DNS nie działa w ataku Anonimowym

12

Gdy piszę to, nasza strona internetowa firmy i opracowany przez nas serwis internetowy znajdują się w wielkiej awarii GoDaddy, wynikającej z anonimowego ataku (a przynajmniej tak mówi Twitter).
Użyliśmy GoDaddy jako naszego rejestratora i używamy go do DNS dla niektórych domen.

Jutro jest nowy dzień - co możemy zrobić, aby złagodzić takie awarie?
Po prostu przejście do, powiedzmy, trasy 53 dla DNS może nie wystarczyć.
Czy jest jakiś sposób na usunięcie tego pojedynczego punktu awarii?

Tal Weiss
źródło
5
Brzmi jakbyś wiedział, co robić. Nie tylko możesz rozprowadzać swoje usługi (mieć więcej niż 1 dostawcę DNS, obniżyć TTL i ewentualnie korzystać z okrągłego robina DNS), ale także skalować (dodatkowy host internetowy, taki jak Amazon, replikowanie treści między hostami, w zależności od budżetu i skali wielkości wdrożenia do CDN i anycasting)
jwbensley
1
tools.ietf.org/html/rfc2182, które mogą być komuś
pomocne
3
Zwykle nie dawałbym rekomendacji produktów, ale nie mogę mówić wystarczająco dobrze o dnsmadeeasy.com - ogółem 1,5 godziny przestoju od momentu rozpoczęcia działalności (kiedy zarejestrowaliśmy się 5 lat temu, mieli 100% czasu przestoju i o ile wiem, 100% to wciąż ich umowa SLA) i zajęło 50 Gb / s DDoS, aby przenieść je w tryb offline. Nawet przy 49 Gb / s DDoS ich serwery reagowały, ale i tak jest to spora dawka.
Mark Henderson
@MarkHenderson Hell, widzę 500% SLA? A 500% SLA for all DNS services, raising the bar industry wide. dnsmadeeasy.com/services/managed-dns
Brent Pabst
@BrentPabst - cóż, to interesujące. Co to właściwie znaczy? Czy to oznacza, że ​​przyznają ci 5-krotny okres przestoju?
Mark Henderson

Odpowiedzi:

10

Możesz wyeliminować ten pojedynczy punkt awarii, używając dwóch dostawców DNS.
Może być również możliwe uruchomienie własnego serwera DNS na jednym z serwerów.
GoDaddy umożliwia wykonywanie transferów stref z ich serwerów (wymagany jest do tego DNS DNS IIRC).

Uzyskaj drugiego dostawcę DNS, który pozwoli ci uruchomić serwer podrzędny (lub uruchomić go samodzielnie).
Dostosuj rekordy NS / Nserver, aby wskazywały zarówno na dostawców, jak i gotowe.

oszust
źródło
Fajnie, ale: na Twitterze widzę pewne twierdzenia, że ​​domeny, które używają Godaddy, podobnie jak ich rejestrator, również nie działają. Nie jestem pewien, jak to działa.
Tal Weiss,
4
Jeśli zrobisz to poprawnie, nie wiem jak. Ludzie twierdzą, że używają go tylko jako rejestratora i hostują swoją witrynę w innym miejscu, ale nie wspominają, że DNS nadal działa na GoDaddy.
faker
W moich ważnych witrynach zawsze uważałem, że rejestrator i dostawca NS powinni być inni. Nawet jeśli nie zapewnia wyższej dostępności ... rozdział mocy może być dobrą rzeczą.
Bret Fisher
3

(1) Sposoby pozostania „nienaruszonym”, jeśli same serwery rejestratora domeny (NIE tylko domena) są DDOS, jeśli takie istnieją.

serwery rejestratora mają znaczenie tylko wtedy, gdy używasz ich do DNS (lub hostingu lub innych usług, oczywiście). Po zarejestrowaniu domeny rekordy trafiają do rejestru głównego i nie trzeba, aby rejestrator działał online, aby domena mogła działać. Jeśli są Twoim jedynym dostawcą DNS, możesz rozważyć dodanie więcej niż jednego.

(2) „Jak mieć więcej niż jednego dostawcę usług DNS dla domeny?

(w tej części potrzebujesz rejestratora online, abyś mógł wprowadzać zmiany za ich pośrednictwem) Na koncie rejestru domeny dodaj wiele autorytatywnych serwerów DNS obsługiwanych przez wielu dostawców. Prawdopodobnie nie będzie to wymagać korzystania z usługi DNS rejestratora, aby można było wejść na serwery innych firm. (np. z chrzestnym nie możesz używać ich „kontroli domeny” oprócz zewnętrznych dostawców, musisz wybrać „moja domena jest hostowana gdzie indziej”, aby ustawić swoje dns)

user16081-JoeT
źródło
do DNS innych firm użyłem zarówno ultradns, jak i dnsmadeeasy, z mojego doświadczenia wynika, że ​​oba działają równie dobrze, a ten drugi jest znacznie tańszy.
user16081-JoeT
3

1) Nie przechowuj wszystkich swoich jajek w jednym koszyku DNS. Jeśli jesteś wystarczająco duży, aby myśleć o anycast i CDN, dlaczego używasz jednego dostawcy, takiego jak GoDaddy? Zróżnicuj swoich dostawców DNS.

2) Anycast. Sprawdź tego bloga, aby zobaczyć, jak dostawca zminimalizował DDOS do 65 Gb / s. http://blog.cloudflare.com/65gbps-ddos-no-problem

notmyname
źródło