114DNS 商业服务背景

DNS 是互联网最薄弱的关键技术环节,电信运营商的 DNS 故障等同于断网,互联网企业的 DNS 故障等同于该企业的网站中断。

114DNS 曾协助几个大省电信运营商进行 DNS 攻防演练,仅靠几百行简单的 C 代码和一台普通的笔记本电脑,就轻易地将这些省的 DNS 攻瘫,而传统的网络安全设备对此却无能为力,DNS 这么脆弱并非 DNS 软件 BUG 引起,而是因为 DNS 协议的天生缺陷所致。

实力雄厚的大型电信运营商的 DNS 都难以抵御来自于一台普通笔记本电脑的简单 DNS 攻击,互联网企业的 DNS 安全性又能如何呢?114DNS 在协助国内若干个超大型互联网企业进行 DNS 安全测试时,发现其 DNS 的抗攻击能力低于电信运营商的 DNS 一个数量级,而且互联网企业普遍存在智能 DNS 解析不准确甚至存在 DNS 解析成功率较低的现象。

114DNS 的商业服务可帮您大幅提高 DNS 的安全性,同时提高您的 DNS 服务质量。对于互联网企业,提高 DNS 服务质量将直接提升您的业务收入。

面向企业的服务

一、权威智能 DNS 解析服务

提供多种服务等级的权威智能 DNS 解析服务,114DNS 最突出的特点是抗攻击和稳定可靠,并且智能解析高度精准。

智能 DNS 解析建立在一套科学的 IP 地址数据之上,它至少应包括 IP 地址与基础 ISP 所属省份的互连关系:当某段 IP 地址归属于基础 ISP 时,需要确定这段 IP 地址具体归属于哪个基础 ISP 并定位具体使用这段 IP 地址的省份;当某段 IP 地址不属于基础 ISP 时,需要确定这段 IP 地址与哪些基础 ISP 互连并定位具体互连的省份(国内有不少 IP 地址不归属于基础 ISP 但采用 BGP 协议与多家基础 ISP 互连)。精确地定位国内现有 3 亿多个 IPv4 地址与基础 ISP 省级或地市级分支机构的互连关系非常困难、只有尝试后才能真正体验到。114DNS 服务方对国内大、中、小型互联网企业的智能 DNS 解析结果作了抽样调查,发现国内智能 DNS 解析的错误比例高于 10%,不准确的 DNS 解析结果直接降低了互联网企业的服务质量及营收。

114DNS 的技术服务方为国内基础 ISP 提供骨干网 IP 流量管理服务,精确地统计了国内在用 IPv4 地址与各基础 ISP 的多点互连关系,其准确性为任何其他技术或人工手段所不可达到,这是 114DNS 智能解析高度精准的基础保障。

114DNS 由几百个 Intel 的高端 CPU 内核构成,有多条 10GE 和 GE 电路直连基础电信运营商的核心路由器,采用 BGP Global AnyCast 技术多点部署,这些基础资源构成 114DNS 抵御几千万 QPS 针对 DNS 的 DDoS 攻击的硬件保障;114DNS 的技术服务方与国内外顶级网络安全厂商进行的 DNS 攻防对抗中保持全胜的技术实力,是 114DNS 抵御各种 DNS 攻击的软件保障;114DNS 承载着基础 ISP 几千万宽带用户的 DNS 备份服务,攻击 114DNS 如引发后果而导致的量刑完全不同于普通的网络攻击,这是 114DNS 抵御 DNS 攻击的社会保障。

114DNS 的服务价格如下表,企事业单位可将多个 NS 中的一个或全部指向 114DNS 的服务地址。

服务分类 服务承诺
(SLA)
月解析次数 请求量上限 记录条数 分区解析 分区数量 每月价格
(元)
服务模式
3 星 99.90% 5 千万 20万QPS 50 分运营商+分省 不超过5 300 域名托管
4 星 99.90% 5 千万 100万QPS 100 分运营商+分省 不超过10 800 域名托管
5 星A 99.99% 5 亿 1000万QPS 1000 分运营商+分省 不限 3000 域名托管
5 星B 99.99% 5 亿 1000万QPS 1000 分运营商+分省 不限 6000 透明保护
6 星 99.999% 不限 不限 逐案商议 分运营商+分省 不限 逐案商议 逐案商议

说明:

1. 域名被攻击期间的 DNS 解析量不计入月解析次数;

2. DNS请求量超过请求量上限、持续时间为1小时或更长,该域名视为被攻击,域名被攻击之后暂停解析,攻击解除之后1小时恢复正常解析;

3. 提交给 114DNS 服务的域名,仅限于 Whois 查询结果持有者相同的域名,这些域名需要在 114DNS 服务合同中注明。


二、CDN 企业专用 DNS 保护服务

提供 CDN 服务或自建 CDN 的企业的 NS 服务如果出现故障,那么其CDN所承载的互联网应用全部瘫痪,对 CDN 企业而言是灭顶之灾。114DNS 为 CDN 企业量身定制了专用的 DNS 保护方案:CDN 企业改用 114DNS 的服务地址对外服务,114DNS 会将 ISP 递归服务器的 IP 地址透传给 CDN 企业的 NS 服务器,从而将 CDN 企业用于负载均衡调度的 NS 服务器保护起来、同时确保 CDN 企业原有的调度不需要做任何修改。平常 114DNS 仅仅起桥梁作用;当 CDN 企业用于服务的域名遭遇 DDoS 攻击时,具备超强抗攻击能力的 114DNS 会将攻击流量洗涤掉、然后将干净的 DNS 数据透传给 CDN 企业的 NS 服务器;当 CDN 企业的 NS 服务器因异常故障而丧失服务能力时,114DNS 可按 CDN 企业事先定义好的规则接管 CDN 企业NS服务器的部分工作,确保 CDN 企业的大部分服务不受影响。大型互联网公司也可利用该服务,提升权威DNS服务系统的抗攻击能力。

