CN114124832A - Dns系统业务处理方法及装置 - Google Patents
Dns系统业务处理方法及装置 Download PDFInfo
- Publication number
- CN114124832A CN114124832A CN202010895431.4A CN202010895431A CN114124832A CN 114124832 A CN114124832 A CN 114124832A CN 202010895431 A CN202010895431 A CN 202010895431A CN 114124832 A CN114124832 A CN 114124832A
- Authority
- CN
- China
- Prior art keywords
- dns
- service
- traffic
- domain name
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 17
- 238000000034 method Methods 0.000 claims abstract description 46
- 238000012545 processing Methods 0.000 claims abstract description 46
- 230000008569 process Effects 0.000 claims abstract description 23
- 230000006870 function Effects 0.000 claims abstract description 15
- 238000004891 communication Methods 0.000 claims description 20
- 238000004458 analytical method Methods 0.000 claims description 12
- 238000003860 storage Methods 0.000 claims description 6
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 238000002372 labelling Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 17
- 238000005516 engineering process Methods 0.000 description 12
- 238000011161 development Methods 0.000 description 8
- 230000008901 benefit Effects 0.000 description 5
- 238000000926 separation method Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000004069 differentiation Effects 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000010205 computational analysis Methods 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2408—Traffic characterised by specific attributes, e.g. priority or QoS for supporting different services, e.g. a differentiated services [DiffServ] type of service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2416—Real-time traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种DNS系统业务处理方法及装置,其中,方法包括:获取DNS流量,并对DNS流量进行标记处理;利用DNS流量调度系统将标记后的DNS流量调度至对应的DNS业务系统,以供DNS业务系统对DNS流量进行处理;其中,DNS业务系统根据业务功能预先分类得到;将DNS业务系统对DNS流量的处理结果返回给对应的请求用户。DNS系统中包含多个DNS业务系统,将DNS系统资源按照业务划分,可以对DNS流量提供差异化服务能力,在对DNS流量进行调度时,适应不同DNS流量对应的业务需求,使不同DNS流量可以获取到各自对应的不同的服务处理标准。
Description
技术领域
本发明涉及域名系统技术领域,具体涉及一种DNS系统业务处理方法及装置。
背景技术
