Nasz dostawca DNS, co jakiś czas, doświadcza ataków DDOS na swoje systemy, które powodują awarię naszych witryn frontowych.
Jakie są opcje ograniczenia zależności od SINGLE zewnętrznego zarządzanego dostawcy DNS? Moją pierwszą myślą było użycie TTL o niższym okresie ważności i innych TTL SOA, ale wydaje mi się, że wpływają one bardziej na zachowanie drugiego serwera DNS niż cokolwiek innego.
tzn. jeśli wystąpi awaria DNS (z powodu DDOS, w tym przykładzie), która trwa dłużej niż, powiedzmy, 1 godzina, przekaż wszystko drugiemu dostawcy.
Co robią ludzie, jeśli chodzi o ich zewnętrzny DNS i używanie innego zarządzanego dostawcy DNS jako kopii zapasowej?
Uwaga dla naszych przyjaznych moderatorów: to pytanie jest o wiele bardziej szczegółowe niż pytania „„ ogólny atak ograniczający atak DDOS ”.
EDYCJA: 18.05.2016 (Kilka dni później): Najpierw dziękuję AndrewB za doskonałą odpowiedź. Mam więcej informacji do dodania tutaj:
Dlatego skontaktowaliśmy się z innym dostawcą usług DNS i porozmawialiśmy z nimi. Po przemyśleniu i przeprowadzeniu nieco więcej badań, jest to o wiele bardziej skomplikowane niż myślałem, że pójdę z dwoma dostawcami DNS. To nie jest nowa odpowiedź, to właściwie więcej mięsa / informacji na pytanie! Oto moje zrozumienie:
- Wielu z tych dostawców DNS oferuje zastrzeżone funkcje, takie jak „inteligentny DNS”, na przykład równoważenie obciążenia DNS za pomocą keepalives, łańcuchy logiczne do konfigurowania przekazywania odpowiedzi (na podstawie lokalizacji geograficznej, różnych wag do rekordów itp.) . Pierwszym wyzwaniem jest więc synchronizacja dwóch zarządzanych dostawców . Dwóch zarządzanych dostawców będzie musiało być zsynchronizowanych przez klienta, który musi zautomatyzować interakcję z ich interfejsami API. Nie rakieta, ale bieżące koszty operacyjne, które mogą być bolesne (biorąc pod uwagę zmiany po obu stronach w zakresie funkcji i interfejsów API).
- Ale oto dodatek do mojego pytania. Powiedzmy, że ktoś używał dwóch zarządzanych dostawców zgodnie z odpowiedzią AndrewB. Czy mam rację, że nie ma tutaj „podstawowego” i „wtórnego” DNS zgodnie ze specyfikacją? Oznacza to, że rejestrujesz cztery adresy IP serwerów DNS u rejestratora domen, dwóch z nich jest jednym z dostawców DNS, dwóch z nich to serwery DNS drugiego. Zasadniczo pokazałbyś światu swoje cztery rekordy NS, z których wszystkie są „podstawowe”. Czy odpowiedź na moje pytanie brzmi „nie”?
Odpowiedzi:
Najpierw zajmijmy się pytaniem w tytule.
„Szybka” i „delegacja” nie należą do tego samego zdania, gdy mówimy o delegacji na górę domeny. Serwery nazw obsługiwane przez rejestry domeny najwyższego poziomu (TLD) zwykle obsługują skierowania, których TTL mierzy się w dniach. Autorytatywne
NS
zapisy, które znajdują się na twoich serwerach, mogą mieć niższe TTL, które ostatecznie zastępują skierowania TLD, ale nie masz kontroli nad tym, jak często firmy w Internecie decydują się porzucić całą pamięć podręczną lub zrestartować swoje serwery.Upraszczając to, najlepiej założyć, że Internet zajmie co najmniej 24 godziny, aby wykryć zmianę serwera nazw w górnej części domeny. Ponieważ wierzchołek domeny jest najsłabszym łączem, właśnie to musisz zaplanować najbardziej.