三、个性化递归 DNS 服务

114DNS 未来将为企业提供个性化递归 DNS 服务,协助企业抵御互联网恶意代码对企业内部计算机网的侵害,避免色情网站、网络游戏及网络购物降低员工上班时间的工作效率。

 

面向 ISP 或 IDC 企业的服务

一、为 IDC 企业提供免费的 DNS 服务

IDC 企业将 DNS 地址设置为 114.114.114.114/114.114.115.115,或将 BIND 的递归 DNS 请求 forward 到 114DNS,可以大幅度提高现有 DNS 系统的服务质量,114DNS 不会收取任何服务费。由于 114DNS 以 BGP Global AnyCast 方式部署,所以 IDC 企业在使用 114DNS 时需要视 BGP 的情况决定是否需要采用静态路由,详情请参考:常见问题

二、为 ISP 提供免费的 DNS 服务

ISP 的 DNS 负责人都很清楚,DNS 故障对用户而言就是断网,无论电信、联通还是移动,一年内如果您所维护的 DNS 无故出现两三次故障,您和您的直接领导被扣奖金是最轻的处罚,可又很难说服相关部门为没有直接产出的 DNS 系统追加投资。

一般来说,平常ISP的DNS都能正常工作,但是当ISP的DNS遭遇递归DNS攻击、第三方权威NS大规模故障(例如5.19)、DNS根节点故障、.COM/NET顶级域节点故障等情况下,ISP的DNS会由于大量的递归DNS作业而瘫痪,虽然这些故障平常不发生,但是一旦发生都会给ISP带来灾难。ISP如果将递归DNS请求Forward到114DNS,便可规避上述灾难,114DNS具备专业的抗DNS攻击能力并可应对极端情况下的DNS故障。中小型ISP将递归DNS请求Forward到114DNS,除了能大幅提升DNS的服务质量外,还可降低DNS的技术维护成本和系统建设成本。由于114DNS以BGP Global AnyCast方式部署,所以小型ISP在使用114DNS时需要视BGP的情况决定是否需要采用静态路由,详情请参考: 常见问题

目前已有不少的ISP(包括基础ISP)将递归DNS请求Forward到114DNS,其DNS稳定性得到大幅提高。此外,114DNS还提供面向ISP的免费DNS监测服务(需要事先与114DNS联系),实时监测ISP的DNS对主要域名的响应情况并进行关联分析,当ISP的DNS服务质量恶化时,ISP的维护人员可从114DNS寻求到排除DNS故障的合理化技术建议。

三、为 ISP 提供专业的 DNS 备份服务

假设您担心 DNS 故障时设置 BIND 太困难,或者担心 DNS 的其他关联设备故障设置 BIND 也没用,那么我们可提供一套专业的 DNS 备份设备,当您维护的 DNS 系统被攻击或出故障时,仅需要通过 https 登陆到该设备,点一下鼠标便可以将宽带用户的 DNS 请求转到 114DNS 服务平台(逻辑图及操作界面参见常见问题),114DNS 便无缝接续原有 DNS 系统的服务,确保专线用户及拨号用户都不会感知到 DNS 的变化。由于我们需要额外投入设备,因而该 DNS 备份服务需收费,宽带用户 100 万以下的 ISP 每年服务费为 5 万元,宽带用户超过 100 万的,每增加 100 万用户加收 2 万元。该 DNS 备份服务每年累计服务时长不超过 30 天,除软硬件故障外不提供现场服务。DNS 备份设备的部分参数如下:

设备高度 电源需求 网络接口 转发性能 抵抗攻击性能
2 U 交流220伏,300瓦 2 个千兆 1 个百兆 80 万 QPS 120 万 QPS

四、为 ISP 提供可靠的 DNS 外包服务

DNS 是互联网既基础又专业的服务,目前有不少 ISP 的 DNS 都带病运行,已部署的传统网络安全设备对 DNS 系统的保护仅有心理安慰作用甚至是副作用。基础电信运营商将 DNS 服务外包给我们,可大幅提升 DNS 服务质量、无需再对 DNS 系统进行扩容投资。

114DNS 标准的外包服务,包括 320 万 QPS 的 DNS 解析量、抵御 480 万 QPS 针对 DNS 的 DDoS 攻击,7X24 远程值守、7X24 技术支持、每年 2 次现场巡检、软硬件出现故障时的现场服务,提供监测网管、具备 SNMP 接口,不提供客户化开发。基础电信运营商仅需自备 8 台 PC 服务器(包括 2 台网管服务器及 2 台 Radius 接口服务器)和相应的带宽,其他所有软硬件都由我们提供。114DNS 标准的外包服务按年收费,起步价为 15 万元,价格低廉甚至低于基础电信运营商原有 DNS 系统每年的硬件保修费。

我们为中国电信和中国联通若干大省承建的 DNS 系统正在为超过 2000 万宽带用户提供安全可靠的商用 DNS 服务,其强大的功能和优越的性能解决了 ISP 的众多技术难题,部分 ISP 省公司的维护部门因此获得技术创新特等奖。