CN107682273A - 支持Anycast的DNSSEC部署方法及系统 - Google Patents
支持Anycast的DNSSEC部署方法及系统 Download PDFInfo
- Publication number
- CN107682273A CN107682273A CN201710985724.XA CN201710985724A CN107682273A CN 107682273 A CN107682273 A CN 107682273A CN 201710985724 A CN201710985724 A CN 201710985724A CN 107682273 A CN107682273 A CN 107682273A
- Authority
- CN
- China
- Prior art keywords
- dns
- address
- service
- server
- dnssec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/56—Routing software
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/30—Managing network names, e.g. use of aliases or nicknames
- H04L61/3015—Name registration, generation or assignment
- H04L61/3025—Domain name generation or assignment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5069—Address allocation for group communication, multicast communication or broadcast communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种支持Anycast的DNSSEC部署的方法,包括:DNS服务器将DNS服务地址作为loopback地址配置到本地,广播到DNS三层交换机;DNS服务器运行动态路由软件,与DNS三层交换机运行在一个OSPF Area 0内;节点内DNS三层交换机与上联的城域网汇聚路由器运行EBGP路由协议,将服务地址广播到上一级网络。本公开采用了Anycast技术,能有效地解决DNS部署中在组网架构上的缺陷,而DNSSEC解决了DNS的欺骗和缓存污染问题,实现了安全的无污染的域名解析。
Description
技术领域
本公开涉及DNS安全扩展(DNS Security Extensions,即DNSSEC)领域,尤其涉及一种支持Anycast的DNSSEC部署方法及系统。
背景技术
域名系统(Domain Name System,DNS)像互联网的其他协议或系统一样,可以在一个可信的、纯净的环境里运行得很好,但是今天的互联网环境异常复杂,充斥着各种欺诈、攻击,DNS协议的脆弱性也就浮出水面。对DNS的攻击可能导致互联网大面积的瘫痪,这种事件在国内外都屡见不鲜。并且早期各大运营商业务网络,主要是为满足传统语音业务的需求,对于数据业务的需求相对较小,技术也相对不成熟,所以早期各大运用商对于DNS系统的网络部署,一般采用四层交换机技术建立服务器集群,提供集中式的域名解析服务。运用商在两个节点建设两套互备的DNS系统,每套系统都采用四层交换机技术建立DNS服务器集群,两套DNS分别采用不同的DNS服务IP A和IP B,通过告知客户主备DNS服务器地址的IP来实现冗灾。每个节点DNS系统采用防火墙/流量清洗、四层交换机、DNS服务器群的三层架构,防火墙用来保护整个系统的安全防止黑客的攻击;四层交换机用来将用户DNS请求平均分配到集群内每台DNS服务器,完成流量负载均衡作用;DNS服务器用来完成最终的地址解析。该部署方式的特点是:建设强大的服务节点,依靠系统的健壮性保障服务的可靠性,用系统的高可用性弥补体系设计上的不足。但随着社会经济的快速发展,运营商数据业务得到了爆发式的增长,作为数据业务的核心网元DNS的重要性越来越凸显,伴随着近年来不断发生的针对DNS系统的网络攻击行为,DNS网络部署方式以及DNS技术的缺陷日益明显。
公开内容
(一)要解决的技术问题
本公开提供了一种支持Anycast的DNSSEC部署方法及系统,以至少部分解决以上所提出的技术问题。
(二)技术方案
根据本公开的一个方面,提供了一种支持Anycast的DNSSEC部署的方法,包括:DNS服务器将DNS服务地址作为loopback地址配置到本地,广播到DNS三层交换机;DNS服务器运行动态路由软件,与DNS三层交换机运行在一个OSPF Area 0内;节点内DNS三层交换机与上联的城域网汇聚路由器运行EBGP路由协议,将服务地址广播到上一级网络。
在本公开一些实施例中,在DNS服务器上部署DNSSEC,包括:建设.权威DNS服务器,对权威域的资源记录进行签名,保护服务器不被域名欺骗攻击;配置安全的域名解析服务器,使用该服务器进行数字签名的验证工作,防止用户被DNS欺骗攻击。
在本公开一些实施例中,所述部署DNSSEC机制包括配置安全的域名解析服务器,部署test.net.安全域名解析服务器、net.安全域名解析服务器。
在本公开一些实施例中,DNS服务器运行还包括:每台DNS服务器对外宣告DNS服务地址及管理地址,实现节点内的DNS服务互备。
在本公开一些实施例中,将服务地址广播到上一级网络还包括:通过与DNS三层交换机上联的城域网汇聚路由器将服务地址广播到骨干网汇聚路由器,骨干网汇聚路由器通过重分布,将服务地址广播整个骨干网内,对全网用户提供DNS服务。