域名系统(Domain Name System,简称DNS)是整个互联网服务的基础系统之一,负责将人们访问的互联网域名转换为IP地址,这一转换的过程叫做域名解析,DNS又称为域名解析系统,相当于网络访问的指路牌。DNS承载着所有的互联网访问和智能调度,即DNS是互联网基础服务的调度员,对互联网访问起着举足轻重的作用。自DNS服务协议建立以来,越来越多的业务依赖于DNS服务。随着互联网技术的发展,尤其是IPv6(Internet ProtocolVersion 6,互联网协议第6版)的普及,DNS服务显得更为重要。如IoT(Internet ofThings,物联网)的发展使其也成为运营商关注的业务重点。从运营商业务发展的历程不难看出,越来越多的业务都需要DNS服务的支撑。
目前运营商DNS系统采用缓存、递归功能分离架构,如图1所示,DNS1作为缓存服务器,DNS2作为递归服务器。上网用户发出的域名解析请求被转发到缓存服务器,当用户请求的域名在缓存服务器中找不到解析结果,即没有相应缓存时,会将该解析请求转发到递归服务器,由递归服务器向DNS权威服务器进行外部递归请求,并将递归结果返回缓存服务器,再由缓存服务器返回用户,并在本地缓存一份。缓存服务器可以快速响应用户请求,减小递归服务器的业务压力。递归服务器向外部进行递归的流程包括:递归服务器向一个根域名服务器查询;根域名服务器返回递归服务器下一次应查询的顶级域名服务器的IP地址;递归服务器向顶级域名服务器进行查询;顶级域名服务器返回递归服务器,下一步应查询的二级服务器的IP地址;递归服务器向二级域名服务器进行查询,步骤与查询顶级域名服务器一样;递归服务器通过不断向三级、四级...服务器递归查询,直至查询到域名所在区域的权威服务器返回最终的IP地址记录。从以上递归服务器向外部进行递归的流程可以看出递归消耗大量的服务时间,同时也是DNS业务安全的关键点。从域名维度来看,用户请求的域名必须经过递归才能得到确定的结果,这里是分析、判断DNS业务的最佳点,业务区分域名服务的最佳点;从性能角度看,递归这里消耗了大量计算能力,是系统性能的一个瓶颈。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的DNS系统业务处理方法及装置。
根据本发明的一个方面,提供了一种DNS系统业务处理方法,其包括:
获取DNS流量,并对DNS流量进行标记处理;
利用DNS流量调度系统将标记后的DNS流量调度至对应的DNS业务系统,以供DNS业务系统对DNS流量进行处理;其中,DNS业务系统根据业务功能预先分类得到;
将DNS业务系统对DNS流量的处理结果返回给对应的请求用户。
根据本发明的另一方面,提供了一种DNS系统,其包括:
DNS流量调度系统用于:获取DNS流量,并对DNS流量进行标记处理;将标记后的DNS流量调度至对应的DNS业务系统;
DNS业务系统用于:对DNS流量进行处理,将对DNS流量的处理结果返回给对应的请求用户。
根据本发明的又一方面,提供了一种电子设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述DNS系统业务处理方法对应的操作。
根据本发明的再一方面,提供了一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如上述DNS系统业务处理方法对应的操作。
根据本发明的DNS系统业务处理方法及装置,获取DNS流量,并对DNS流量进行标记处理;利用DNS流量调度系统将标记后的DNS流量调度至对应的DNS业务系统,以供DNS业务系统对DNS流量进行处理;其中,DNS业务系统根据业务功能预先分类得到;将DNS业务系统对DNS流量的处理结果返回给对应的请求用户。DNS系统中包含多个DNS业务系统,将DNS系统资源按照业务划分,可以对DNS流量提供差异化服务能力,在对DNS流量进行调度时,适应不同DNS流量对应的业务需求,使不同DNS流量可以获取到各自对应的不同的服务处理标准。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了DNS系统现有架构示意图;
图2示出了根据本发明一个实施例的DNS系统业务处理方法的流程图;
图3示出了运营商网络结构示意图;
图4示出了运营商物理网路部署示意图;
图5示出了城域网架构演进示意图;
图6示出了城域网演进目标架构示意图;
图7示出了网络切片架构示意图;
图8示出了分层分级数据中心框架示意图;
图9示出了DNS系统分层架构示意图;
图10示出了DNS流量调度系统下各个DNS业务系统数据处理流程示意图;
图11示出了DNS流量处理流程示意图;
图12示出了根据本发明一个实施例的DNS系统的结构示意图;
图13示出了根据本发明一个实施例的一种电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图2示出了根据本发明一个实施例的DNS系统业务处理方法的流程图。如图2所示,DNS系统业务处理方法具体包括如下步骤:
步骤S201,获取DNS流量,并对DNS流量进行标记处理。
