一種云網(wǎng)融合域名解析系統(tǒng)及其dns服務(wù)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息技術(shù)領(lǐng)域,特別是涉及云計(jì)算�、SDN (軟件定義網(wǎng)絡(luò))、NFV (網(wǎng)絡(luò)功能虛擬化)三種技術(shù)在DNS服務(wù)系統(tǒng)中的應(yīng)用��。
【背景技術(shù)】
[0002]域名系統(tǒng)(Domain Name System�����,簡稱DNS)是整個(gè)互聯(lián)網(wǎng)服務(wù)的基礎(chǔ)系統(tǒng)之一�,負(fù)責(zé)將人們訪問的互聯(lián)網(wǎng)域名轉(zhuǎn)換為IP地址,這一轉(zhuǎn)換的過程叫做“域名解析”���,所以DNS又稱“域名解析系統(tǒng)”�����,相當(dāng)于網(wǎng)絡(luò)訪問的指路牌�����。DNS承載著所有的互聯(lián)網(wǎng)訪問和智能調(diào)度�����,可以形象的說�����,DNS就是互聯(lián)網(wǎng)基礎(chǔ)服務(wù)的調(diào)度員��,對互聯(lián)網(wǎng)訪問起著舉足輕重的作用��。
[0003]但事實(shí)上�����,DNS已經(jīng)成為互聯(lián)網(wǎng)安全鏈條上最薄弱的環(huán)節(jié)����,由于DNS被攻擊或自身穩(wěn)定問題�����,出現(xiàn)了多次影響整個(gè)互聯(lián)網(wǎng)安全的事件�����,DNS的安全和性能已經(jīng)關(guān)系到千千萬萬網(wǎng)站用戶的切身體驗(yàn)及訪問安全。
[0004]為更好的提供服務(wù)�,圍繞DNS這一網(wǎng)絡(luò)基礎(chǔ)功能出現(xiàn)了多種DNS服務(wù)系統(tǒng),包括LocalDNS系統(tǒng)����、DNS日志系統(tǒng)、DNS安全防護(hù)系統(tǒng)���、DNS分析系統(tǒng)��。傳統(tǒng)DNS服務(wù)系統(tǒng)與硬件服務(wù)器綁定�����,以專用硬件服務(wù)器的形態(tài)提供服務(wù)��,如LocalDNS服務(wù)器���、DNS日志服務(wù)器、DNS安全防護(hù)服務(wù)器����、DNS分析服務(wù)器。上線哪種服務(wù)�,需要購買相應(yīng)的專用硬件服務(wù)器安裝部署��。
[0005]這種傳統(tǒng)的DNS服務(wù)部署方式隨著互聯(lián)網(wǎng)的發(fā)展呈現(xiàn)了以下幾方面的缺點(diǎn):
1��、業(yè)務(wù)上線/擴(kuò)容周期長,部署一種DNS服務(wù)(如LocalDNS)�,從安裝部署到調(diào)試需要1-2周甚至更長。
[0006]2���、業(yè)務(wù)部署不靈活����,部署一種DNS服務(wù)需要購買相應(yīng)專用硬件�����,當(dāng)業(yè)務(wù)變更的時(shí)候?qū)S糜布o法利舊使用����。
[0007]3、設(shè)備使用效率不高�����,為保證業(yè)務(wù)高峰期服務(wù)的可用性����,一般部署服務(wù)的時(shí)候都會按照峰值的規(guī)模部署��,這樣導(dǎo)致平時(shí)將有一般的服務(wù)器處于空閑狀態(tài)或者服務(wù)能力利用率低下��。
[0008]4�����、DNS安全防護(hù)效率低下����,傳統(tǒng)方式將DNS安全防護(hù)設(shè)備串接到DNS服務(wù)系統(tǒng)前面��,這樣有安全威脅的流量和沒有安全威脅的流量都要經(jīng)過安全防護(hù)設(shè)備的過濾���,增加了DNS應(yīng)答的延遲���。