根据本公开的另一个方面,提供了一种支持Anycast的DNSSEC部署的系统,包括:DNS服务器,用于运行动态路由软件,将DNS服务地址作为loopback地址配置到本地,广播到DNS三层交换机;DNS三层交换机,与DNS服务器运行在一个OSPF Area 0内;城域网汇聚路由器,与节点内DNS三层交换机连接,用于运行EBGP路由协议。
在本公开一些实施例中,所述DNS服务器上部署DNSSEC,建设对权威域的资源记录进行签名的.cn的子域edu.cn的权威DNS服务器,配置行数字签名的验证工作安全的域名解析服务器。
在本公开一些实施例中,所述的系统还包括:多个DNS服务器,每台所述DNS服务器对外宣告DNS服务地址及管理地址,实现节点内的DNS服务互备。
在本公开一些实施例中,还包括:骨干网汇聚路由器,连接至城域网汇聚路由器,通过城域网汇聚路由器将服务地址广播到骨干网汇聚路由器,用于通过重分布将服务地址广播整个骨干网内,对全网用户提供DNS服务。
(三)有益效果
从上述技术方案可以看出,本公开支持Anycast的DNSSEC部署方法及系统,至少具有以下有益效果:
(1)由于采用了Anycast技术,其减弱了针对DNS系统的网络攻击行为的影响,能有效地解决DNS部署中在组网架构上的缺陷;
(2)通过DNSSEC解决了DNS的欺骗和缓存污染问题,实现了安全的无污染的域名解析。
附图说明
图1为本公开实施例支持Anycast的DNSSEC部署方法流程图。
图2为本公开实施例支持Anycast的DNSSEC机制。
图3为本公开实施例支持Anycast的DNSSEC部署的DNS系统结构示意图。
具体实施方式
本公开提供了一种支持Anycast的DNSSEC部署方法,采用Anycast技术能有效地解决DNS部署中在组网架构上的缺陷,而DNS安全扩展(DNS Security Extension,即DNSSEC)解决了DNS的欺骗和缓存污染问题,实现了安全的无污染的域名解析。
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
本公开某些实施例于后方将参照所附附图做更全面性地描述,其中一些但并非全部的实施例将被示出。实际上,本公开的各种实施例可以许多不同形式实现,而不应被解释为限于此数所阐述的实施例;相对地,提供这些实施例使得本公开满足适用的法律要求。
在本公开的第一个示例性实施例中,提供了一种支持Anycast的DNSSEC部署方法。图1为本公开第一实施例支持Anycast的DNSSEC部署方法流程图。如图1所示,本公开支持Anycast的DNSSEC部署方法包括:
DNS服务器将DNS服务地址作为loopback地址配置到本地,广播到DNS三层交换机,在所述DNS服务器上部署DNSSEC;
DNS服务器运行动态路由软件,与三层交换机运行在一个OSPF Area0内,每台DNS服务器对外宣告DNS服务地址及管理地址,实现节点内的DNS服务互备;
节点内DNS三层交换机与上联的城域网汇聚路由器运行EBGP路由协议,将服务地址广播到骨干网汇聚路由器,骨干网汇聚路由器通过重分布,将服务地址广播整个骨干网内,对全网用户提供DNS服务。
上述部署方式中采用Anycast技术有效地解决了DNS部署中在组网架构上的缺陷,而为了解决了DNS的欺骗和缓存污染问题,进一步在DNS服务器上部署DNSSEC,实现安全无污染的域名解析。所述DNSSEC部署方案的流程如下:
建设.cn的子域edu.cn的权威DNS服务器,对权威域的资源记录进行签名,保护服务器不被域名欺骗攻击。
配置安全的域名解析服务器(Resolver),该服务器可以保护使用它的用户,防止被DNS欺骗攻击。该步骤只涉及数字签名的验证工作。
其中,图2为支持Anycast的DNSSEC机制,如图2所示,所述部署DNSSEC机制包括:配置安全的域名解析服务器,部署test.net.安全域名解析服务器、net.安全域名解析服务器。
至此,本公开第一实施例支持Anycast的DNSSEC部署方法介绍完毕。
在本公开的第二个示例性实施例中,提供了一种支持Anycast的DNSSEC部署的系统,图3为本公开实施例支持Anycast的DNSSEC部署的系统示意图。如图3所示,该系统包括:
DNS服务器,用于将DNS服务地址作为loopback地址配置到本地,广播到DNS三层交换机。为了解决了DNS的欺骗和缓存污染问题,进一步在DNS服务器上部署DNSSEC,实现安全无污染的域名解析。所述DNS服务器运行动态路由软件,每台DNS服务器对外宣告DNS服务地址及管理地址,实现节点内的DNS服务互备;
DNS三层交换机,与DNS服务器运行在一个OSPF Area 0内;
城域网汇聚路由器,与节点内DNS三层交换机连接,运行EBGP路由协议,用于将服务地址广播到骨干网汇聚路由器;如图3所示,城域网汇聚路由器连接到IP承载网络(IPBEAR NETWORK)表示的骨干网。
所述支持Anycast的DNSSEC部署的DNS系统还包括:
骨干网汇聚路由器,连接城域网汇聚路由器,用于通过重分布将服务地址广播整个骨干网内,对全网用户提供DNS服务。
为了达到简要说明的目的,上述实施例一中任何可作相同应用的技术特征叙述皆并于此,无需再重复相同叙述。
至此,本公开第二实施例支持Anycast的DNSSEC部署的系统介绍完毕。
至此,已经结合附图对本公开实施例进行了详细描述。需要说明的是,在附图或说明书正文中,未绘示或描述的实现方式,均为所属技术领域中普通技术人员所知的形式,并未进行详细说明。此外,上述对各元件和方法的定义并不仅限于实施例中提到的各种具体结构、形状或方式,本领域普通技术人员可对其进行简单地更改或替换。
此外,除非特别描述或必须依序发生的步骤,上述步骤的顺序并无限制于以上所列,且可根据所需设计而变化或重新安排。并且上述实施例可基于设计及可靠度的考虑,彼此混合搭配使用或与其他实施例混合搭配使用,即不同实施例中的技术特征可以自由组合形成更多的实施例。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本公开也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本公开的内容,并且上面对特定语言所做的描述是为了披露本公开的最佳实施方式。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。并且,在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。
