DNS權威服務器選擇方式研究

1、    dns權威服務器選擇方式研究    王圣元+張宇+李東摘要： 關鍵詞： ： 文獻標志碼： a： 2095-2163（2017）06-0122-06abstract： this paper studies the selection of authoritative dns server. in order to enhance the robustness and performance of a domain name， most domains are configured with multiple authoritative dns se

2、rvers. when the dns recursive server receives a query for the domain name， it needs to select one of the authoritative dns server to query. however， the specific manner of choice is unclear， and the relevant rfc standards do not stipulate the way in which the recursive server chooses the authoritati

3、ve dns server. this paper analyzes the selection algorithm of each common dns server version for the authoritative server， and discusses the selection effects of these algorithms and the factors influencing the selection effect. the paper also measures the open dns recursive server throughout china

4、and analyzes its selection effect on the authoritative server.0引言伴隨著因特網(wǎng)的快速發(fā)展，人們的生活早已與網(wǎng)絡息息相關。各種各樣的網(wǎng)絡服務給人們帶來無窮的便利。域名系統(tǒng)作為因特網(wǎng)最重要的基礎設施之一，提供域名到ip地址的轉換服務，是一切網(wǎng)絡服務正常運行的基石，其穩(wěn)定性及其它性能對因特網(wǎng)有重要的影響1。當dns遞歸服務器對一個擁有多個dns權威服務器的域進行查詢時，dns遞歸服務器需要選擇其中一個開展進一步的查詢。其選擇的結果對查詢的響應時間有很大的影響2，各個版本的dns服務器對權威服務器的選擇算法會直接影響其性能。本文分析了常見

5、的服務器選擇算法，并對各個版本dns服務器采用的算法進行了研究。發(fā)現(xiàn)了對算法選擇結果產生影響的多個因素，并對全國范圍內開放dns遞歸服務器對權威服務器的選擇方式進行測量和分析。1dns權威服務器選擇算法1.1權威服務器選擇算法分類在有多個備選的dns服務器可供選擇的情況下，相關的rfc文檔3沒有對選擇的方法做出明確規(guī)定，各個版本dns服務器選擇方式不同，主要有平均選擇算法和rtt（round trip time）相關的選擇算法兩個類別。平均選擇算法不考慮遞歸服務器到各個權威服務器的延遲或跳數(shù)，無差別地選擇dns權威服務器進行查詢。這種方法的優(yōu)點在于實現(xiàn)簡單，且由于查詢的dns權威服務器為隨機選

6、擇，可以使得一些dns攻擊方式更加難以實施，例如kaminsky緩存攻擊4。其缺點在于遞歸服務器不能選擇延遲較小的權威服務器進行查詢，整體性能較差5。rtt相關的算法以往返時間rtt為度量方式來對同一個域的多個dns權威服務器進行選擇，可以直接選擇rtt值最小的dns權威服務器進行查詢，也可以按照rtt值的大小給出概率，并按照概率的大小選擇，通常rtt值越小的dns權威服務器被選擇的概率越大，以此來達到更好的性能，即更快地獲得查詢結果。1.2srtt算法在與rtt相關的服務器選擇算法中，最常見的是srtt（smoothed round trip time）算法。bind（berkeley in

7、ternet name domain）服務器采用srtt選擇算法。srtt算法動態(tài)地維護一個備選的dns權威服務器的ip列表，并通過這些dns權威服務器的srtt時間來選擇其中一個進行查詢，其中srtt為平滑的rtt時延，而具體的計算規(guī)則可表述如下：1）初始化。 當某個備選的dns權威服務器不存在于遞歸服務器的緩存中時，需要對其賦一個初始值srttinit。數(shù)學計算公式如下：srttinit=31r sec（1）其中，r為一個32比特的隨機數(shù)。公式所計算出的srtt初始值遠小于實際網(wǎng)絡中的往返時間，這使得每個備選的dns權威服務器都能被選擇至少一次，以獲得其實際的往返延遲。2）srtt的計算。

8、當dns遞歸服務器發(fā)出的某個查詢收到應答時，給出應答的dns權威服務器的srtt會依據(jù)本次查詢所獲得的新的rtt和之前已有的srtt加權求和計算得出。研究得到公式如下：srttnew=srttold+1-rttnew（2）在bind服務器（版本9.8.0）中，取值為0.76。3）srtt衰減。為了防止在查詢時只選擇某個srtt最小的dns權威服務器，在收到某次查詢的應答時，該次查詢未被選擇的權威服務器的srtt需要按照一定的規(guī)則衰減。推導可得公式如下：srttnew=srttold（3）在bind服務器（版本9.8.0）中，取值為0.98。而在powerdns7中，的計算公式如下：=etn-t

