編者的話

DNS是互聯(lián)網(wǎng)的基石之一，如何持續(xù)提供高質(zhì)量DNS服務(wù)，是業(yè)界一直探尋的方向。easyDNS的創(chuàng)始人Mark Jeftovic在接受LuxSci公司的采訪時，介紹了easyDNS的架構(gòu)與攻擊防御措施。

正文

自1999年以來，LuxSci一直與easyDNS在提供DNS及域名注冊服務(wù)等方面進行著合作。由于業(yè)務(wù)量巨大，我們推出了“企業(yè)DNS”門戶網(wǎng)站，LuxSci及其客戶可以通過該網(wǎng)站管理自己的域名。由于這些年來easyDNS一直提供高質(zhì)量的DNS服務(wù)和支持業(yè)務(wù)，管理態(tài)度友好務(wù)實，LuxSci也因此與easyDNS始終保持著合作關(guān)系。LuxSci相信，通過與easyDNS的合作，能夠給客戶提供質(zhì)量最高、穩(wěn)定性最好的DNS服務(wù)。DNS服務(wù)對企業(yè)來說至關(guān)重要，如果企業(yè)的DNS出了問題，那么其他業(yè)務(wù)也就無法開展。

目前，LuxSci將DNS及域名注冊服務(wù)作為其電子郵件和網(wǎng)頁寄存服務(wù)的附加內(nèi)容提供給客戶，價格很有競爭力，而且提供的服務(wù)包含所有可以直接從easyDNS獲取的功能。另外，LuxSci還會幫助客戶完成DNS和域名注冊時的設(shè)置工作，并在客戶修改配置時進行協(xié)助，最大程度地減小出錯的幾率。正是因為如此，LuxSci的技術(shù)支持備受贊譽。LuxSci的客戶也可以選擇自主管理DNS，只要使用用戶名登錄就可以隨時管理自己的DNS。

相關(guān)廠商內(nèi)容

提高工程效率的各種最佳實踐和典型思路

知道創(chuàng)宇技術(shù)副總裁余弦將擔任QCon北京2016出品人

QCon北京2016大會，4月21-23日，與您相約北京國際會議中心，現(xiàn)在報名享8折優(yōu)惠！

相關(guān)贊助商

QCon北京2016大會，4月21-23日，北京·國際會議中心，精彩內(nèi)容邀您參與！

Mark Jeftovic是easyDNS最初的創(chuàng)始人和架構(gòu)師之一，現(xiàn)在是easyDNS公司的唯一所有者。LuxSci希望通過此次對Mark的采訪，讓大家更好地了解easyDNS。

LuxSci：Mark，您能簡單地介紹一下easyDNS公司的發(fā)展歷程嗎？

Mark Jeftovic：我們最初是另外一家公司。1994年到1996年間，我們做了許多定制網(wǎng)頁開發(fā)的項目，也是最早一批使用SQL后端制作動態(tài)網(wǎng)站的公司之一。由于LAMP（Linux-Apache-MySQL-PHP）環(huán)境在當時還十分罕見，因此每當我們拿到一個新客戶的項目，一般都需要將客戶的網(wǎng)站轉(zhuǎn)移到我們自己的服務(wù)器上。

我們在修改DNS、鎖定或解鎖客戶的域名時總是遇到問題。這是因為客戶雖然購買了域名，但卻沒有管理權(quán)限。域名的管理只能靠互聯(lián)網(wǎng)服務(wù)提供商（ISP）、虛擬主機提供商或是其他第三方機構(gòu)。

就像我們說過的那樣，為了讓客戶能夠“用自己的網(wǎng)頁瀏覽器方便地”管理自己的域名，我們希望搭建一個域名管理平臺并給客戶提供一個操作面板，這便是我們最初的想法。1996年左右，我們開始構(gòu)建系統(tǒng)。到了1998年，系統(tǒng)已經(jīng)準備好上線了。當我們將系統(tǒng)上線后，域名管理業(yè)務(wù)也便蓬勃發(fā)展起來。2000年前后，我們關(guān)閉了先前的公司，專心運作easyDNS。

大概在2000年的時候，ICANN開放了域名注冊并引入競爭機制，因此，我們也應(yīng)運成為了一家OpenSRS的分銷商。2001年，CIRA開放.CA域名的注冊，我們獲得了CIRA的代理注冊認證。2003年，我們獲得了ICANN的官方認可。

