政企网络NAT出口用户,请提前对阿里云公共DNS进行管控干预

文摘   2024-07-22 17:25   四川  

223.5.5.5、223.6.6.6,相信每一个搞网络的同学都对这两个IP地址耳熟能详。它们是阿里云的公共DNS地址,免费、稳定,小编过去干技术的时候,也都会习惯性地给DNS配上这两个地址。


然而,最近阿里云发布了一则公告,在技术圈中掀起了不小的波澜。公告宣布,阿里云将对其免费版公共DNS实施接入限速

由于产品升级,从2024年9月30日起,公共DNS(223.5.5.5、223.6.6.6)将对免费的解析请求采取智能流量管控措施。



公告地址:https://help.aliyun.com/zh/dns/public-dns-free-version-access-speed-limit-notification?spm=a2c4g.11186623.0.0.2cf053fe05by19


那么,这个公告到底意味着什么?它将如何对我们的网络体验造成影响?面对这一变化,我们又可以采取哪些应对措施呢?


接下来我们就来一起分析这一变化,并聊聊政企网络用户应如何提前做好准备。


什么是DNS?


DNS(Domain Name System,域名系统)是一种将易于人们记忆的域名(如www.abc.com)转换为计算机可以理解的IP地址(如192.168.1.1)的系统。DNS就像网络的“电话簿”,帮助我们能够通过易于记忆的域名快速访问网站。


DNS是互联网的基础服务之一,从浏览网页、社交媒体到视频会议,绝大多数的在线活动都依赖DNS。因此,DNS服务的任何变化都可能影响到我们的网络体验。


什么是公共DNS服务?


公共DNS服务是由各大互联网公司或组织提供的DNS解析服务,面向所有互联网用户开放。比如文章开头的223.5.5.5、223.6.6.6,就是阿里云的公共DNS服务地址。


公共DNS服务通常在全球范围内设置多个服务器节点,更加稳定可靠,并拥有高速的解析能力。一些公共DNS服务还提供了安全功能,比如防止恶意软件和钓鱼网站的域名解析,保护用户的网络安全。


再加上其免费的特性,很多用户都会使用公共DNS服务器,来替代其默认的ISP提供的DNS服务器。


全球范围内,常见的公共DNS服务包括:

Google Public DNS:8.8.8.8, 8.8.4.4Cloudflare DNS:1.1.1.1, 1.0.0.1Quad9 DNS:9.9.9.9OpenDNS:208.67.222.222, 208.67.220.22


国内常见的公共DNS服务有:

114DNS:114.114.114.114, 114.114.115.115腾讯DNSPod:119.29.29.29阿里云公共DNS:223.5.5.5, 223.6.6.6百度公共DNS:180.76.76.76火山引擎DNS:180.184.1.1, 180.184.2.2


DNS的QPS限制?


阿里云的公告中提到了一个关键术语:QPS

免费版服务适用于个人终端低并发使用,如流量过高(DoH/DoT请求:单递归节点单请求源IP访问量超过20QPS;UDP/TCP请求:单递归节点单请求源IP对于未命中DNS缓存的非热点域名请求访问量超过100QPS)将可能会触发限速策略(仅在系统遭受大流量请求冲击资源水位不够用情况下短时间可能触发)。


所谓QPS(Queries Per Second),指的是每秒钟查询请求的数量。随着阿里云公共DNS免费版即将实施智能流量管控措施,届时用户一旦达到QPS的阈值,将会触发限速策略,从而可能对网络造成下列影响:

域名解析异常

用户发送的DNS查询请求无法得到响应,导致域名解析失败。

网络延迟增加

由于查询请求被限制,超出部分的解析请求可能会被延迟处理,导致用户访问网站和在线服务的速度减慢。

业务中断或不可用

如果DNS解析服务长时间无法响应,会导致依赖该服务的网络业务无法正常工作,影响业务连续性与用户体验。

我们的建议


9月30日之后,阿里云公共DNS免费版将采取QPS限制。对于拥有NAT出口的政企网络,尤其是需要高可靠性和低延迟的网络环境,我们建议提前做好准备,对阿里云公共DNS进行管控干预。


一方面,可以将出口的DNS流量牵引到本地运营商DNS服务器或其他不做限制的公共DNS,以避免公共DNS的QPS限制带来的潜在网络故障。

通过Panabit的DNS牵引功能,即可将DNS请求重定向至指定的DNS服务器


除了对外的DNS重定向策略,还可以对内网用户的DNS QPS进行限制,防止因个别内网用户设备受到病毒感染,而不断发起大量的DNS请求,从而触发上游DNS服务的限制,影响整个NAT出口下其他用户的正常使用。通过限制内网用户的DNS请求频率,能够降低整个网络受到单一问题用户影响的风险。

通过Panabit的DNS管控功能,可针对总QPS和单用户QPS分别进行限制


结语


天下没有免费的午餐,作为网络基础设施的DNS,这种有条件的免费模式今后是否会成为新的常态,我们不得而知。不过,这也为我们敲响了警钟——在享受互联网便捷服务的同时,我们必须时刻保持警惕,积极适应技术和服务模式的变化。


彩蛋

Easter Egg

小编在写本文之前,最早版本的阿里云公告中描述是这样的:

这里2000bps的描述,在今早的版本中(本文开头引用的)被修正为了“UDP/TCP请求:单递归节点单请求源IP对于未命中DNS缓存的非热点域名请求访问量超过100QPS)”。


那么,2000bps的DNS流量是什么概念呢?为此,小编特意咨询了AI:


这么小的QPS,基本属于不可用的状态,也难怪公告会进行修改了~


就在小编写完文章,准备发布之时,阿里云的公告又双叒改了


新的公告中,关于限速策略触发条件的部分,已经被删除……


不管怎么说,无论公共DNS的QPS值设置为多少,考虑到NAT的存在,对单个IP进行限制可能并非是最优的解决方案。基于各个厂家NAT的不同负载均衡特性(比如按照目的地址和端口均衡),经常一个地址池的DNS请求会出现在一个源地址,增加了触发QPS限制的风险。建议阿里云可以考虑采用一个C段地址范围,共享整个网段的QPS,比如256个地址共享25600QPS,这样设置对NAT相对比较友好,不容易让NAT用户触发限制。


另外,虽然国家在大力推进去NAT(“网络去NAT44”:IPv6时代的网络安全展望但NAT的大量存在是客观事实,任何骨干网服务能力调整,都需要考虑现网用户的实际情况。



往期精选







关注更多官方平台


官方视频号

@北京派网Panabit

扫码关注


官方抖音号

@北京派网Panabit

打开抖音扫码关注


官方B站

@北京派网Panabit

B站搜索关注

官方微博

@派网Panabit

微博搜索关注


畅享连世界




北京派网Panabit
畅享连世界,致力于可视可控,安全顺畅的云网一体化交付
 最新文章