类似地,应当理解,为了精简本公开并帮助理解各个公开方面中的一个或多个,在上面对本公开的示例性实施例的描述中,本公开的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本公开要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,公开方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本公开的单独实施例。
以上所述的具体实施例,对本公开的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本公开的具体实施例而已,并不用于限制本公开,凡在本公开的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (9)
1.一种支持Anycast的DNSSEC部署的方法,包括:
DNS服务器将DNS服务地址作为loopback地址配置到本地,广播到DNS三层交换机;
DNS服务器运行动态路由软件,与DNS三层交换机运行在一个OSPF Area 0内;
节点内DNS三层交换机与上联的城域网汇聚路由器运行EBGP路由协议,将服务地址广播到上一级网络。
2.根据权利要求1所述的方法,还包括在DNS服务器上部署DNSSEC,包括:
建设权威DNS服务器,对权威域的资源记录进行签名,保护服务器不被域名欺骗攻击;
配置安全的域名解析服务器,使用该服务器进行数字签名的验证工作,防止用户被DNS欺骗攻击。
3.根据权利要求2所述的方法,所述部署DNSSEC机制包括配置安全的域名解析服务器,部署test.net.安全域名解析服务器、net.安全域名解析服务器。
4.根据权利要求3所述的方法,DNS服务器运行还包括:
每台DNS服务器对外宣告DNS服务地址及管理地址,实现节点内的DNS服务互备。
5.根据权利要求4所述的方法,将服务地址广播到上一级网络还包括:
通过与DNS三层交换机上联的城域网汇聚路由器将服务地址广播到骨干网汇聚路由器,骨干网汇聚路由器通过重分布,将服务地址广播整个骨干网内,对全网用户提供DNS服务。
6.一种支持Anycast的DNSSEC部署的系统,包括:
DNS服务器,用于运行动态路由软件,将DNS服务地址作为loopback地址配置到本地,广播到DNS三层交换机;
DNS三层交换机,与DNS服务器运行在一个OSPF Area 0内;
城域网汇聚路由器,与节点内DNS三层交换机连接,用于运行EBGP路由协议。
7.根据权利要求6所述的系统,其中:
所述DNS服务器上部署DNSSEC,建设对权威域的资源记录进行签名的权威DNS服务器,配置行数字签名的验证工作安全的域名解析服务器。
8.根据权利要求7所述的系统,还包括:
多个DNS服务器,每台所述DNS服务器对外宣告DNS服务地址及管理地址,实现节点内的DNS服务互备。
9.根据权利要求7所述的系统,还包括:
骨干网汇聚路由器,连接至城域网汇聚路由器,通过城域网汇聚路由器将服务地址广播到骨干网汇聚路由器,用于通过重分布将服务地址广播到整个骨干网内,对全网用户提供DNS服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710985724.XA CN107682273A (zh) | 2017-10-20 | 2017-10-20 | 支持Anycast的DNSSEC部署方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710985724.XA CN107682273A (zh) | 2017-10-20 | 2017-10-20 | 支持Anycast的DNSSEC部署方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107682273A true CN107682273A (zh) | 2018-02-09 |
Family
ID=61141734
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710985724.XA Pending CN107682273A (zh) | 2017-10-20 | 2017-10-20 | 支持Anycast的DNSSEC部署方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107682273A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110995884A (zh) * | 2019-12-13 | 2020-04-10 | 成都知道创宇信息技术有限公司 | 基于Anycast架构DNS进行流量清洗及传输方法 |
| CN114553828A (zh) * | 2022-02-24 | 2022-05-27 | 中国人民解放军国防科技大学 | 一种dns运维管理方法、装置、设备及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103269371A (zh) * | 2013-05-23 | 2013-08-28 | 中国科学院计算机网络信息中心 | 一种基于Anycast的物联网DS查询方法及系统 |
| CN106031133A (zh) * | 2014-01-27 | 2016-10-12 | 谷歌公司 | 基于任播的广域分布式映射和负载平衡系统 |
-
2017