9、n+1c（4）其中， c為常數(shù)，tn-tn+1為兩次查詢的時間間隔。endprint由于網(wǎng)絡處在不斷變化中，原本rtt較大的dns權威服務器可能會變?yōu)閞tt較小的。為了探測到這一變化，dns遞歸服務器需要先對其進行選擇，但如果沒有探測到該變化，則不會對其設定選擇。這就造成了死鎖的狀態(tài)，為了解決這一問題，大多數(shù)rtt相關的選擇算法都會采取rtt衰減的策略，即對于沒有被選擇的dns權威服務器，其記錄的rtt值會按照一定的方式逐漸變小，使得每個dns權威服務器都有被選擇的機會。2可控環(huán)境下權威服務器選擇算法的測量和分析2.1測量環(huán)境為了研究dns遞歸服務器對dns權威服務器選擇的算法及效果，在獨立的

10、網(wǎng)絡環(huán)境下進行實驗。實驗環(huán)境如圖1所示。其中，為的子域，有五個dns權威服務器負責解析該子域下的域名，這五臺dns權威服務器向外發(fā)送的報文分別設置有不同的延遲時間。由于實驗在同一網(wǎng)段下進行，原本服務器間的往返時間可以忽略不計，遞歸服務器到權威服務器的實際rtt只取決于各個權威服務器的延遲時間的設定?？蛻舳讼騞ns遞歸服務器發(fā)送子域下的域名的查詢，觸發(fā)dns遞歸服務器訪問備選的五臺dns權威服務器之一。統(tǒng)計各個版本的dns遞歸服務器對數(shù)個dns權威服務器選擇的分布情況。所測量的dns遞歸服務器版本如表1所示。2.2不同版本dns服務器的權威服務器選擇結果將dns遞歸服務器到各個權威服務器的rtt

11、大小設置為60 ms、80 ms、100 ms、120 ms、140 ms，查詢速率為40次/s，測量表1中的各版本dns服務器對權威服務器的選擇分布情況，實驗結果如圖2所示。其中，圖2（a）為bind 9.8實驗結果，圖2（b）為bind 9.7實驗結果。此二者在選擇dns權威服務器時，都更多地選擇rtt較小的權威服務器。bind服務器采用srtt算法對權威服務器進行選擇， bind 9.8直接選擇srtt值最小的權威服務器進行查詢，bind 9.7則按照srtt的大小設置概率，并依據(jù)概率選擇權威服務器進行查詢。兩者選擇的結果相差不大，各個權威服務器被選擇的比例都與rtt成反比。window

12、s dns server采用平均選擇的方式選擇權威服務器進行查詢，各個權威服務器基本被均勻選擇，結果如圖2（c）所示。powerdns和bind 9.1服務器的實驗結果如圖2（d）和圖2（e）所示。bind 9.1雖然也采用srtt算法，但并沒進行srtt衰減，因此其結果與其他版本bind服務器不同。powerdns采用了srtt衰減的策略，但其衰減的速度過慢，大量的查詢仍被發(fā)往rtt最小的權威服務器。雖然具體原因不同，但這2種服務器的表現(xiàn)形式都為選擇最優(yōu)（rtt最?。┑臋嗤掌鳌Ｈ绻脤嶒炛忻看尾樵兯玫钠骄鶗r間（平均往返時延）代表dns遞歸服務器的查詢效率，利用dns遞歸服務器發(fā)往各個權

13、威服務器上的查詢所占比例的標準差代表查詢分布的離散情況。則windows dns server采用隨機選擇的方式，查詢效率最低，查詢分布得最均勻。bind 9.1和powerdns在選擇dns權威服務器進行查詢時，表現(xiàn)出的形式為選擇最優(yōu)服務器，這種方式查詢的效率最高，其查詢分布得最不均勻，標準差最大。2.3查詢速率和查詢時延對算法效果的影響2.3.1查詢速率對算法選擇結果的影響在保持dns遞歸服務器到各個dns權威服務器往返時延不變的情況下，改變客戶端的查詢速率，分別設置為40次/s、80次/s、160次/s、240次/s、300次/s查詢。在這些不同的客戶端查詢速率下，統(tǒng)計bind 9.8和

14、bind 9.7服務器的平均查詢時間，結果如圖3所示。可以看出，隨著客戶端查詢速率的加快，bind 9.8服務器和bind 9.7服務器的平均查詢時間都逐漸增大，而bind 9.8服務器增加的幅度更大。兩者在查詢速率變高時，選擇較小往返延遲的dns權威服務器進行查詢的比例逐漸減少，而選擇較大往返延遲的比例逐漸增加。由于bind 9.7服務器采用的是根據(jù)與rtt相關的概率隨機選擇，因此變化的幅度沒有bind 9.8大。bind 9.8服務器在高查詢速率下，出現(xiàn)了更多地選擇高rtt的dns權威服務器進行查詢的現(xiàn)象，在查詢速率為300次/s的情況下，bind 9.7和bind 9.8實驗結果如圖4所