LuxSci：easyDNS支持多少個域名呢？在多少個國家提供域名服務(wù)呢？

Mark Jeftovic：去年，我們收購了另一家DNS提供商Zoneedit公司。如果把Zoneedit和easyDNS管理的域名數(shù)目加起來，總數(shù)大概是三十萬。我們的客戶來自超過100個國家，easyDNS每天需要響應(yīng)大約十億次的DNS請求。

LuxSci：easyDNS為用戶提供了幾種不同的DNS服務(wù)器，比如dns1.easydns.com、dns2.easydns.net、 dns3.easydns.org等。這些域名背后的服務(wù)器或是其地理位置有什么區(qū)別？為什么使用了不同的頂級域名（com、net、org等）？

Mark Jeftovic：這些域名未來很可能變動、重疊或重組，不過目前，它們的區(qū)別如下：

• dns1.easydns.com使用的是一個4節(jié)點的任播鏈系統(tǒng)，節(jié)點分別設(shè)在圣荷西、芝加哥、阿姆斯特丹以及東京。
• dns2.easydns.net使用的是Cloudflare公司的任播CDN（內(nèi)容分發(fā)網(wǎng)絡(luò)），但我無法確切地告訴你這其中到底有多少個節(jié)點。我們始終希望擁有多個DDoS緩解措施，因此在一年前，我們結(jié)束了使用Prolexic的服務(wù)，并開始與Cloudflare公司合作。
• dns3.easydns.org使用的是一個混合式任播集群系統(tǒng)，由我們自己開發(fā)，一些節(jié)點由easyDNS的主要DDoS緩解方案提供商Staminus公司所提供。我們的硬件設(shè)備直接寄放在位于加州、紐約、阿姆斯特丹的Staminus清洗中心。其余的節(jié)點則通過HostVirtual公司的網(wǎng)絡(luò)部署。在一次DDoS攻擊發(fā)生時，我們會放棄HostVirtual網(wǎng)絡(luò)上的廣播，所有傳輸只經(jīng)過Staminus的節(jié)點。
• dns4.easydns.info使用的是另一家獨立供應(yīng)商Community DNS的服務(wù)。Community DNS提供許多區(qū)域性的網(wǎng)絡(luò)域名服務(wù)，DNS4則使用了該公司網(wǎng)絡(luò)上的6節(jié)點任播系統(tǒng)。

LuxSci：將DNS服務(wù)器設(shè)在不同的國家是如何提高DNS服務(wù)質(zhì)量的呢？

Mark Jeftovic：對于DNS來說，冗余是個好東西。如果將名稱服務(wù)器（Name Server）的信息進行廣播（甚至不必用到任播的方法），當網(wǎng)絡(luò)中的某些地方出現(xiàn)故障時，仍然會有一些服務(wù)器可以接收到任意節(jié)點發(fā)出的請求。在多接入數(shù)據(jù)中心協(xié)同定位時，上述機制的運行效果最佳。所以，一個數(shù)據(jù)中心幾乎不太可能完全從互聯(lián)網(wǎng)中斷開。

DNS算法的工作原理是，一臺名稱服務(wù)器在初始時給所有的名稱服務(wù)器發(fā)送請求信息，計算響應(yīng)時間。之后再發(fā)送請求時，則發(fā)送給響應(yīng)時間最短的名稱服務(wù)器（大意是這樣，細節(jié)還有很多）。當你把你的名稱服務(wù)器進行廣播后，你就得到了最佳的DNS請求定向信息。

當多個名稱服務(wù)器響應(yīng)同一個IP地址的網(wǎng)絡(luò)中加入任播后，那么，在一個名稱服務(wù)器進行第一次響應(yīng)時間檢測時，該名稱服務(wù)器的請求會經(jīng)過任播節(jié)點，而任播節(jié)點已經(jīng)擁有了包含訪問當前節(jié)點最短路徑的路由表，所以將會獲得2次最佳定向信息：一次是由“最近”的任播鏈節(jié)點發(fā)回，另一次則是從任播鏈最先應(yīng)答的某一處發(fā)回。