[0009]5、DNS服務(wù)的這些系統(tǒng)LocalDNS��、DNS日志����、DNS安全防護(hù)�����、DNS分析作為獨(dú)立系統(tǒng)運(yùn)行�����,無法形成DNS服務(wù)生態(tài)鏈,為用戶提供一站式服務(wù)���。
【發(fā)明內(nèi)容】
[0010]本發(fā)明旨在克服現(xiàn)有技術(shù)的不足����,提供一種云網(wǎng)融合域名解析系統(tǒng)�,能夠根據(jù)用戶需求動(dòng)態(tài)創(chuàng)建多種DNS服務(wù),包括LocalDNS����、DNS日志、DNS安全防護(hù)���、DNS分析����,依據(jù)業(yè)務(wù)量大小動(dòng)態(tài)調(diào)整服務(wù)規(guī)模,并提供統(tǒng)一管控平臺�����。
[0011]本發(fā)明提供的一種云網(wǎng)融合域名解析系統(tǒng)����,該系統(tǒng)包括: SDN流控模塊,用于通過SDN協(xié)議����,控制SDN交換機(jī)調(diào)度DNS請求流量到相應(yīng)DNS服務(wù)虛機(jī);
虛機(jī)管理模塊�,用于管理各DNS服務(wù)虛機(jī)的創(chuàng)建、刪除����、修改操作;
鏡像管理模塊��,用于管理各DNS服務(wù)鏡像���,包括對各DNS服務(wù)鏡像的創(chuàng)建����、刪除、修改操作�;
負(fù)載/故障監(jiān)控模塊,用于監(jiān)控各DNS服務(wù)虛機(jī)的負(fù)載和故障狀況����,與SDN流控模塊和虛機(jī)管理模塊聯(lián)動(dòng),當(dāng)服務(wù)虛機(jī)負(fù)載過大或發(fā)生故障��,調(diào)用虛機(jī)管理模塊創(chuàng)建新的服務(wù)虛機(jī)����,調(diào)用SDN流控模塊將DNS請求流量調(diào)度到新的服務(wù)虛機(jī)����。
[0012]所述鏡像管理模塊用于管理各DNS服務(wù)鏡像,包括:
Local DNS系統(tǒng)鏡像�����,用于提供DNS本地解析服務(wù)���;
DNS日志系統(tǒng)鏡像��,用于DNS日志記錄服務(wù)���;
DNS分析系統(tǒng)鏡像����,用于提供營運(yùn)商客戶流量流向分析服務(wù)����,多維度生成流量分析報(bào)表;
DNS安全防護(hù)系統(tǒng)鏡像,用于提供DNS安全防護(hù)服務(wù)�����。
[0013]一種云網(wǎng)融合域名解析系統(tǒng)的DNS服務(wù)方法��,該方法包括:
1)用戶選擇需要?jiǎng)?chuàng)建的DNS服務(wù)及相應(yīng)的服務(wù)規(guī)模�,發(fā)給虛機(jī)管理模塊和SDN流控模塊;2)所述SDN流控模塊解析用戶請求并結(jié)合當(dāng)前流量情況��,調(diào)整流量控制策略��,下發(fā)引流指令至SDN交換機(jī)引流到相應(yīng)服務(wù)虛機(jī)�����;3)所述SDN流控模塊將具有安全威脅的請求流量引導(dǎo)到由DNS安全防護(hù)系統(tǒng)鏡像生成的安全防護(hù)服務(wù)虛機(jī),進(jìn)行惡意流量的識別和剝離���,還原出的合法流量回注到原網(wǎng)絡(luò)中再轉(zhuǎn)發(fā)到客戶選取的服務(wù)類型相應(yīng)的服務(wù)虛機(jī)上���。
[0014]所述步驟2)具體為:首先負(fù)載/故障監(jiān)控模塊采集客戶選取的服務(wù)類型相應(yīng)的服務(wù)虛機(jī)的負(fù)載狀況;接著��,將服務(wù)虛機(jī)的負(fù)載狀況上報(bào)SDN流控模塊�,SDN流控模塊將用戶DNS請求流量調(diào)度到負(fù)載最小的服務(wù)虛機(jī)上;
