V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
holinhot
V2EX  ›  DNS

dns 防攻击

  •  
  •   holinhot · 2015-03-09 00:34:18 +08:00 · 5180 次点击
    这是一个创建于 3588 天前的主题,其中的信息可能已经有所发展或是发生改变。

    http://i.imgur.com/S1MKO5L.png

    这是我目前运行的dns方案,namaserver用的是powerdns ,如果遭到大量的查询攻击可能一下就死了所以想在nameserver上加一个cache server 由cache server对外提供服务,nameserver只向cache server提供查询服务是否可行。这样对查询攻击只用在cache server做限制就行了

    另外nameserver用Bind-DLZ Nameserver PowerDNS Nameserver
    和 DNS DynDNS 哪个比较好
    我域名量比较大所以nameserver必须上数据库

    32 条回复    2015-03-13 01:18:29 +08:00
    bobopu
        1
    bobopu  
       2015-03-09 01:10:20 +08:00 via iPhone
    dlz性能下降30倍不止,最好还是内存跑。
    futursolo
        2
    futursolo  
       2015-03-09 08:48:40 +08:00
    建议上一个内存型的数据库(例如Redis),在存储热数据方面比SQL好太多,抗D能力也更强一些。
    另外,你可以去看看DnsPod的开源框架
    https://github.com/DNSPod/dnspod-sr
    bobopu
        3
    bobopu  
       2015-03-09 09:29:35 +08:00 via iPhone
    @futursolo dnspod-sr目前还是个半成品,有测试发现运行一段时间后会假死。
    holinhot
        4
    holinhot  
    OP
       2015-03-09 09:42:02 +08:00
    @bobopu 内存跑域名存文件? 几十万域名不完蛋?
    holinhot
        5
    holinhot  
    OP
       2015-03-09 09:46:48 +08:00
    @futursolo powerdns支持Redis吗。如果可以的话把nameserver的数据库换成redis会有什么问题?
    目前nameserver通过api向主数据库同步数据
    futursolo
        6
    futursolo  
       2015-03-09 10:04:18 +08:00
    https://github.com/pagekite/PyPdnsRedis
    你可以看看这个,redis的坑的话主要就是要把内存搞大点,避免存不下热数据。另外,Redis需要预热,前几分钟会比较慢。还有突然宕机的话可能会导致最后几分钟的数据没有持久化而丢失(控制好dump时间差就行)。

    建议MySQL或MongoDB做主数据库,在每个DNS服务器上安装Redis做缓存。
    bobopu
        7
    bobopu  
       2015-03-09 10:20:14 +08:00 via iPhone
    @louishothot 几十万域名并不算多,看你内存多大了,我目前的方案是64G内存开启zram+ssd阵列
    bobopu
        8
    bobopu  
       2015-03-09 10:21:36 +08:00 via iPhone
    目前的跑的情况来看zram的压缩比能达到50%
    zhicheng
        9
    zhicheng  
       2015-03-09 10:23:19 +08:00 via Android
    哥为了DNS还专门写了个存储引擎,单机扛到40万QPS,还能优化,目标是一千万笔记录能到100万QPS。有兴趣的等项目发布了可以借你们代码玩一玩。
    bobopu
        10
    bobopu  
       2015-03-09 10:42:37 +08:00 via iPhone
    @zhicheng 非常有兴趣,可以节约大笔硬件开支。
    invite
        11
    invite  
       2015-03-09 10:52:53 +08:00
    @zhicheng 求代码。

