眾所周知,DNS作為一項互聯(lián)網(wǎng)基礎業(yè)務���,對整個互聯(lián)網(wǎng)的正常運行起著至關(guān)重要的作用。當然����,別有用心的攻擊者也同樣明白這個道理,總是希望通過各種各樣的攻擊手段破壞DNS解析服務的正常開展���。自今年4月以來����,DNSPod已經(jīng)成功防護超過400多次的域名攻擊��,為用戶提供了高質(zhì)量的域名解析服務����。
如何從不同層面綜合運營�����,保證DNS服務安全高效的運行,一直以來都是DNSPod每一位工程師不斷思索的問題���。我們認為����,主要從應該從以下幾個方面入手:
狀態(tài)監(jiān)控
DNS服務是一項實時性要求非常高的服務,準確全面的監(jiān)控系統(tǒng)是整個DNS服務的運營基礎。為此�,我們設計了一整套的監(jiān)控體系,包括網(wǎng)絡流量監(jiān)控��、服務器內(nèi)核監(jiān)控模塊����、解析監(jiān)控���、服務器集群監(jiān)控等等��。從不同層面不同角度對DNS解析服務進行監(jiān)控�����,保證工程師能第一時間了解其運行狀態(tài)����。在技術(shù)選型方面�����,我們一方面采用比較成熟的基于SNMP的nagios/cacti監(jiān)控,一方面針對DNS的特點開發(fā)與解析服務緊密結(jié)合的監(jiān)控模塊,滿足不同監(jiān)控對象的需要�����。
信息告警
DNS服務運行過程中總會有各種各樣的情況發(fā)生��,同一個事件需要通知到不同的負責人����,每個人需要知道的信息也不盡相同�����。例如在捕獲到域名攻擊事件后����,會馬上向運維工程師發(fā)出告警,提示各種層面的流量數(shù)據(jù)���。向技術(shù)支持人員發(fā)送攻擊情況概要和受影響的程度�,以便用戶詢問情況時能得到最新信息。針對 VIP客戶����,還會向相關(guān)的銷售人員發(fā)送攻擊相關(guān)數(shù)據(jù)和處理情況,由銷售人員直接與客戶取得聯(lián)系���。特別重大的攻擊事件�,還會向市場人員�����、開發(fā)人員�、技術(shù)負責人甚至總經(jīng)理發(fā)送�,保證信息及時傳遞�,事件能夠及時處理�����。為了滿足多樣化的信息發(fā)送需求���,我們建立了專門的通知系統(tǒng)平臺���,提供了一致的API接口供各個程序調(diào)用�,能夠提供郵件��、微信�、短信��、語音等多種通知方式�。
事件處理
為了及時響應并處理各種事件���,為用戶提供持續(xù)的優(yōu)質(zhì)服務��,我們實行24小時值班制度�����。任何時間都會有經(jīng)驗豐富的技術(shù)人員準備應對突發(fā)情況。同時����,為了進一步加強響應效率���,自動化運維處理必不可少���。例如��,我們對DNS攻擊做了長期的研究��,開發(fā)了域名封禁/解封����、防護算法����、流量引導等多種防護手段,根據(jù) DNS攻擊的實際情況自動開啟��,能在短時間內(nèi)化解大流量的DNS攻擊,將影響減到最小�。
數(shù)據(jù)記錄
當然,事件處理完成并不代表著結(jié)束�����,還需要做好各種記錄����,保證可以回顧分析����;镜臄(shù)據(jù)包括交換機流量數(shù)據(jù)、網(wǎng)卡抓包數(shù)據(jù)����、事件處理記錄等等,我們對這些數(shù)據(jù)都做了完整的記錄�����、備份、整理����、歸檔�,這樣不但任何問題都有據(jù)可查,也為進一步的統(tǒng)計分析做好了準備���。因為數(shù)據(jù)量大、種類多�����,我們比較多的使用了Redis和MongoDB,其存NoSQL的特點特別適用于這個情況��。
綜合運營數(shù)據(jù)分析
除了短時間的針對單個事件的應對策略���,運營更需要長期的數(shù)據(jù)記錄與分析。我們每天的運營情況都會以報表的形式呈現(xiàn)出來�,對域名解析量、用戶數(shù)量�����、攻擊情況等數(shù)據(jù)更有長時間的追蹤和趨勢分析���。如根據(jù)攻擊趨勢的分析加強防攻擊投入�����,根據(jù)用戶轉(zhuǎn)入/轉(zhuǎn)出情況聯(lián)系銷售人員跟進�����。這里我們使用了 Graphite用于繪圖���,D3.js在繪制報表方面也有很好的表現(xiàn)。
總的來說,DNS服務有其復雜性和特殊性�����,DNSPod長期專注于DNS解析業(yè)務���,在此領(lǐng)域有豐富的經(jīng)驗和深厚的積累�,希望上述分享能給每一位關(guān)心DNS領(lǐng)域的朋友帶來益處����,共同創(chuàng)造更美好的互聯(lián)網(wǎng)環(huán)境。