运营商在实际运营时,运营商的网络按照运营及地理分布通常分为骨干网和城域网,城域网在整体架构上分为二个层面:IP城域骨干网(可以提供多业务分级别有保障承载)和IP宽带接入网(可以提供业务细分能力和多业务接入能力)。从物理网络来看,需要经过模块局、端局、中心局不同的POP机房设备为用户提供服务。其中,图3为现有运营商网络结构示意图,图4为现有运营商物理网路部署示意图。运营商对于移动服务网、固定宽度网以及未来的IoT(Internet of Things,物联网)等接入用户都离不开DNS网络核心服务,通常采用集中式部署方案,在IP城域骨干网中心局POP机房部署多个服务节点提供服务。如图3所示,右侧的DNS服务是一个面向全业务的服务,如电脑终端设备PC、交互式网络电视IPTV、固定电话Phone等等,在运营商运营管理中如ITMS(Integrated TerminalManagement System,终端综合管理系统)也离不开DNS服务。因此互联网DNS服务通常部署于中心局POP机房,用户需要经过多级网络设备才能访问到服务设备,如图4所示。
当用户发起DNS服务请求时,对应的产生DNS流量。DNS流量的安全性现有DNS系统采用长期人工分析手工调整策略,导致无法应付突发情况。考虑以上问题,对于DNS流量,可以先对其进行标记处理,以标记区分正常解析域名和非正常解析域名,以便根据标记处理对其区分进行处理。具体的,获取DNS流量中包含的域名信息。域名信息可以通过对DNS流量中DNS请求报文进行解析,获取到域名信息。依据DNS系统中包含的授信域名、顶级域名白名单等,对DNS流量包含的域名信息进行标记处理。若授信域名、顶级域名白名单等包含该域名信息,说明该域名信息为可以正常解析域名,否则,该域名信息为非正常解析域名。通过对DNS流量进行标记处理,保障后续对DNS流量的安全处理。
步骤S202,利用DNS流量调度系统将标记后的DNS流量调度至对应的DNS业务系统,以供DNS业务系统对DNS流量进行处理。
对于DNS流量,结合其标记结果以及DNS流量的业务维度,提供差异化服务,对DNS流程正常处理,保障用户业务正常运行。
具体的,如为保障移动与固定宽度用户DNS访问行为,以及安全、业务控制方面的差异,可以通过固、移分离方式提供不同DNS服务;为了提高用户使用网络的体验效果,提高资源调度准确性,建设相关异网DNS服务;当前IPv6过渡期需要对应的IPv6 DNS服务;CDN(Content Delivery Network,内容分发网络)牌照对应CDN节点下沉,引发建设EDNS服务;IoT业务的发展也需要针对性的DNS服务等。但现有的DNS系统在系统扩展性、伸缩性方面欠缺统一的规划,导致存在各种问题:如无法满足CDN/EDNS0精确调度需求;在IPv6方面也存在双栈运营的风险,业务量在过渡期增加的不可预知性,基于Ipv6的DNS业务安全的性能压力较大(IP地址数量巨大),基于Ipv6源地址策略的变化没有针对性措施;业务的需求多种多样如超高可靠性低延时应用需求,高并发(微服务架构、NFV(Network FunctionsVirtualization,网络功能虚拟化)等虚拟化技术的推广)需求等难以满足单一应用内高并发低延时,域名的解析时间较长等,以上无法实现提供业务差异化的DNS服务;DNS的安全策略需要长期人工分析手工调整策略,难以应付突发情况、无法应对新应用类型等;在业务分离、缓存递归分离模式下资源利用率偏低等。基于以上种种问题,DNS系统针对不同业务功能来对DNS系统资源进行划分,对应不同的DNS业务系统。根据业务功能预先分类得到以下DNS业务系统:如普通DNS业务服务系统、CDN/EDNS0(Extension Mechanisms for DNSVersion 0,使用DNS的扩展名机制0版本)业务系统、DNS业务安全系统、IPv6 DNS系统、异网DNS系统、物联网DNS系统等,不同的DNS业务系统可以分流处理不同业务维度的DNS流量,根据DNS流量中不同需求来进行处理。考虑到存在多个不同DNS业务系统,如增加DTS(DNSTraffic Scheduling,DNS流量调度系统),DTS可以基于DNS流量中域名信息对应的业务维度,将DNS流量调度给对应业务功能的DNS业务系统。如DNS流量中域名信息为对CDN的需求域名,DTS可以直接将DNS流量调度至CDN/EDNS0业务系统等。
进一步,DNS流量在各个业务类型下的DNS业务系统中都可能存在混杂不安全流量的问题,若每个DNS业务系统都各自去进行甄别处理,会消耗大量的计算资源,同时拖累正常服务流量的处理。且同样的故障可能会发生在各个DNS业务系统中,也导致故障的隔离、定位存在困难。因此,对DNS流量进行标记处理,DTS根据DNS流量的标记结果判断是否为非正常解析域名;若是,DTS将DNS流量调度给DNS业务安全系统进行分析,由DNS业务安全系统统一处理非正常解析域名,避免每个DNS业务系统都各自进行甄别处理。且DNS业务安全系统可以预设安全策略,并具备分析能力,可以根据分析结果动态更新安全策略,如更新授信域名、设置域名限速阈值等等安全参数,完成DNS系统自主学习、智能反馈等。若DTS根据DNS流量的标记结果判断为正常解析域名,利用DTS将DNS流量调度给普通DNS业务服务系统,为正常解析域名提供域名解析服务。
进一步,各DNS业务系统可以在处理DNS流量后,通过配置或动态计算分析等方式反馈相关信息至DTS,更新DTS对DNS流量的调度处理,最终DTS可以确定各DNS业务系统应处理的DNS流量,方便DTS统一管理控制对DNS流量的处理。
