張普：現(xiàn)代DNS系統(tǒng)典型架構(gòu)

隨著時間的推移，DNS系統(tǒng)早已超出了最初設(shè)定的“地址本”功能，隨著互聯(lián)網(wǎng)絡(luò)的普及，也出現(xiàn)了越來越多的惡意入侵、DDoS攻擊等。一個現(xiàn)代的DNS系統(tǒng)從設(shè)計之初就應(yīng)該考慮到這些問題，以及給最終的用戶提供一個快速、易用的界面。DNSPod的DNS系統(tǒng)經(jīng)過幾代的發(fā)展，現(xiàn)在已經(jīng)可以很好地滿足了上述要求。

DNS系統(tǒng)的使用入口是站長添加刪除記錄等，這部分的要求是簡單易用，快速生效，所以需要一個強(qiáng)大的隊(duì)列系統(tǒng)迅速分發(fā)數(shù)據(jù)并保持各個服務(wù)器的同步。系統(tǒng)出口則是提供查詢服務(wù)的53端口。一方面要很好地滿足各個不同遞歸服務(wù)器的兼容要求，另一方面，也要防止抵御各式各樣的入侵及攻擊。中間的核心模塊則是提供基本的解析功能，需要盡可能地兼容各種RFC協(xié)議同時最大化地提升性能。

DNSPod的 web 前端使用MySQL數(shù)據(jù)庫存儲用戶記錄，但后端的隊(duì)列系統(tǒng)并沒有使用其主從同步的功能，而是自行從MySQL數(shù)據(jù)庫中讀取數(shù)據(jù)進(jìn)行分發(fā)。這樣可以做到10秒內(nèi)在各個服務(wù)器之間生效，一般情況下用戶在網(wǎng)站在添加完記錄，關(guān)閉網(wǎng)頁再去服務(wù)器請求時，數(shù)據(jù)已經(jīng)完成更新。

DNS服務(wù)器之前有黑洞集群防護(hù)設(shè)備，主要用于檢測一些常見的攻擊形式，同時也可以接受后端的實(shí)時命令，及時封禁域名，修改策略。實(shí)現(xiàn)部分智能的攻擊防護(hù)。而在DNS服務(wù)器上，則在內(nèi)核態(tài)運(yùn)行著攻擊檢測及相應(yīng)的保護(hù)程序。保護(hù)程序?qū)崟r統(tǒng)計檢測本機(jī)數(shù)據(jù)流量，確保不會超過機(jī)器最高負(fù)荷。攻擊檢測程序探測數(shù)據(jù)包特征，實(shí)時分析，發(fā)現(xiàn)有特征收斂時立即通知前方的黑洞設(shè)備，即可在最前方抵御攻擊，減少正常服務(wù)的壓力。

最終提供服務(wù)的標(biāo)準(zhǔn)DNS服務(wù)器則可以使用高效的網(wǎng)絡(luò)編程模式，內(nèi)存數(shù)據(jù)庫等提升性能，同時及時實(shí)現(xiàn)最新的RFC協(xié)議，確保跟各大遞歸服務(wù)器之間的無縫連接。

由此可以看到，DNS系統(tǒng)的構(gòu)架早已經(jīng)不是最初的運(yùn)行特定的服務(wù)器軟件這么簡單，而是成為一個鏈條，一個大的系統(tǒng)，需要各方面密切配合才能做好。

【作者簡介】

張普 就職于DNSPod,Inc.，高級系統(tǒng)開發(fā)工程師?，F(xiàn)從事公司DNS系統(tǒng)開發(fā)工作，主要研究方向?yàn)長inux內(nèi)核，網(wǎng)絡(luò)，數(shù)據(jù)庫開發(fā)。