DNS ล้มเหลวในการโจมตีโดยไม่เปิดเผยตัว


12

ขณะที่ฉันกำลังเขียนเว็บไซต์ บริษัท ของเราและบริการบนเว็บที่เราพัฒนาอยู่นั้นเกิดปัญหาไฟดับ GoDaddy ครั้งใหญ่อันเป็นผลมาจากการโจมตีโดยไม่เปิดเผยตัว (หรือพูดว่า Twitter)
เราใช้ GoDaddy เป็นนายทะเบียนของเราและเราใช้สำหรับ DNS สำหรับบางโดเมน

พรุ่งนี้เป็นวันใหม่ - เราจะทำอะไรเพื่อบรรเทาปัญหาดังกล่าว?
เพียงแค่ย้ายไปพูดเส้นทาง 53 สำหรับ DNS อาจไม่เพียงพอ
มีวิธีใดที่จะลบจุดความล้มเหลวเดียวนี้หรือไม่?


5
มันเป็นเสียงเหมือนที่คุณรู้ว่าจะทำอย่างไร ไม่เพียง แต่คุณสามารถแพร่กระจายบริการของคุณไปทั่ว (มีผู้ให้บริการ DNS มากกว่า 1 รายลด TTL และอาจใช้ DNS round robin) แต่ยังขยายขอบเขต (เว็บโฮสต์เพิ่มเติมเช่น amazon การจำลองเนื้อหาระหว่างโฮสต์ขึ้นอยู่กับงบประมาณและขนาดการปรับใช้ มากถึง CDN และการออกอากาศใด ๆ )
jwbensley

1
tools.ietf.org/html/rfc2182ที่อาจเป็นประโยชน์กับใครบางคน
jwbensley

3
ปกติฉันจะไม่ให้คำแนะนำผลิตภัณฑ์ แต่ฉันไม่สามารถพูดdnsmadeeasy.comได้ดีพอ- การหยุดทำงานทั้งหมด 1.5 ชั่วโมงนับตั้งแต่ที่พวกเขาเริ่มทำธุรกิจ (เมื่อเราลงทะเบียนเมื่อ 5 ปีที่แล้วพวกเขาโอ้อวดถึง 100% และ เท่าที่ฉันรู้ 100% ยังคงเป็น SLA) และใช้ DDoS 50Gbps เพื่อออฟไลน์ แม้แต่ที่ระดับ 49Gbps ​​ของ DDoS เซิร์ฟเวอร์ของพวกเขาก็ยังตอบสนองอยู่
มาร์คเฮนเดอร์สัน

@ MarkHenderson นรกฉันเห็น SLA 500%? A 500% SLA for all DNS services, raising the bar industry wide. dnsmadeeasy.com/services/managed-dns
Brent Pabst

@BrentPabst - ดีน่าสนใจ จริง ๆ แล้วหมายความว่าอย่างไร มันหมายความว่าพวกเขาจะให้เครดิตคุณ 5 เท่าในช่วงเวลาหยุดทำงานหรือไม่?
Mark Henderson

คำตอบ:


10

คุณสามารถกำจัดจุดล้มเหลวจุดเดียวนี้ได้โดยใช้ผู้ให้บริการ DNS สองราย
อาจเป็นไปได้ที่จะเรียกใช้เซิร์ฟเวอร์ DNS ของคุณเองบนเซิร์ฟเวอร์ใดเซิร์ฟเวอร์หนึ่งของคุณ
GoDaddy ช่วยให้คุณสามารถถ่ายโอนโซนจากเซิร์ฟเวอร์ของพวกเขา (จำเป็นต้องใช้ DNS พรีเมี่ยม IIRC สำหรับเรื่องนี้)

รับผู้ให้บริการ DNS รายที่สองที่อนุญาตให้คุณเรียกใช้เซิร์ฟเวอร์ทาส (หรือเรียกใช้ด้วยตัวคุณเอง)
ปรับระเบียน NS / Nserver เพื่อให้พวกเขาชี้ไปที่ผู้ให้บริการทั้งสองและคุณเสร็จแล้ว