现有DNS系统一般采用如图1所示的分离架构,考虑网络的发展趋势,未来网络是以基于软件定义网络(SDN)和网络功能虚拟化(NFV)的新型网络架构,结合云计算、大数据、网络能力等开放技术,实现控制转发面的解耦以及具备按需组网能力,可以适配多样化的业务需求。因此,需要对现有DNS系统进行优化改进,利用SDN/NFV技术对统一的物理网络进行切片,从而将多种业务有效耦合在统一的网络资源上,实现移动回传、大客户专线、固定宽带接入等业务的综合承载。城域网架构具体演进方式如图5所示。在云计算、大数据、社交化、移动化、物联网等业务驱动下,催生出了新的解决方案和产品,ICT技术(informationand communications technology,信息与通信技术)的融合重整成为技术层面的演进焦点,IT(互联网技术)/CT(通信技术)设备综合各自优势和应用场景,面对纷繁复杂的IT/CT业务需求,从设备和技术层面搭建了为各个业务分支提供服务的平台,并逐渐变得不可或缺。云计算作为一种IT技术,提供了便捷的、可随时访问计算资源共享池的模式,包括网络、服务器、存储、应用和服务,并且这些资源具备快速部署的能力,需要较少的交互和维护。城域网引入SDN+NFV+Service chain(业务链)技术,通过VxLAN(Virtual Extensible LocalArea Network,虚拟扩展局域网)灵活部署与用户位置无关的各类增值业务。城域网内主要有两类云:NFV云和IDC云(即本地数据中心),如图6所示。城域网架构优化需要充分实现底层虚拟化带来的挑战和诉求,通过变化上层设计最大程度发挥虚拟化技术的优势。国际电信联盟(ITU)将5G时代的业务归纳成三种典型的类型,增强型移动宽带(eMBB)、超高可靠性低时延业务(URLLC)和海量机器类通信(mMTC)。网络切片是SDN/NFV技术应用于5G网络的关键服务。一个网络切片将构成一个端到端的逻辑网络,按切片需求方的需求灵活地提供一种或多种网络服务。网络切片需要支持运营商对时延、移动性、可用性、可靠性和数据速率等网络性能提供差异化定制,如5G背景下自动驾驶等对延时要求更高,需要降低系统中涉及服务的任何时延,域名解析时延越短越好;物联网、Ipv6增大DNS并发业务量,需要应对高并发业务;新增业务对应的解析策略需根据业务发展快速变化,DNS系统也需要及时调整解析策略;业务安全策略也需要根据业务增长,进行数据分析,动态调整;现有DNS系统处理能力无法复用,不能适应系统演讲;不同业务的DNS流量混杂不安全流量,各个业务系统自行甄别处理导致消耗大量计算资源,影响正常DNS流量的处理,且故障可能会发生在各个业务系统,导致故障隔离、定位困难等。网络切片可以将现有DNS系统按照网络切片分布在每个服务切片中,以提供差异化服务。网络切片可以在一个硬件基础设施上切分出多个虚拟的端到端网络,每个网络切片在设备、接入网、传输网以及核心网方面实现逻辑隔离,适配各种类型服务的不同特殊需求。在固移融合趋势下网络切片与业务编排的参考架构如图7所示。基于SDN的灵活组网,可以通过分层分级规划部署数据中心,实现不同需求业务的快速部署。中心DC以云业务需求为主构建ICT云,支持计算类敏感NFV功能进驻。本地/边缘DC以NFV需求为主构建融合电信云,支撑转发敏感类网元云化,可以如图8分层分级数据中心所示。
对于网络切片,具体的,可以按照网络切片将DNS业务系统设置于各个DNS服务切片中,以及,将DNS流量调度系统分布设置于各个DNS服务切片中。考虑到不同业务在处理DNS流量时,业务的调度需求不同,如DNS流量的域名信息为CDN业务域名时,需要在缓存之前处理,而DNS流量的域名信息为授信域名,即正常解析域名时,需要在缓存之后处理更为合理,为了适应各种业务的调度需求,DNS系统需要一个分层架构的支持。DNS系统的分层架构可以如图9所示,不同DNS流量的处理可以在不同分层进行。
DNS流量在被处理时,根据网络隧道可以对DNS流量进行封装,利用DNS流量调度系统将封装后的DNS流量调度至DNS业务系统的DNS服务切片的处理节点。在DNS服务切片的处理节点对DNS流量进行处理,得到包含IP地址的处理结果。网络隧道(Tunneling)可以将DNS流量中原始IP包(其报头包含原始发送者和最终目的地)封装在另外一个数据包(称为封装的IP包)的数据净荷中进行传输。使用网络隧道可以实现在不兼容的网络上传输数据,或在不安全网络上提供一个安全路径。隧道协议可以在一个比负载协议还高的层级,或同一层,此处不做限定。
对于DTS(DNS流量调度系统),当其将DNS流量调度给对应的DNS业务系统时,DNS流量处理的流程如图10所示,DTS根据DNS流量中域名信息对应的业务维度对DNS流量进行分流,进入DNS业务系统的服务切片中进行处理。根据不同业务需求,在缓存前处理或缓存后处理,递归查找IP地址,并记录对应的日志信息,以备根据日志信息进行采样处理,更新各业务对应的策略,实现DNS系统的策略可以闭环自主学习,更新反馈。