    PS:只做授权服务器的话,千万个域名,轻松到千万QPS吧。
    zhicheng
        12
    zhicheng  
       2015-03-09 11:05:43 +08:00
    @invite 把 QPS 的单位搞错了?
    invite
        13
    invite  
       2015-03-09 11:46:34 +08:00
    @zhicheng 没啊,我只做授权DNS啊。那应该还能提升10倍性能吧。
    zhicheng
        14
    zhicheng  
       2015-03-09 12:03:20 +08:00
    @Invite 我也只做权威 DNS ,我费老鼻子劲了现在也没做到100万QPS,您是神。
    sopato
        15
    sopato  
       2015-03-09 12:12:00 +08:00
    很想知道DNS应用到了100万QPS的时候,吃了多少带宽? @zhicheng
    zhicheng
        16
    zhicheng  
       2015-03-09 12:18:25 +08:00   ❤️ 3
    @sopato 我现在只跑到 40万 QPS ,我是用 loopback 跑的,估计照 1Gbps 的口来说,能跑到一半儿差不多。100万应该能跑满,不过问题是 DNS 数据都是小包,到时候网卡和路由会是瓶颈。
    invite
        17
    invite  
       2015-03-09 12:40:59 +08:00
    @zhicheng 等你分享你的代码啊。
    sopato
        18
    sopato  
       2015-03-09 12:59:01 +08:00
    @zhicheng 收到,感谢。
    zhicheng
        19
    zhicheng  
       2015-03-09 17:39:42 +08:00
    @invite 别等我分享代码了,还是看看您的代码吧,整整高出我现在的两个数量级。
    10M 的 QPS ,我就算写到内核里都到不了,基本上这个量级的需要用硬件辅助处理了。
    invite
        20
    invite  
       2015-03-09 18:43:38 +08:00
    @zhicheng 哥,我从一开始就在等你的代码啊。难道我们处于两个中国?语文语义是不一样的?
    zhicheng
        21
    zhicheng  
       2015-03-09 18:56:30 +08:00 via Android
    @invite 有C10M 的,还要 C500K 的干嘛啊。。。
    对于 zone file 不经常修改的,我还有一个办法提高性能,把 zone file 转换成 C struct ,生成 Perfect Hash Function ,C1M 应该不是问题。
    holinhot
        22
    holinhot  
    OP
       2015-03-10 09:04:18 +08:00
    @bobopu 你是读文件?
    holinhot
        23
    holinhot  
    OP
       2015-03-10 09:08:01 +08:00
    @zhicheng 这么大的查询量肯定分布式节点了吧。哪有放一个点的
    holinhot
        24
    holinhot  
    OP
       2015-03-10 09:10:15 +08:00
    @bobopu bind的用file存储域名 几十万个域名就几个万个小文件不玩死才怪
    bobopu
        25
    bobopu  
       2015-03-10 09:31:50 +08:00
    @louishothot 是读,写极少。
    holinhot
        26
    holinhot  
    OP
       2015-03-10 09:37:48 +08:00
    @bobopu 备份方便吗
    holinhot
        27
    holinhot  
    OP
       2015-03-10 09:40:56 +08:00
    @futursolo 如果最后几分钟的数据掉了也没关系吧。他应该可以向主数据库同步吧。
    futursolo
        28
    futursolo  
       2015-03-10 09:43:13 +08:00
    @louishothot
    对啊,偶的意思是,你不能将Redis作为主数据库来用,把它当缓存来用。
    bobopu
        29
    bobopu  
       2015-03-10 09:55:41 +08:00
    @louishothot 我是将zone记录全写在一个文件里,每个域指向到每个host里,.host存在按照字母排序建立文件夹里,平时新增的域不多,可能应用场景与你不同吧,所以管理起来还算方便。
    millken
        30
    millken  
       2015-03-11 10:35:45 +08:00
    哥这几天正好在写dns服务器,基于Go,还在写配置部分。https://github.com/millken/mkdns

    dns抗查询攻击,以前写过一个linux内核版的,根据请求阀值将UDP转TCP。
    https://github.com/millken/kdev/tree/master/kddns
    zhicheng
        31
    zhicheng  
       2015-03-12 13:58:39 +08:00
    @bobopu
    @invite
    @sopato
    https://github.com/zhicheng/libloop
    https://github.com/zhicheng/db
    这里有关于那个 DNS 项目的两个关键子项目已经开源,事件循环和存储引擎。

    @millken
    我也把 Server 写到过内核里,但一般情况下,不太建议这么做。在用户态,服务挂了自动重启就好了。在内核态服务挂了,可能整个系统会宕掉,或者网络栈宕掉。
    bobopu
        32
    bobopu  
       2015-03-13 01:18:29 +08:00 via iPhone
    @zhicheng 感谢。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5044 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 99ms · UTC 09:44 · PVG 17:44 · LAX 01:44 · JFK 04:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.