最后�����,所述SDN流控模塊下發(fā)流量轉(zhuǎn)發(fā)控制命令SDN交換機(jī)����,SDN交換機(jī)將流量引導(dǎo)到正確的DNS服務(wù)虛機(jī)上�����。
[0015]所述鏡像管理模塊將DNS服務(wù)制作成服務(wù)鏡像���,該服務(wù)包括有LocalDNS�、DNS日志、DNS安全防護(hù)�、DNS分析。
[0016]所述SDN流控模塊下發(fā)以下幾種流量控制策略:
a)將DNS請求流量引導(dǎo)到LocalDNS服務(wù)虛機(jī)����;
b)將DNS請求/應(yīng)答流量鏡像到DNS日志服務(wù)虛機(jī);
c)將DNS日志服務(wù)虛機(jī)的日志流量引導(dǎo)到DNS分析服務(wù)虛機(jī)����。
[0017]該方法在引流過程中,還將具有安全威脅的請求流量引導(dǎo)到由DNS安全防護(hù)系統(tǒng)鏡像生成的安全防護(hù)服務(wù)虛機(jī)��,進(jìn)行惡意流量的識別和剝離����,還原出的合法流量回注到原網(wǎng)絡(luò)中再轉(zhuǎn)發(fā)到客戶選取的服務(wù)類型相應(yīng)的服務(wù)虛機(jī),該步驟具體為:
SDN流控模塊采集用戶DNS請求流量信息�,對流量信息進(jìn)行威脅性分析,一旦發(fā)現(xiàn)針對采集客戶選取的服務(wù)類型相應(yīng)DNS的DDoS攻擊�����,SDN流控模塊下發(fā)流量控制策略���,將具有威脅性的流量引導(dǎo)到DNS安全防護(hù)服務(wù)虛機(jī)���;所述DNS安全防護(hù)服務(wù)虛機(jī)對威脅流量進(jìn)行安全過濾清洗�;SDN流控模塊將清洗后的流量重新引導(dǎo)到服務(wù)虛機(jī)��;DNS安全防護(hù)系統(tǒng)將不是攻擊的流量信息反饋給SDN流控模塊���,對其進(jìn)行放行����。
[0018]針對DoS攻擊的判斷為發(fā)現(xiàn)某一種請求流量的突然激增��。
[0019]本發(fā)明采用以上技術(shù)方案與現(xiàn)有技術(shù)相比����,具有以下技術(shù)效果:
1、利用SDN技術(shù)�����,云網(wǎng)融合域名解析系統(tǒng)控制臺集成SDN控制器模塊將DNS訪問流量在各個(gè)服務(wù)虛機(jī)之間靈活調(diào)度���;
2、利用NFV及云技術(shù)的集合���,實(shí)現(xiàn)DNS服務(wù)鏈快速靈活創(chuàng)建����,并根據(jù)服務(wù)負(fù)載狀況動(dòng)態(tài)調(diào)整服務(wù)規(guī)模;
3�����、云網(wǎng)融合域名解析系統(tǒng)控制臺安全模塊識別攻擊����,將攻擊流量調(diào)度到DNS安全虛機(jī)進(jìn)行清洗。
【附圖說明】
[0020]以下將結(jié)合附圖對本發(fā)明作進(jìn)一步說明:
圖1為本發(fā)明云網(wǎng)融合域名解析系統(tǒng)的示意性架構(gòu)圖���;
圖2為DNS服務(wù)方法流程圖����;
圖3為DNS服務(wù)鏈創(chuàng)建方法流程圖�;
圖4為DNS安全過濾方法流程圖;
圖5為DNS服務(wù)規(guī)模動(dòng)態(tài)調(diào)整方法流程圖�����。
【具體實(shí)施方式】
[0021]本發(fā)明提供一種云網(wǎng)融合域名解析系統(tǒng)及其DNS服務(wù)方法���,為使本發(fā)明的目的����,技術(shù)方案及效果更加清楚,明確��,以及參照附圖并舉實(shí)例對本發(fā)明進(jìn)一步詳細(xì)說明��。應(yīng)當(dāng)理解�,此處所描述的具體實(shí)施僅用以解釋本發(fā)明,并不用于限定本發(fā)明�。