对DNS流量的处理过程如图11所示,DNS系统中的DNS缓存设备将DNS缓存的流量的应答报文,传输到FL服务器;FL服务器对应答报文进行采集和记录,然后在FL服务器上部署前置分析模块进行分析,如对记录的9字段日志进行分析,找出1天访问量较少、有相同的域名后缀、规律变化前缀和相同解析结果的域名和PTR(Pointer Record,指针记录)请求。将多台FL服务器的分析结果由域名聚合分析服务器进行汇聚。汇聚结果分类做成域名分类标签后,提交DNS缓存设备。DNS缓存设备根据域名分类标签,分别进行处理。将标签为正常解析域名的DNS流量转发给DNS递归设备A,将标签为非正常解析域名的DNS流量转发给DNS递归设备B,不同的DNS递归设备对应不同的DNS业务系统,分别对DNS流量进行迭代递归查询,得到最终的IP地址。DNS系统可以采用大容量的DNS缓存设备,使DNS服务的时延保持在30ms以内(主要来源于网络延时)。通过策略可控的缓存服务,可以有效减少了递归服务量,隔离DNS DDOS攻击(分布式拒绝服务攻击),从而保证DNS服务的可靠性。
其中,对于如找出1天访问量较少、有相同的域名后缀、规律变化前缀和相同解析结果的域名,域名如下所示:
*.z.irs01.com包括:v14-502675700.z.irs01.com|20190227210055|127.0.0.1|0|1|127.irs01.com||211.140.13.188;a216cbc0dba435dca7aad5a1f8fa6ca64.z.irs01.com|20190227210055|127.0.0.1|0|1|127.irs01.com||211.140.188.188;v17-2018814200.z.irs01.com|20190227210055|127.0.0.1|0|1|127.irs01.com||211.140.188.188
对于如找出PTR请求,PTR请求如下所示:
*.in-addr.arpa
39.137.148.117.in-addr.arpa|20190505121614||0|12|||211.140.13.188|53|4775
152.167.13.112.in-addr.arpa|20190505121614||0|12|||211.140.188.188|53|52755
|133.71.210.140.in-addr.arpa|20190505121614||3|12|||211.140.188.188|53|16118
5.5.5.223.in-addr.arpa|20190505121614||0|12|||211.140.13.188|53|23480
通过对上述域名、PTR请求分析可以根据分析将合法域名实时更新授信域名库。合法域名一般为顶级域名,这些域名一般对应DNS的nxdomain,如dhcp、host、home等等,或者,记录为city.ip138.com.www.tendawifi.com|20190505121627|218.205.57.154|0|1|||211.140.188.188|53|9033等等,以上数据均为举例说明,具体根据实施情况确定。
在周期内同类DNS业务域名请求数量相对稳定,一般在如2000-3000万数量级。依据业务、应用发展的逐步增长趋势,域名与应用对应,具有生存周期,一般都会超过1天,域的生存周期会更长,在授信域名的更新中具有决定性作用。对于域名进入授信域名库需要确定域名之后,根据以下条件进行筛选确定。如取得TTL(Time To Live,生成时间值),统计周期内请求次数,确定应答结果类型分布(noerro,nxdomain,serfail,timeout)中noerro占比>99%,周期内网络切片NS健康检查及趋势(以延时的加权平均值为准)浮动不超过10%,周期(n*TTL,10<=n>=600)内符合以上条件的域名通过私有协议通知普通DNS业务系统更新授信域名库。
对于DNS流量对应的各DNS业务系统的访问控制策略可以基于业务维度外,还可以基于域名维度(如域名空间、一定周期内的域名数量、周期内域名访问量基线等)、用户维度(用户周期内请求的的域名量、周期内用户请求域名量基线等)来进行调度。以上各种维度在实施访问控制策略时,可以采用如最小二乘法多项式曲线拟合方法。根据给定的m个点,并不要求这条曲线精确地经过这些点,而是曲线y=f(x)的近似曲线y=φ(x)。给定数据点pi(xi,yi),其中i=1,2,…,m。求近似曲线y=φ(x)。并且使得近似曲线与y=f(x)的偏差最小。近似曲线在点pi处的偏差δi=φ(xi)-y,i=1,2,...,m。曲线拟合时采用使偏差平方和最小的方法,公式如下:
按偏差平方和最小的原则选取拟合曲线,并且采取二项式方程为拟合曲线的方法即最小二乘法。具体实现可以通过设置阶数,生成曲线上的各个点,对各个点进行偏移,基于偏移后的点对曲线进行拟合,得到拟合后的曲线。在具体实现时,可以选择合适的语言实现,此处不做限定。通过对标量周期内数据的曲线拟合,得到各个业务标量的趋势值,在下一个周期时取得同比数据,根据差值判断当前安全参数是否需要调整。当存在着明显趋势时,如周期内每个同比成线性增长,表示需要调整安全策略参数,对应的自动对访问控制策略中的参数进行调整,使DNS系统形成安全自治系统。