LuxSci：DNS服務(wù)的可靠性和故障發(fā)生時的恢復(fù)能力是其最重要的性能。過去的幾年里，有很多次比較嚴重的針對easyDNS以及其他公司的分布式拒絕服務(wù)攻擊，同時也有其他類型的攻擊。這些攻擊的強度和頻率似乎有增長的趨勢。您認為針對DNS提供商的DDoS攻擊確實在增加嗎？您如何看待這種趨勢？

Mark Jeftovic：在我們的《主動式名稱服務(wù)器白皮書》中，我們給出了一張顯示DDoS攻擊強度隨時間變化的圖表。這幅圖表中預(yù)測2020年時，DDoS攻擊強度將會達到1.2TB（Terrabyte，十萬億比特）。我認為這個預(yù)測還過于樂觀，去年的NTP反射攻擊就已經(jīng)達到了每秒300 GB。

這便是為什么我認為抵抗DDoS攻擊最明智的方法是獲取并維護“DNS馬賽克”。“DNS馬賽克”始終與給定的DDoS攻擊向量有差別，對所有非DDoS攻擊對象都適用。事實上，大多數(shù)DDoS主要造成的是間接傷害。例如其他人受到了DDoS攻擊，而受害者和你的服務(wù)提供商相同，那么你更有可能會因此受到影響，而不是自身作為目標直接遭受DDoS攻擊。

DNS故障會立即使網(wǎng)絡(luò)癱瘓，所以DNS是最常見的攻擊目標。移除了攻擊目標的名稱服務(wù)器，也就沒有了可以攻擊的目標，便從根本上遏制了攻擊。

LuxSci：在DDoS攻擊發(fā)生時，easyDNS如何確保可以繼續(xù)提供服務(wù)？

Mark Jeftovic：我們擁有多個服務(wù)提供商，這使得我們的DDoS緩解控制措施，甚至我們自己的DNS都能有冗余（詳見下一個問題）。

如果必須保證每時每刻都能百分之百地有可用的DNS，那么就需要使用多DNS的解決方案，通過一致性策略維護當前網(wǎng)域（zone）的DNS交互數(shù)據(jù)，并可以在運行中切換DNS。

這正是我們所做的工作。我們有一項正在申請專利的服務(wù)——“主動式名稱服務(wù)器”，可以在名稱服務(wù)器層上實現(xiàn)故障轉(zhuǎn)移。我們的重點在名稱服務(wù)器上，而不是在主機名失效時，于給定網(wǎng)域內(nèi)轉(zhuǎn)移主機名的故障。我們的做法是，在名稱服務(wù)器出現(xiàn)故障時，自動調(diào)取備份的名稱服務(wù)器開始工作。

我們使用亞馬遜Route 53和Zoneedit作為備份（你也可以根據(jù)自己需要設(shè)置更多的備份池）。當我們遭受DDoS攻擊時，我們只用簡單地將備份名稱服務(wù)器加入到授權(quán)名單中，或者完全切換到使用備份名稱服務(wù)器的模式。這個過程完全自動，效果很好。這些年來甚至在遭受非常嚴重的DDoS攻擊，easyDNS名稱服務(wù)器都受到了非常大的影響時，easyDNS的控制系統(tǒng)和輔助服務(wù)（如電子郵件、轉(zhuǎn)發(fā)功能等）仍然可以正常工作。

LuxSci：為了避免針對DNS提供商的DDoS攻擊所帶來的影響，用戶們可以做些什么？

Mark Jeftovic：地理冗余和網(wǎng)絡(luò)冗余之后，冗余的下一個層次是多提供商冗余。正如我剛才所說的那樣，我們自己就和合作的其他DNS提供商進行了整合，我們的客戶也可以使用這些提供商的服務(wù)。

因此，如果你同時在使用easyDNS和亞馬遜Route 53的服務(wù)，你只需要在一個控制面板上操作就可以整合自己的網(wǎng)域。我們也進行了Linode.com、Digital Ocean 還有Google’s cloud DNS的整合，不過目前還都是測試版。

你還可以做的一件事是監(jiān)視，然后在不同的名稱服務(wù)器池和提供商之間切換，并使這個過程自動化。不過這是我們的“主動式名稱服務(wù)器”解決方案要做的工作，我們也稱之為“Plan B DNS” 。

LuxSci：新聞報道過許多DNS污染攻擊的事件。easyDNS考慮過DNS污染相關(guān)的問題嗎？您認為在防止用戶受到此類攻擊方面，未來可以采取哪些措施？