To pytanie jest znacznie łatwiejsze do rozwiązania i wbrew powszechnej opinii odpowiedź nie zawsze „znajduje lepszego dostawcę”. Nawet jeśli korzystasz z firmy o bardzo dobrych osiągnięciach, ostatnie lata pokazały, że nikt nie jest nieomylny, nawet Neustar.
Dla większości osób opcja nr 1 jest najbezpieczniejszą opcją. Awaria może się zdarzyć tylko raz na kilka lat, a jeśli dojdzie do ataku, zajmą się nią ludzie, którzy mają większe doświadczenie i zasoby, aby poradzić sobie z tym problemem.
To prowadzi nas do ostatecznej, najbardziej niezawodnej opcji: podejście mieszane z wykorzystaniem dwóch firm. Zapewnia to odporność na problemy związane z posiadaniem wszystkich jaj w jednym koszyku.
Dla celów argumentu załóżmy, że twoja obecna firma hostingowa DNS ma dwa serwery nazw. Jeśli dodasz do mieszanki dwa serwery nazw zarządzane przez inną firmę, wówczas DDoS zostanie skierowany przeciwko dwóm różnym firmom i przeniesie Cię do trybu offline. To ochroni cię przed nawet rzadkim zdarzeniem giganta, takiego jak Neustar, który się zdrzemnie. Zamiast tego wyzwaniem staje się znalezienie sposobu na niezawodne i konsekwentne dostarczanie aktualizacji stref DNS do więcej niż jednej firmy. Zazwyczaj oznacza to posiadanie ukrytego wzorca skierowanego do Internetu, który umożliwia zdalnemu partnerowi wykonywanie transferów stref opartych na kluczach. Inne rozwiązania są z pewnością możliwe, ale osobiście nie jestem fanem używania DDNS do spełnienia tego wymagania.
Koszt najbardziej niezawodnej formy dostępności serwera DNS jest niestety bardziej złożony. Twoje problemy są teraz znacznie bardziej prawdopodobne w wyniku problemów, które powodują, że te serwery nie są zsynchronizowane. Najczęstsze problemy to zmiany zapory i routingu, które przerywają transfer stref. Co gorsza, jeśli problem z transferem strefy
SOA
pozostanie niezauważony przez długi czas, może upłynąć limit czasu określony przez rekord, a zdalne serwery całkowicie opuszczą strefę. Obszerne monitorowanie jest tutaj twoim przyjacielem.Podsumowując, istnieje wiele opcji, a każda z nich ma swoje wady. Twoim zadaniem jest zbilansowanie niezawodności z odpowiednimi kompromisami.
źródło
NS
.Są oczywiście rzeczy, które powinien zrobić dostawca usług DNS, i wiele więcej, co mogliby zrobić, aby zapewnić, że usługa jest tak niezawodna, jak to możliwe.
Jeśli wydaje się, że usługodawca ma nieuzasadnione problemy, prawdopodobnie warto rozważyć ich całkowitą wymianę, ale są też klasy lub problemy, w których osobno obsługiwane usługi są pomocne same w sobie.
Jako klient uważam, że najbardziej oczywistą opcją, aby wyjść poza poleganie na jednym dostawcy, byłoby prawdopodobnie zabezpieczenie swoich zakładów poprzez delegowanie domeny (domen) do serwerów nazw od wielu dostawców usług DNS przez cały czas (zamiast zmiany delegacji w przypadku kłopotów).
Aby to zadziałało, należy po prostu zsynchronizować dane strefy na serwerach nazw tych różnych dostawców.
Klasycznym rozwiązaniem tego byłoby po prostu użycie funkcji transferu strefy master / slave, która jest częścią samego protokołu DNS (to oczywiście wymaga usług, które pozwalają na korzystanie z tych udogodnień), przy czym jednym z dostawców usług może być master lub ewentualnie uruchomić własny serwer master.
źródło