步骤S203,将DNS业务系统对DNS流量的处理结果返回给对应的请求用户。
在得到各个DNS业务系统对DNS流量的处理结果后,将处理结果直接返回给DNS流量的请求用户,方便用户服务的正常运行。
根据本发明提供的DNS系统业务处理方法,获取DNS流量,并对DNS流量进行标记处理;利用DNS流量调度系统将标记后的DNS流量调度至对应的DNS业务系统,以供DNS业务系统对DNS流量进行处理;其中,DNS业务系统根据业务功能预先分类得到;将DNS业务系统对DNS流量的处理结果返回给对应的请求用户。DNS系统中包含多个DNS业务系统,将DNS系统资源按照业务划分,可以对DNS流量提供差异化服务能力,在对DNS流量进行调度时,适应不同DNS流量对应的业务需求,使不同DNS流量可以获取到各自对应的不同的服务处理标准。
图12示出了根据本发明一个实施例的DNS系统的结构示意图。如图12所示,DNS系统包括:DNS流量调度系统及DNS业务系统。
DNS流量调度系统1210用于:获取DNS流量,并对DNS流量进行标记处理;将标记后的DNS流量调度至对应的DNS业务系统1220;
DNS业务系统1220用于:对DNS流量进行处理,将对DNS流量的处理结果返回给对应的请求用户。
可选地,DNS业务系统1220包括:普通DNS业务服务系统、CDN/EDNS0业务系统、DNS业务安全系统、IPv6 DNS系统、异网DNS系统和/或物联网DNS系统。
可选地,DNS流量调度系统1210进一步用于:获取DNS流量中包含的域名信息;依据DNS系统中包含的授信域名和/或顶级域名白名单,对DNS流量包含的域名信息进行标记处理。
可选地,DNS流量调度系统1210进一步用于:判断DNS流量的标记结果是否为非正常解析域名;若是,利用DNS流量调度系统将DNS流量调度给DNS业务安全系统进行分析;若否,利用DNS流量调度系统将DNS流量调度给普通DNS业务服务系统。
可选地,DNS流量调度系统1210进一步用于:根据DNS流量中域名信息对应的业务维度,将利用DNS流量调度系统将DNS流量调度给对应业务功能的DNS业务系统。
可选地,DNS业务系统1220设置于各个DNS服务切片中,以及,DNS流量调度系统1210分布设置于各个DNS服务切片中。
可选地,DNS流量调度系统1210进一步用于:根据网络隧道对DNS流量进行封装,将封装后的DNS流量调度至DNS业务系统1220的DNS服务切片的处理节点;DNS业务系统1220在DNS服务切片的处理节点对DNS流量进行处理,得到包含IP地址的处理结果。
以上各部分的描述参照方法实施例中对应的描述,在此不再赘述。
本申请还提供了一种非易失性计算机存储介质,所述计算机存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的DNS系统业务处理方法。
图13示出了根据本发明一个实施例的一种电子设备的结构示意图,本发明具体实施例并不对电子设备的具体实现做限定。
如图13所示,该电子设备可以包括:处理器(processor)1302、通信接口(Communications Interface)1304、存储器(memory)1306、以及通信总线1308。
其中:
处理器1302、通信接口1304、以及存储器1306通过通信总线1308完成相互间的通信。
通信接口1304,用于与其它设备比如客户端或其它服务器等的网元通信。
处理器1302,用于执行程序1310,具体可以执行上述DNS系统业务处理方法实施例中的相关步骤。
具体地,程序1310可以包括程序代码,该程序代码包括计算机操作指令。
处理器1302可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。电子设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器1306,用于存放程序1310。存储器1306可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序1310具体可以用于使得处理器1302执行上述任意方法实施例中的DNS系统业务处理方法。程序1310中各步骤的具体实现可以参见上述DNS系统业务处理实施例中的相应步骤和单元中对应的描述,在此不赘述。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备和模块的具体工作过程,可以参考前述方法实施例中的对应过程描述,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的DNS系统业务处理装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种DNS系统业务处理方法,其特征在于,方法包括:
获取DNS流量,并对所述DNS流量进行标记处理;
利用DNS流量调度系统将标记后的DNS流量调度至对应的DNS业务系统,以供所述DNS业务系统对所述DNS流量进行处理;其中,所述DNS业务系统根据业务功能预先分类得到;
将所述DNS业务系统对所述DNS流量的处理结果返回给对应的请求用户。
