Czy istnieje możliwość posiadania dodatkowego zarządzanego dostawcy DNS, aby szybko delegować, kiedy nastąpi atak DDOS na naszego * głównego * zewnętrznego zewnętrznego dostawcę DNS?

13

Nasz dostawca DNS, co jakiś czas, doświadcza ataków DDOS na swoje systemy, które powodują awarię naszych witryn frontowych.

Jakie są opcje ograniczenia zależności od SINGLE zewnętrznego zarządzanego dostawcy DNS? Moją pierwszą myślą było użycie TTL o niższym okresie ważności i innych TTL SOA, ale wydaje mi się, że wpływają one bardziej na zachowanie drugiego serwera DNS niż cokolwiek innego.

tzn. jeśli wystąpi awaria DNS (z powodu DDOS, w tym przykładzie), która trwa dłużej niż, powiedzmy, 1 godzina, przekaż wszystko drugiemu dostawcy.

Co robią ludzie, jeśli chodzi o ich zewnętrzny DNS i używanie innego zarządzanego dostawcy DNS jako kopii zapasowej?

Uwaga dla naszych przyjaznych moderatorów: to pytanie jest o wiele bardziej szczegółowe niż pytania „„ ogólny atak ograniczający atak DDOS ”.

EDYCJA: 18.05.2016 (Kilka dni później): Najpierw dziękuję AndrewB za doskonałą odpowiedź. Mam więcej informacji do dodania tutaj:

Dlatego skontaktowaliśmy się z innym dostawcą usług DNS i porozmawialiśmy z nimi. Po przemyśleniu i przeprowadzeniu nieco więcej badań, jest to o wiele bardziej skomplikowane niż myślałem, że pójdę z dwoma dostawcami DNS. To nie jest nowa odpowiedź, to właściwie więcej mięsa / informacji na pytanie! Oto moje zrozumienie:

- Wielu z tych dostawców DNS oferuje zastrzeżone funkcje, takie jak „inteligentny DNS”, na przykład równoważenie obciążenia DNS za pomocą keepalives, łańcuchy logiczne do konfigurowania przekazywania odpowiedzi (na podstawie lokalizacji geograficznej, różnych wag do rekordów itp.) . Pierwszym wyzwaniem jest więc synchronizacja dwóch zarządzanych dostawców . Dwóch zarządzanych dostawców będzie musiało być zsynchronizowanych przez klienta, który musi zautomatyzować interakcję z ich interfejsami API. Nie rakieta, ale bieżące koszty operacyjne, które mogą być bolesne (biorąc pod uwagę zmiany po obu stronach w zakresie funkcji i interfejsów API).

- Ale oto dodatek do mojego pytania. Powiedzmy, że ktoś używał dwóch zarządzanych dostawców zgodnie z odpowiedzią AndrewB. Czy mam rację, że nie ma tutaj „podstawowego” i „wtórnego” DNS zgodnie ze specyfikacją? Oznacza to, że rejestrujesz cztery adresy IP serwerów DNS u rejestratora domen, dwóch z nich jest jednym z dostawców DNS, dwóch z nich to serwery DNS drugiego. Zasadniczo pokazałbyś światu swoje cztery rekordy NS, z których wszystkie są „podstawowe”. Czy odpowiedź na moje pytanie brzmi „nie”?

Emmel
źródło
2
Kogo używasz jako dostawcy DNS? Szczerze mówiąc, przestawiłbym się na innego dostawcę, jeśli jest to częsty problem i jeśli dostawca nie wykazuje żadnych oznak możliwości uniknięcia tych problemów.
EEAA
Nie chcę ich tutaj wzywać. : - / Są fantastyczne oprócz tego wydania!
Emmel
10
Zapewnienie wysoce dostępnego rozwiązania jest podstawową kompetencją dostawcy DNS.
EEAA
Istnieją pewne produkty sprzętowe, które mogą pomóc, jeśli hostujesz się sam, ale my popieramy opinie, ale powinieneś uczciwie powiedzieć swojemu dostawcy, jeśli ci się podobają, może to zachęci ich do zainwestowania w ich strukturę, jeśli troszczą się o swoich klientów, zawsze powiedziałem, że zawsze ważne jest, jak wnieść swój punkt widzenia.
yagmoth555
2
pamiętaj, że wszyscy duzi dostawcy usług w chmurze (amazon, google, microsoft) radzą sobie z tym przez cały czas. Migracja do jednego z nich powinna być opcją 1
Jim B

Odpowiedzi:

25

Najpierw zajmijmy się pytaniem w tytule.

