一个就是我们说的缓存投毒也好缓存污染也好,这一件事情事实上也曾经发生过,但是目前来讲要做这一件事情的成本确实很难,从我们的角度来看,可能除非是一些极特殊的场景下,那运营商的缓存被大范围的攻击几乎没有,当然这一件事情曾经发生过。2014年中国计算机网络年会我记得在汕头当时也有一个案例,除了那个之外,其他的事件在缓存投毒相对来讲是比较少的。还有一些就是我想借这机会跟大家讲一讲,很多朋友来说,运营商有接触我的DNS,说我的DNS被篡改等等,其实大家想一想从你的手持终端,从你的手机服务器那边,到所谓的权威DNS服务,你要查一个DNS请求,可能你经历了多少跳的网络,在你最近的最后一公里的位置,其实那地方真的是鱼龙混杂,不管是小区宽带运营商,或者你接入以为是你家的WIFI不是你家的WIFI等等的现象,在那个上面你的IP都会被篡改。
之前有一个论坛我也讲过一个案例,另外伪造的请求,CIFF攻击模式,它可能你通过点击某个互联网网站,它可以去从你的笔记本去直接登陆你家宽带路由器上,用默认的用户名口令去修改你自己的家用宽带路由器DHCP的位置。所以等等这一些最后的现象我的DNS被劫持等等,但是我想比较负责任的告诉大家,在我们管理的中国电信官方的31个省的DNS上面,我们不可能也完全没必要所谓以企业,或者其他的运营IP,如果真正发生这一件事,如果我们非常欢迎来联系中国电信,我们第一时间来处理,事实上基于这业务处理,我们也做一了款服务产品,域名无忧,就是前置IP或者通过微信的操作界面你可以直接去刷新,你所负责的企业某个域名,当然这域名今天会有一些备案的审核。那刷新的过程其实就是我们会强制的RND(英文)缓存清空一次,只要你(英文)记录上是对的缓解的就是对,这功能其实现在也得到了很多很多的云服务提供商和大的互联网公司反应,但是一方面也作为网络环境,另一方面是维护工具,万一真正的手潮错配的配置我可以通过这功能快速的调整和引导。
总结一下就是这一些小星星一旦出了运用,本来用户想得到4个1的IP,他要不得到4个L的IP。最后一张片子就是讲一下基于这一些安全的风险,我们会有哪一些方面开展一些具体的举措,比如说大家提到我们在中国电信给用户侧的,有中国电信,如果大家用电信宽带怎么样光锚什么,我们有用户名的口打上一个标签,贴在你的宽带路由器的背面,那个标签其实每一台设备是随机,基本上物理接近上你就能看得见,什么一二三四五六默认密码给你,去防止所谓的伪造、请求。另外其实也是在部里的统一领导下,我们也是从519之后我们也是多方呼吁,我们希望说国内的互联网软件厂商,多多的去看一下自己的软件应用有没有过度的占用DNS请求资源,特别是递规请求。
第二点就是我们会在DNS节点上层的网络,我们会做一些有必要的措施,包括去做限速、包括结合骨干网的进缘的防护等等,提供足够的带宽。在我们自身的DNS节点,我们缓存和递规整个的架构重构,同时又一些荣誉性的模糊,在整个DNSOS系统上面我们提供各种各样的应急措施。这里我举了几个例子,比如说刚才讲的(英文)还有我们缓存的特殊的拍照,在紧急的情况下把之前认为正确的解析重新到我们的缓存里。还有一些就是我们在流量上面,我们会去时时分析,可能一次的递规分析,对这一些应该是2014年12月10日索尼的(英文)攻击打游戏的所谓域名,关于这递规的域名量是非常非常高,所以在这系统上就可以识别出来。
最后关于权威关于授权的服务器上,我们也是建议在有条件下大家可以去尝试(英文),你去管理到你的管理员的帐号别被涉公,涉公冒用你的帐号改你的记录,包括标行就是跟DNS总工,原来一直在沟通,包括对.CN我们也希望就是说建议在政府的主导上我们去建立国内重要的基础运营商在给国内重要的TLD查询通道我们希望有一些隔离的通道,不要走普通公众的,对中国电信来讲70%的流量都会流进中国电信网络,不管产生于哪都会流进中国电信网络,我们在希望保护绝大多数网民的针对特定的TLD,比如说.CN,或者还有其他的国内.信息,其他的通用局域的查询在异常的情况下我们去优先的服务优先占用网络通道,去提供服务可持续性。
基本上我的报告就这到里,也欢迎大家多交流谢谢。
