【通信产业网讯】DNS-互联网访问的第一步：每天有数以亿计的互联网用户访问各种各样的互联网应用，而所有这些访问的第一步就是DNS解析获得所要访问域名的IP地址。因此，DNS对于所有用户尤其是运营商来说是最基本最重要的应用。服务器负载均衡设备对整体DNS设施的安全、性能和可用性起着攸关重要的作用，是不可或缺的重要设备。美国A10网络的AX负载均衡设备针对DNS有着完整的解决方案，可以在保证安全、高效、和高可用性的前提下缩减服务器投入，降低用户整体拥有成本。

　　DNS攻击：随着互联网的不断发展，面向DNS基础设施的攻击也随之增长。攻击者采取多种形式，从拒绝服务(DoS)到DNS缓存中毒(DNSCachePoisoning)。针对DNS缓存中毒攻击的防护需要DNS服务器弥补相关漏洞乃至逐步过渡到新一代安全DNS协议DNSSEC。最近的DDoS攻击显示攻击者利用特定协议特点和不断发展的技术进行攻击。例如，一个大型运营商曾经历了不寻常的持续变异的DNS放大攻击如下：使用DNSUDP协议发送NS记录查询，伪造IP地址。A10提供了一系列缓解技术处理DNS放大攻击以及其他类似的攻击，确保合法用户服务可用性。
　
　　缓解方法：基础设施的变化，如要求所有用户更改DNS服务器，是不可选的。因此，处理服务请求的能力以及速率和连接限制对于缓解攻击影响都是至关重要的。第一，高性能：在上述的DNS放大攻击中，竞争对手的负载均衡器负载从12%飙升至100%。置换为A10的AX系列后，AX的CPU平均负荷是4-5%，受攻击时仅升高到20%。这是由于A10的高级核心操作系统架构，利用灵活流量处理ASIC能够智能地管理和分配流量到多个工作在真正解耦架构下的处理器，而且ACOS采用了目前业界唯一的高性能的共享内存架构。第二，DNS缓存：AX的DNS缓存功能可以大大降低后端服务器的访问量，降低服务器的投入。而AX高达上百万请求/秒的DNS处理能力配合缓存功能可以在不增加服务器数量的情况下应付各种大规模的DNSDDoS攻击。第三，DNS请求异形检查：AX可以对DNS请求依据相关标准进行解析并检查，如发现请求不符合标准，可以选择丢弃或转发到特定服务器进行分析。这样可以保证转发到后端服务器的请求为正确的DNS请求，而非不合法异形攻击请求消耗服务器资源。第四，基于源IP的连接速率限制：保护系统免受来自单一客户的过度连接请求。对于超过的请求，可以采取丢弃、日志、锁定等多种处理方式。重要的是，AX架构采用共享内存完成这一任务。每个CPU内核可以即时访问任何所需IP的连接速率数据。避免了象一些竞争对手的产品那样需要与另一个处理器通讯获得数据，这大大提高了处理效率。第四，基于策略的服务器负载均衡：利用包含多达800万个主机地址和多达1万个子网的黑/白名单，PBSLB具有可扩展性用于阻止恶意或特定IP地址或子网。可以设置客户IP地址的连接数量门限，丢弃超过的连接请求或将其分配到一组指定的服务器。第五，连接限制：规定了允许连接到服务器的最大连接数。如果超过连接限制，AX停止发送新的连接到服务器。当连接数到达或低于设定的连接恢复门限值时，AX恢复发送新连接。第六，连接速率限制：限制了AX允许到指定服务器的新建连接速率。当连接速率达到其限度，AX停止将客户端请求分配到该服务器。此限制是可配置的，例如，阈值可以设置为超过100万连接，取样速率可设置为100毫秒或1秒。

　　A10网络为国内大型运营商提供DNS解决方案：将两个DNS节点出口部署在两个不同的机房，避免一个机房出现问题，导致服务停顿的风险。AX通过对DNS服务器做负载均衡，提高了DNS系统的可用性，在某个DNS节点出现问题的时候，不会引起用户访问的中断。AX提供基于DNS内容查询的健康检查功能，可以准确判断当前的服务器的健康情况。AX通过端口过滤功能对外只开放53端口，再加上其优异的抵抗DDoS攻击的能力，可以有效保护DNS服务器的安全。AX对DNS请求进行检查，过滤不合标准的攻击请求。AX进行速率限制和连接限制保护服务器。AX进行基于源地址的速率限制防止单一IP过渡请求式的攻击。AX双机作HA，可以避免AX本身出现单点故障引起的访问问题。同时AX支持基于Gateway的切换触发，正在工作的AX在发现与网关的连接不通时，可以切换到另外一台AX，保证通信正常。

　　AX带来的益处：通过对新增DNS系统做负载均衡，解决了该电信因高速发展导致的原DNS系统性能不足压力太大的问题，避免了对高额服务器的投资以及设备替换。通过对DNS实现基于内容的健康检查，可以真正判断后面的DNS服务器是否具有可靠的服务能力。通过启用AX的防攻击功能，可以降低DNS系统遭受攻击导致无法服务的可能，提高服务质量。AX的高性能使得用户对业务的发展有足够的空间和时间规划。所有功能和性能都包括在该平台而无需额外费用，可以最大限度地满足用户未来几年的发展。通过使用A10的AX系列应用交付产品，不仅提供了更快更好的用户体验，使业务得到提升，而且也降低了每笔交易的成本，节省能源消耗和部署空间。

　　AX平台：硬件和软件的协同：AX系列的操作系统集成了对称多处理(SMP)、现代多核技术和多线程软件，具有显著的性能优势。恰当的利用硬件和软件对于负载均衡特别有价值。