Czy możliwe jest posiadanie dodatkowego zarządzanego dostawcy DNS, do którego można szybko delegować

„Szybka” i „delegacja” nie należą do tego samego zdania, gdy mówimy o delegacji na górę domeny. Serwery nazw obsługiwane przez rejestry domeny najwyższego poziomu (TLD) zwykle obsługują skierowania, których TTL mierzy się w dniach. Autorytatywne NSzapisy, które znajdują się na twoich serwerach, mogą mieć niższe TTL, które ostatecznie zastępują skierowania TLD, ale nie masz kontroli nad tym, jak często firmy w Internecie decydują się porzucić całą pamięć podręczną lub zrestartować swoje serwery.

Upraszczając to, najlepiej założyć, że Internet zajmie co najmniej 24 godziny, aby wykryć zmianę serwera nazw w górnej części domeny. Ponieważ wierzchołek domeny jest najsłabszym łączem, właśnie to musisz zaplanować najbardziej.

Jakie są opcje ograniczenia zależności od SINGLE zewnętrznego zarządzanego dostawcy DNS?

To pytanie jest znacznie łatwiejsze do rozwiązania i wbrew powszechnej opinii odpowiedź nie zawsze „znajduje lepszego dostawcę”. Nawet jeśli korzystasz z firmy o bardzo dobrych osiągnięciach, ostatnie lata pokazały, że nikt nie jest nieomylny, nawet Neustar.

  • Duże, dobrze ugruntowane firmy hostingowe DNS o dobrej reputacji są trudniejsze do zniszczenia, ale większe cele. Rzadziej ciemnieją, ponieważ ktoś próbuje przenieść twoją domenę w tryb offline, ale bardziej prawdopodobne jest przejście do trybu offline, ponieważ hostują domeny, które są bardziej atrakcyjnymi celami. Może się to nie zdarza często, ale wciąż się zdarza.
  • Przeciwnie, uruchamianie własnych serwerów nazw oznacza, że ​​rzadziej będziesz udostępniać serwery nazw celowi, który jest bardziej atrakcyjny od ciebie, ale oznacza również, że znacznie łatwiej jest cię zdjąć, jeśli ktoś zdecyduje się na ciebie konkretnie .

Dla większości osób opcja nr 1 jest najbezpieczniejszą opcją. Awaria może się zdarzyć tylko raz na kilka lat, a jeśli dojdzie do ataku, zajmą się nią ludzie, którzy mają większe doświadczenie i zasoby, aby poradzić sobie z tym problemem.

To prowadzi nas do ostatecznej, najbardziej niezawodnej opcji: podejście mieszane z wykorzystaniem dwóch firm. Zapewnia to odporność na problemy związane z posiadaniem wszystkich jaj w jednym koszyku.

Dla celów argumentu załóżmy, że twoja obecna firma hostingowa DNS ma dwa serwery nazw. Jeśli dodasz do mieszanki dwa serwery nazw zarządzane przez inną firmę, wówczas DDoS zostanie skierowany przeciwko dwóm różnym firmom i przeniesie Cię do trybu offline. To ochroni cię przed nawet rzadkim zdarzeniem giganta, takiego jak Neustar, który się zdrzemnie. Zamiast tego wyzwaniem staje się znalezienie sposobu na niezawodne i konsekwentne dostarczanie aktualizacji stref DNS do więcej niż jednej firmy. Zazwyczaj oznacza to posiadanie ukrytego wzorca skierowanego do Internetu, który umożliwia zdalnemu partnerowi wykonywanie transferów stref opartych na kluczach. Inne rozwiązania są z pewnością możliwe, ale osobiście nie jestem fanem używania DDNS do spełnienia tego wymagania.

Koszt najbardziej niezawodnej formy dostępności serwera DNS jest niestety bardziej złożony. Twoje problemy są teraz znacznie bardziej prawdopodobne w wyniku problemów, które powodują, że te serwery nie są zsynchronizowane. Najczęstsze problemy to zmiany zapory i routingu, które przerywają transfer stref. Co gorsza, jeśli problem z transferem strefy SOApozostanie niezauważony przez długi czas, może upłynąć limit czasu określony przez rekord, a zdalne serwery całkowicie opuszczą strefę. Obszerne monitorowanie jest tutaj twoim przyjacielem.