15、示。這是由于srtt算法本身導致的。具體原因在2.3.3小節(jié)中進行分析。2.3.2往返時延大小對算法選擇結果的影響除了客戶端的查詢速率可能會對實驗結果產生影響之外，往返時延的大小本身也會對dns權威服務器的選擇結果產生影響。將客戶端的查詢速率設置為80次/s，并改變dns遞歸服務器到dns權威服務器的往返延遲。觀察bind 9.8服務器對dns權威服務器的選擇結果。首先，將dns遞歸服務器到各個dns權威服務器的往返延遲的比例固定，改變其大小，分別設置為20 ms、40 ms、60 ms、80 ms、100 ms和100 ms、200 ms、300 ms、400 ms、500 ms，實驗結果如

16、圖5（a）所示。再將dns遞歸服務器到各個dns權威服務器的往返延遲的差值固定，改變其大小，分別設置為 20 ms、40 ms、60 ms、80 ms、100 ms， 40 ms、60 ms、80 ms、100 ms、120 ms和60 ms、80 ms、100 ms、120 ms、140 ms三組，實驗結果如圖5（b）所示。從圖5的實驗結果中可以看出，在dns遞歸服務器與備選的dns權威服務器之間的往返時延等比例地擴大時，dns遞歸服務器趨向于平均選擇dns權威服務器進行查詢。當各個備選dns權威服務器往返時延的差值不變，而絕對值增加時，dns遞歸服務器發(fā)往各個dns權威服務器的查詢比例趨向

17、于相等。具體的原因在2.3.3小節(jié)中進行分析。endprint2.3.3srtt算法的分析在bind 9.8采用的srtt算法當中，當一個dns權威服務器被緩存后，如果對應的srtt值不是最小的，則進行srtt值衰減至最小，再選擇其進行查詢；如果對應的srtt值是最小的，則選擇該服務器進行查詢，并根據(jù)實際查詢的往返時延來更新srtt值。因此，可以將一個dns權威服務器的srtt值的變化分為srtt衰減、被選擇、srtt更新三個階段。假設某個域有n臺dns權威服務器負責解析，分別為ns1， ns2， ， nsn，對應的往返時延分別為rtt1， rtt2， ， rttn，其中某個權威服務器nsi的

18、srtt值為srtti，其srtt變化曲線如圖6所示。在srtt衰減階段，dns權威服務器nsi的srtt值不是最小的，當dns遞歸服務器收到一個該域的查詢請求時，會選擇該域的其他dns權威服務器進行查詢，此時，每當收到一個該域權威服務器的應答，權威服務器nsi的srtt按照一定的方式進行衰減，通常為乘以一個小于1的衰減系數(shù)。srtt衰減階段對應圖6中的t1t2階段。dns遞歸服務器在t2時發(fā)出一次查詢，在t3時刻收到查詢的應答并對nsi的srtt進行衰減，此次衰減使srtti比該域其他dns權威服務器的srtt值都小，進入到被選擇階段。在被選擇階段，每當dns遞歸服務器收到一個該域的遞歸查詢

19、時，都會選擇nsi進行進一步查詢。當客戶端的查詢速率較高時，在t2t2間仍有許多發(fā)往其他dns權威服務器的請求尚未收到應答，當遞歸服務器收到這些查詢的應答時，nsi的srtt仍然會減小，對應圖6中的t2t3階段。從t3開始，dns遞歸服務器收到在t2t3階段發(fā)送給nsi的查詢的應答，并根據(jù)實際的往返時延對nsi的srtt值進行更新。經(jīng)過數(shù)次更新后，從t4開始，nsi的srtt不再是最小的，此時進入srtt更新階段。在srtt更新階段中，遞歸服務器不會再選擇nsi進行查詢。但dns遞歸服務器可能會繼續(xù)收到nsi的應答報文，并對nsi的srtt進行更新。到t5時，收到被選擇階段中遞歸服務器發(fā)往ns

20、i的查詢的所有應答后，nsi再次進入srtt衰減階段。若有一個備選的dns權威服務器nsi，其srtt衰減階段所占時間為tdecay=t2-t1，被選擇階段所占時間為tselect=t4-t2，選擇后的srtt更新階段所占時間為tupdate=t5-t4，則選擇該權威服務器進行查詢的占比pi為：pi=tselecttdecay+tselect+tupdate（5）dns遞歸服務器從t2時刻開始向nsi發(fā)送查詢，到t3時刻收到nsi返回的應答，t2與t3間的時間間隔取決于dns遞歸服務器與nsi間的往返時延。在bind 9.8中，進行srtt衰減時的系數(shù)為0.98，srtt在增長時采用與實際rt

21、t加權平均的方式。當實際的rtt與衰減后得到的srtt相差較大時，只要收到少數(shù)幾個nsi的應答并對srtti進行更新后，srtti就不再是最小的srtt值。因此，tselect的大小主要取決于dns遞歸服務器與nsi間的rtt大小。參考文獻：1孫瑞. 基于分布式平臺的dns信息探測系統(tǒng)設計與實現(xiàn)d. 哈爾濱：哈爾濱工業(yè)大學， 2013.2 somegawa r， cho k， sekiya y， et al. the effects of server placement and server selection for internet servicesj. ieice transactions on communications， 2003， 86（2）：542-552.3 mockapetris p. domain namesconcepts