控制台
账户信息
认证信息
费用中心
订单管理
消息管理
退出登录

方案背景

作者:蔚可云 时间:2020-12-07

一、运营商劫持

运营商,特别是一些小运营商,为了减少跨网结算成本,会在本地运营商网内搭建内容缓存服务器。本地本网用户访问时,运营商把域名强行指向内容缓存服务器的 IP 地址,从而把本地本网流量完全留在了本地,减少了跨网访问。为了获取更多利益,部分运营商们还会将对应解析内容替换成第三方广告联盟的广告或是钓鱼网站等。
伴随着运营商劫持现象的频繁发生,对企业造成了诸多不良影响:
1.访问失败
客户业务错综复杂,如果域名是通过 https 协议或其它端口提供服务的,用户访问就会出
失败。部分特殊业务,比如视频类网站,由于涉及到防盗链或者视频拖拉等特殊订制功能,一旦被运营商进行内容缓存,用户也会访问失败
2.访问不稳定
运营商的缓存服务器的运维水平参差不齐,可能会出现缓存服务器故障导致用户访问异常的问题。
3.文件更新不及时
运营商自建的缓存服务器配有自己的缓存策略,且该策略独立于 CDN,无法被客户所控制,会造成当文件更新后,终端用户仍访问到被劫持的旧文件内容。
由于运营商自建缓存会导致被 DNS 劫持的访问出现故障、访问效果不佳、访问内容未更新甚至访问到第三方广告等现象,最终造成用户大量投诉。

二、转发解析请求

运营商的 LocalDNS 会存在解析转发的情况,解析转发是指运营商自身不进行域名递归解析,而是把域名解析请求转发到其它运营商的递归 DNS 上。
客户使用 CDN 加速服务后,当解析被运营商转发,蔚可云服务商的权威 DNS 收到的域名解析请求的来源 IP 就成了其它运营商或其他地区的 IP(因为蔚可云服务商的权威 DNS 是根据来源 IP 进行解析调度),那么用户流量就被导向了错误的节点,造成跨域、跨省、跨运营商访问后果:网站访问缓慢甚至无法访问。

三、DNS 多出口

DNS 多出口,是指运营商的 LocalDNS 按照标准 DNS 协议进行递归查询时,由于存在网络多出口且配置了目标路由 NAT 的情况,最终导致 LocalDNS 进行递归解析的出口 IP 非本网 IP 地址。
使用蔚可云CDN加速服务后,蔚可云服务商权威 DNS 会根据来源 IP 进行解析调度。DNS 多出口的情况会造成调度系统收到的域名解析请求来源 IP 变成其它运营商的 IP,最终引发域名解析错误、流量跨网。

四、DNS 攻击

当前网络攻击越来越激烈,从历史来看,每次攻击的影响范围都很大,主要攻击类型:
1.针对公网 dns 服务的攻击,这个攻击影响的是所有解析用户。一旦受攻击,意味着所有用户的域名解析都会出问题,大家上网都会出现故障。
2.针对dns服务的攻击,通常为DDOS攻击,蔚可云平台可应对,其余类型攻击则影响蔚可云平台该 DNS 服务的所有用户。
由于 CDN 加速是通过 CNAME 的方式别名到蔚可云入口,无论是公网 DNS 受到攻击还是蔚可云DNS受到攻击,都将对客户的服务造成严重影响,甚者直接导致区域服务中断。