- 2017-10-20 CN CN201710985724.XA patent/CN107682273A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103269371A (zh) * | 2013-05-23 | 2013-08-28 | 中国科学院计算机网络信息中心 | 一种基于Anycast的物联网DS查询方法及系统 |
| CN106031133A (zh) * | 2014-01-27 | 2016-10-12 | 谷歌公司 | 基于任播的广域分布式映射和负载平衡系统 |
Non-Patent Citations (2)
| Title |
|---|
| 上海牙木通讯技术有限公司: "DNS-over-IP-Anycast技术说明书", 《百度文库》 * |
| 段海新: "DNSSEC原理、配置与部署", 《中国教育网络》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110995884A (zh) * | 2019-12-13 | 2020-04-10 | 成都知道创宇信息技术有限公司 | 基于Anycast架构DNS进行流量清洗及传输方法 |
| CN114553828A (zh) * | 2022-02-24 | 2022-05-27 | 中国人民解放军国防科技大学 | 一种dns运维管理方法、装置、设备及介质 |
| CN114553828B (zh) * | 2022-02-24 | 2023-01-31 | 中国人民解放军国防科技大学 | 一种dns运维管理方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Demchak et al. | China’s maxim–leave no access point unexploited: The hidden story of china telecom’s bgp hijacking | |
| CN113950816A (zh) | 使用边车代理机构提供多云微服务网关的系统和方法 | |
| KR101177203B1 (ko) | 애니캐스트를 통한 맵리스 글로벌 트래픽 로드 밸런싱 | |
| US20160014083A1 (en) | Intelligent sorting for n-way secure split tunnel | |
| US7782877B2 (en) | Network-based dedicated backup service | |
| CN102769529A (zh) | Dnssec签名服务器 | |
| US11252126B1 (en) | Domain name resolution in environment with interconnected virtual private clouds | |
| JP2007129702A (ja) | Vpnトポロジの準リアルタイム更新を発見及び提供する方法及びシステム | |
| CN107360270B (zh) | 一种dns解析的方法及装置 | |
| Hoefling et al. | A survey of mapping systems for locator/identifier split internet routing | |
| Beck et al. | Monitoring the neighbor discovery protocol | |
| CN104798347A (zh) | 分布式通信系统中的局部分区 | |
| CN107659930A (zh) | 一种ap接入控制方法和装置 | |
| Sommese et al. | Characterization of anycast adoption in the DNS authoritative infrastructure | |
| CN107682273A (zh) | 支持Anycast的DNSSEC部署方法及系统 | |
| Katsaros et al. | On the inter-domain scalability of route-by-name information-centric network architectures | |
| US20150012664A1 (en) | Routing data based on a naming service | |
| Kumar et al. | Enhancing security management at software-defined exchange points | |
| US20130254425A1 (en) | Dns forwarder for multi-core platforms | |
| CN106790502B (zh) | 一种基于NAT64前缀的IPv4终端、IPv6服务互通业务的负载均衡系统 | |
| US7711780B1 (en) | Method for distributed end-to-end dynamic horizontal scalability | |
| Lee | Enhanced IP services for cisco networks | |
| Grasa et al. | Seamless network renumbering in rina: Automate address changes without breaking flows! | |
| JP4827868B2 (ja) | ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法 | |
| JP2011019007A (ja) | ネットワークアドレス重複回避方法、装置、システムおよびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180209 |