Podsumowując, istnieje wiele opcji, a każda z nich ma swoje wady. Twoim zadaniem jest zbilansowanie niezawodności z odpowiednimi kompromisami.

  • Dla większości wystarczy, aby Twój DNS był hostowany w firmie, która ma świetną reputację w radzeniu sobie z atakami DDoS ... ryzyko upadku raz na kilka lat jest wystarczające dla uproszczenia.
  • Firma o mniej reputacji żelaznej do radzenia sobie z atakami DDoS jest drugą najczęściej stosowaną opcją, zwłaszcza gdy szuka się bezpłatnych rozwiązań. Pamiętaj tylko, że bezpłatny zazwyczaj oznacza brak gwarancji SLA, a jeśli wystąpi problem, nie będziesz w stanie zmusić tej firmy do podjęcia pilnych działań. (lub oskarżonego, jeśli Twój dział prawny tego wymaga)
  • Najmniej powszechna opcja to, jak na ironię, najsolidniejsza opcja korzystania z wielu firm hostingowych DNS. Wynika to z kosztów, złożoności operacyjnej i postrzeganych korzyści długoterminowych.
  • Najgorsze, przynajmniej moim zdaniem, decyduje się na zorganizowanie własnego. Niewiele firm doświadczyło administratorów DNS (którzy rzadziej powodują przypadkowe przestoje), doświadczenia i zasobów do radzenia sobie z atakami DDoS, chęci zainwestowania w projekt spełniający kryteria określone w BCP 16 , aw większości przypadków połączenie wszystkich trzech. Jeśli chcesz bawić się z wiarygodnymi serwerami, które są skierowane tylko do wnętrza Twojej firmy, to jedno, ale DNS z dostępem do Internetu to zupełnie inna gra.
Andrew B.
źródło
Poproś o uzasadnienie, proszę?
Andrew B,
Koszt najbardziej niezawodnego dostawcy DNS ... wynosi 0;) Przynajmniej nigdy nie miałem żadnych problemów z CloudFlare DNS.
TomTom
4
@TomTom To nie jest kilka lat temu. Większość wielkich nazwisk posiada w tym momencie co najmniej jedną awarię. (Cloudflare) ( Neustar )
Andrew B
Powiedzmy, że ktoś używał dwóch zarządzanych dostawców zgodnie z odpowiedzią AndrewB. Czy mam rację, że nie ma tutaj „podstawowego” i „wtórnego” DNS zgodnie ze specyfikacją? Oznacza to, że rejestrujesz cztery adresy IP serwerów DNS u rejestratora domen, dwóch z nich jest jednym z dostawców DNS, dwóch z nich to serwery DNS drugiego. Zasadniczo pokazałbyś światu swoje cztery rekordy NS, z których wszystkie są „podstawowe”. - Pojęcie pierwotnego i wtórnego istnieje tylko między samymi serwerami uwierzytelniania. Dla świata zewnętrznego nie ma różnicy. Mistrz często nie ma NS.
Andrew B,
3

Są oczywiście rzeczy, które powinien zrobić dostawca usług DNS, i wiele więcej, co mogliby zrobić, aby zapewnić, że usługa jest tak niezawodna, jak to możliwe.

Jeśli wydaje się, że usługodawca ma nieuzasadnione problemy, prawdopodobnie warto rozważyć ich całkowitą wymianę, ale są też klasy lub problemy, w których osobno obsługiwane usługi są pomocne same w sobie.

Jako klient uważam, że najbardziej oczywistą opcją, aby wyjść poza poleganie na jednym dostawcy, byłoby prawdopodobnie zabezpieczenie swoich zakładów poprzez delegowanie domeny (domen) do serwerów nazw od wielu dostawców usług DNS przez cały czas (zamiast zmiany delegacji w przypadku kłopotów).

Aby to zadziałało, należy po prostu zsynchronizować dane strefy na serwerach nazw tych różnych dostawców.

Klasycznym rozwiązaniem tego byłoby po prostu użycie funkcji transferu strefy master / slave, która jest częścią samego protokołu DNS (to oczywiście wymaga usług, które pozwalają na korzystanie z tych udogodnień), przy czym jednym z dostawców usług może być master lub ewentualnie uruchomić własny serwer master.

Håkan Lindqvist
źródło