Mark Jeftovic：DNS污染攻擊主要針對的是遞歸名稱服務(wù)器或域名解析器，并非權(quán)威DNS服務(wù)器。顯而易見，這不是我們的主要矛盾。easyDNS支持DNSSEC，可以幫助客戶避免DNS污染的影響。

但是我發(fā)現(xiàn)最近一段時間，更容易實現(xiàn)的破壞是入侵提供商管理控制系統(tǒng)，要么通過軟件漏洞，要么通過社會工程學(xué)的途徑侵入。侵入后，就可以輕松接管目標DNS。因此我們建議，在所有有條件的地方，始終開啟全賬號事件警報和雙重認證。

LuxSci：DNSSEC（DNS Security）是一種DNS安全認證的機制，但還沒有在實際應(yīng)用中產(chǎn)生足夠吸引力。easyDNS 支持DNSSEC嗎？您怎樣看待DNSSEC以及其他解決相同問題的技術(shù)的未來？

Mark Jeftovic：easyDNS支持DNSSEC，而且我們認為它是DNS發(fā)展中必然會出現(xiàn)的安全機制，盡管現(xiàn)在它還有很多缺陷。我個人認為，惡意的密鑰滾動發(fā)生的頻率更高，對網(wǎng)域的危害大于緩存污染。

LuxSci：許多域名注冊商（比如Network Solutions等）也為客戶提供DNS服務(wù)。與這類公司相比，easyDNS的優(yōu)勢是什么？

Mark Jeftovic：我常給別人講一個笑話：“免費DNS不干活時也免費。”免費的DNS雖然不收費，但卻時常故障，無法保證長時間穩(wěn)定工作。大多數(shù)網(wǎng)絡(luò)用戶、虛擬主機、互聯(lián)網(wǎng)服務(wù)提供商、甚至域名注冊商，都不會提前考慮DNS的重要性。直到DNS服務(wù)器出現(xiàn)問題，他們才開始意識到要好好改善DNS服務(wù)。DNS對于互聯(lián)網(wǎng)至關(guān)重要，因而我們的宗旨便是：“DNS如春雨，潤物細無聲。”

LuxSci：像UltraDNS等頂尖DNS企業(yè)也在競爭同LuxSci等服務(wù)提供商的合作。在這場競爭中，easyDNS的優(yōu)勢又是什么呢？

Mark Jeftovic：最近有一種說法是，我們公司給出的服務(wù)價格更有競爭力。這種說法比較奇怪，因為在和域名注冊商對比時，easyDNS的服務(wù)通常都被評價為“昂貴但值得擁有”。雖然注冊商不僅以極其低廉的價格出售域名，還附帶提供DNS服務(wù)，但是，我們擁有任播DNS技術(shù)，還針對DDoS部署了防御措施，而且價格也并非昂貴到難以承擔。

LuxSci：easyDNS近期有重要的新功能發(fā)布嗎？

Mark Jeftovic：主要的新功能就是DNS整合和主動式名稱服務(wù)器。主動式名稱服務(wù)器這項功能由我們公司最先發(fā)明，屬于世界首創(chuàng)。

我們剛剛完成了第二版的GeoDNS，目前正在用PHP.net進行在線測試，今年秋天就可以發(fā)布了。

我們同時也在開發(fā)其他幾樣產(chǎn)品，但都還處在非常原始的階段。

閱讀原文：《Interview with Mark Jeftovic, CEO of easyDNS》

編后語

《他山之石》是InfoQ中文站新推出的一個專欄，精選來自國內(nèi)外技術(shù)社區(qū)和個人博客上的技術(shù)文章，讓更多的讀者朋友受益，本欄目轉(zhuǎn)載的內(nèi)容都經(jīng)過原作者授權(quán)。文章推薦可以發(fā)送郵件到editors@cn.infoq.com。

感謝魏星對本文的審校。

給InfoQ中文站投稿或者參與內(nèi)容翻譯工作，請郵件至editors@cn.infoq.com。也歡迎大家通過新浪微博（@InfoQ，@丁曉昀），微信（微信號：InfoQChina）關(guān)注我們，并與我們的編輯和其他讀者朋友交流（歡迎加入InfoQ讀者交流群（已滿），InfoQ讀者交流群（#2））。