[0022]圖1是云網(wǎng)融合域名解析系統(tǒng)的架構(gòu)圖,該系統(tǒng)的架構(gòu)體系由以下幾個(gè)主要功能塊構(gòu)成:
硬件資源層一一提供基礎(chǔ)設(shè)施的硬件資源(服務(wù)器�����、存儲�����、網(wǎng)絡(luò))�。
[0023]虛擬化層--使用成熟的OpenStack云計(jì)算方案,實(shí)現(xiàn)計(jì)算和存儲虛擬化����。
[0024]業(yè)務(wù)適配層一一對上完成業(yè)務(wù)層的業(yè)務(wù)操作任務(wù),對下將業(yè)務(wù)操作任務(wù)轉(zhuǎn)換成底層功能模塊的操作指令�����。
[0025]業(yè)務(wù)層提供75:網(wǎng)融合系統(tǒng)的各種業(yè)務(wù)功能����。
[0026]SDN控制器是SDN流控模塊的核心組成部件,對下通過南向協(xié)議(OpenFlow����、NetConfig、0VSDB)控制SDN網(wǎng)絡(luò)硬件轉(zhuǎn)發(fā)行為���,對上提供開放接口�,供云網(wǎng)融合DNS系統(tǒng)的控制臺調(diào)用��。
[0027]該系統(tǒng)具體包括以下模塊:
SDN流控模塊�����,用于通過SDN協(xié)議��,控制SDN交換機(jī)調(diào)度DNS請求流量到相應(yīng)DNS服務(wù)虛機(jī);
虛機(jī)管理模塊���,用于管理各DNS服務(wù)虛機(jī)的創(chuàng)建�����、刪除����、修改操作��;
鏡像管理模塊��,用于管理各DNS服務(wù)鏡像���,包括對各DNS服務(wù)鏡像的創(chuàng)建�����、刪除����、修改操作����;
負(fù)載/故障監(jiān)控模塊���,用于監(jiān)控各DNS服務(wù)虛機(jī)的負(fù)載和故障狀況,與SDN流控模塊和虛機(jī)管理模塊聯(lián)動(dòng)��,當(dāng)服務(wù)虛機(jī)負(fù)載過大或發(fā)生故障��,調(diào)用虛機(jī)管理模塊創(chuàng)建新的服務(wù)虛機(jī)�,調(diào)用SDN流控模塊將DNS請求流量調(diào)度到新的服務(wù)虛機(jī)��。上文提到的鏡像管理模塊用于管理各DNS服務(wù)鏡像��,包括:
Local DNS系統(tǒng)鏡像���,用于提供DNS本地解析服務(wù)���;
DNS日志系統(tǒng)鏡像,用于DNS日志記錄服務(wù)�;
DNS分析系統(tǒng)鏡像,用于提供營運(yùn)商客戶流量流向分析服務(wù)�,多維度生成流量分析報(bào)表;
DNS安全防護(hù)系統(tǒng)鏡像,用于提供DNS安全防護(hù)服務(wù)�����。
[0028]本發(fā)明所提供的DNS服務(wù)創(chuàng)建方法【具體實(shí)施方式】的流程如圖2、圖3所示��,以客戶建立Local DNS服務(wù)為例����,該方法包括以下步驟:
步驟S101:接收用戶的DNS請求流量,用戶選擇需要?jiǎng)?chuàng)建Local DNS服務(wù)及相應(yīng)的服務(wù)規(guī)模��,發(fā)給虛機(jī)管理模塊和SDN流控模塊��;
步驟S102:負(fù)載/故障監(jiān)控模塊通過sFlow方式采集Local DNS服務(wù)虛機(jī)的負(fù)載狀況����;sFlow是一種基于“統(tǒng)計(jì)采樣方式”的高速交換網(wǎng)絡(luò)流量監(jiān)控技術(shù),可以提供周期性的網(wǎng)絡(luò)接口統(tǒng)計(jì)采樣和數(shù)據(jù)包采樣����,能夠提供各接口的流量信息,且?guī)缀醪粫Ρ唤y(tǒng)計(jì)設(shè)備造成任何負(fù)擔(dān)�。sFlow的部署分為兩部分:sFlow agent和sFlow collec