2.根据权利要求1所述的方法,其特征在于,所述DNS业务系统包括:普通DNS业务服务系统、CDN/EDNS0业务系统、DNS业务安全系统、IPv6DNS系统、异网DNS系统和/或物联网DNS系统。
3.根据权利要求1所述的方法,其特征在于,所述对所述DNS流量进行标记处理进一步包括:
获取所述DNS流量中包含的域名信息;
依据DNS系统中包含的授信域名和/或顶级域名白名单,对所述DNS流量包含的域名信息进行标记处理。
4.根据权利要求2所述的方法,其特征在于,所述利用DNS流量调度系统将标记后的DNS流量调度至对应的DNS业务系统进一步包括:
判断所述DNS流量的标记结果是否为非正常解析域名;
若是,利用DNS流量调度系统将所述DNS流量调度给DNS业务安全系统进行分析;
若否,利用DNS流量调度系统将所述DNS流量调度给普通DNS业务服务系统。
5.根据权利要求2所述的方法,其特征在于,所述利用DNS流量调度系统将标记后的DNS流量调度至对应的DNS业务系统进一步包括:
根据所述DNS流量中域名信息对应的业务维度,将利用DNS流量调度系统将所述DNS流量调度给对应业务功能的DNS业务系统。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
按照网络切片将所述DNS业务系统设置于各个DNS服务切片中,以及,将所述DNS流量调度系统分布设置于各个DNS服务切片中。
7.根据权利要求1-6中任一项所述的方法,其特征在于,所述利用DNS流量调度系统将标记后的DNS流量调度至对应的DNS业务系统,以供所述DNS业务系统对所述DNS流量进行处理进一步包括:
根据网络隧道对所述DNS流量进行封装,利用DNS流量调度系统将封装后的DNS流量调度至DNS业务系统的DNS服务切片的处理节点;
在所述DNS服务切片的处理节点对DNS流量进行处理,得到包含IP地址的处理结果。
8.一种DNS系统,其特征在于,系统包括:DNS流量调度系统及DNS业务系统;
所述DNS流量调度系统用于:获取DNS流量,并对所述DNS流量进行标记处理;将标记后的DNS流量调度至对应的DNS业务系统;
所述DNS业务系统用于:对所述DNS流量进行处理,将对所述DNS流量的处理结果返回给对应的请求用户。
9.一种电子设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-7中任一项所述的DNS系统业务处理方法对应的操作。
10.一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求1-7中任一项所述的DNS系统业务处理方法对应的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010895431.4A CN114124832A (zh) | 2020-08-31 | 2020-08-31 | Dns系统业务处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010895431.4A CN114124832A (zh) | 2020-08-31 | 2020-08-31 | Dns系统业务处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114124832A true CN114124832A (zh) | 2022-03-01 |
Family
ID=80359726
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010895431.4A Pending CN114124832A (zh) | 2020-08-31 | 2020-08-31 | Dns系统业务处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114124832A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1791053A (zh) * | 2004-12-13 | 2006-06-21 | 杭州华为三康技术有限公司 | 一种对多服务器进行最优选择的方法 |
| CN108206814A (zh) * | 2016-12-20 | 2018-06-26 | 腾讯科技(深圳)有限公司 | 一种防御dns攻击的方法、装置及系统 |
| CN111107170A (zh) * | 2018-10-25 | 2020-05-05 | 贵州白山云科技股份有限公司 | 一种dns系统及其管理方法 |
| CN111355817A (zh) * | 2018-12-20 | 2020-06-30 | 中国移动通信集团辽宁有限公司 | 域名解析方法、装置、安全服务器及介质 |
| CN111464648A (zh) * | 2020-04-02 | 2020-07-28 | 聚好看科技股份有限公司 | 一种分布式本地dns系统及域名查询方法 |
-
2020