เยี่ยมยอด แต่: ฉันเห็นการอ้างสิทธิ์ใน Twitter ว่าโดเมนที่ใช้ Godaddy เหมือนกับผู้รับจดทะเบียนของพวกเขาก็แย่เช่นกัน ฉันไม่แน่ใจว่าวิธีการทำงาน
Tal Weiss

4
หากทำอย่างถูกต้องฉันไม่เห็นว่า ผู้คนมักจะอ้างว่าพวกเขาใช้มันเป็นนายทะเบียนของพวกเขาและโฮสต์เว็บไซต์ของพวกเขาที่อื่น แต่ไม่ได้พูดถึงว่า DNS ยังคงทำงานบน GoDaddy
ขนม

สำหรับไซต์สำคัญของฉันฉันรู้สึกเสมอว่าผู้ให้บริการลงทะเบียนและผู้ให้บริการ NS ควรแตกต่างกัน แม้ว่ามันจะไม่ให้ความพร้อมใช้งานที่สูงกว่า ... การแยกอำนาจอาจเป็นเรื่องที่ดี
Bret Fisher

3

(1) วิธีพัก "ไม่ได้รับผลกระทบ" หากเซิร์ฟเวอร์ของผู้ให้บริการลงทะเบียนโดเมน (ไม่ใช่แค่โดเมน) ตัวเองจะเป็น DDOSed หากมี

เซิร์ฟเวอร์ของผู้รับจดทะเบียนมีความสำคัญหากคุณใช้งานเซิร์ฟเวอร์นั้นสำหรับ DNS (หรือโฮสต์หรือบริการอื่น ๆ อย่างชัดเจน) เมื่อมีการลงทะเบียนโดเมนของคุณแล้วเรคคอร์ดจะเข้าสู่รูทรีจิสตรี้และคุณไม่ต้องการให้ผู้รับจดทะเบียนของคุณออนไลน์เพื่อให้โดเมนของคุณทำงานได้ หากพวกเขาเป็นผู้ให้บริการ DNS เพียงรายเดียวของคุณคุณต้องการพิจารณาเพิ่มมากกว่าหนึ่งราย

(2) "จะมีผู้ให้บริการ DNS มากกว่าหนึ่งรายสำหรับโดเมนได้อย่างไร

(สำหรับส่วนนี้คุณจำเป็นต้องมีผู้รับจดทะเบียนของคุณแบบออนไลน์เพื่อให้คุณสามารถป้อนการเปลี่ยนแปลงเหล่านั้นได้) ในบัญชีรีจิสตรีโดเมนของคุณให้เพิ่มเซิร์ฟเวอร์ DNS ที่มีสิทธิ์หลายรายการที่โฮสต์โดยผู้ให้บริการหลายราย สิ่งนี้อาจไม่จำเป็นต้องใช้บริการ DNS ของผู้รับจดทะเบียนเพื่อให้คุณสามารถเข้าสู่เซิร์ฟเวอร์บุคคลที่สาม (เช่นกับ godaddy คุณไม่สามารถใช้ "การควบคุมโดเมน" นอกเหนือจากผู้ให้บริการบุคคลที่สามคุณต้องเลือก "โดเมนของฉันโฮสต์อยู่ที่อื่น" เพื่อตั้งค่า DNS ของคุณ)


สำหรับ DNS ของบุคคลที่สามฉันได้ใช้ทั้งอุลตร้าซาวด์และ dnsmadeeasy จากประสบการณ์ของฉันทั้งสองทำงานได้ดีเท่า ๆ กันและอันหลังราคาไม่แพง
user16081-JoeT

3

1) อย่าเก็บไข่ทั้งหมดของคุณไว้ในตระกร้า DNS หนึ่งรายการ หากคุณใหญ่พอที่จะนึกถึง anycast และ CDN ทำไมคุณถึงใช้ผู้ให้บริการรายเดียวเช่น GoDaddy กระจายผู้ให้บริการ DNS ของคุณ

2) Anycast ลองดูบล็อกนี้เพื่อดูว่าผู้ให้บริการลด DDOS ได้มากถึง 65Gbps http://blog.cloudflare.com/65gbps-ddos-no-problem

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.