- 2020-08-31 CN CN202010895431.4A patent/CN114124832A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1791053A (zh) * | 2004-12-13 | 2006-06-21 | 杭州华为三康技术有限公司 | 一种对多服务器进行最优选择的方法 |
| CN108206814A (zh) * | 2016-12-20 | 2018-06-26 | 腾讯科技(深圳)有限公司 | 一种防御dns攻击的方法、装置及系统 |
| CN111107170A (zh) * | 2018-10-25 | 2020-05-05 | 贵州白山云科技股份有限公司 | 一种dns系统及其管理方法 |
| CN111355817A (zh) * | 2018-12-20 | 2020-06-30 | 中国移动通信集团辽宁有限公司 | 域名解析方法、装置、安全服务器及介质 |
| CN111464648A (zh) * | 2020-04-02 | 2020-07-28 | 聚好看科技股份有限公司 | 一种分布式本地dns系统及域名查询方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Chatras et al. | NFV enabling network slicing for 5G | |
| US11563713B2 (en) | Domain name server allocation method and apparatus | |
| CN110546920B (zh) | 使用切片的服务提供步骤及相关定义 | |
| CN109032755B (zh) | 一种容器服务托管系统及提供容器服务的方法 | |
| US9401860B2 (en) | High performance quality-of-service packet scheduling for multiple packet processing engines | |
| US7181455B2 (en) | Bandwidth management for remote services system | |
| CN102833148B (zh) | 资源请求及资源的路由代理 | |
| CN103354989B (zh) | 用于中间装置中的多级服务质量分类的系统和方法 | |
| CN1288558C (zh) | 带有适应性分配器的虚拟网络 | |
| CN113572838B (zh) | 基于Kubernetes的网络访问方法、装置、设备及介质 | |
| US7676812B2 (en) | Large scale event notification system | |
| CN102833306B (zh) | 网络集成动态资源路由 | |
| US8848522B2 (en) | Telecommunications system and server apparatus | |
| CN111371679A (zh) | 一种基于kubernetes与Kong实现API网关的方法 | |
| CN112202940B (zh) | 一种kubernetes对外暴露Pod服务方式 | |
| CN108139920A (zh) | 在动态条件及变约束下用于基于信息中心联网(icn)的代理服务器管理的方法、设备及系统 | |
| CN114398176A (zh) | 服务访问方法、装置、电子设备及存储介质 | |
| CN102833361A (zh) | 为资源请求终止连接和选择目标源装置 | |
| CN111800441A (zh) | 数据处理方法、系统、装置、用户端服务器、用户端及管控服务器 | |
| Bolettieri et al. | Towards end-to-end application slicing in multi-access edge computing systems: Architecture discussion and proof-of-concept | |
| US11687063B2 (en) | Semantics-based internet of things device data processing-related application installation method and apparatus | |
| CN116980229B (zh) | 网络策略配置方法、装置、电子设备及存储介质 | |
| CN113193975A (zh) | 一种控制器设备、方法及计算机可读存储介质 | |
| CN114124832A (zh) | Dns系统业务处理方法及装置 | |
| CN112436951B (zh) | 一种预知流量路径的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220301 |
|
| RJ01 | Rejection of invention patent application after publication |