ก่อนอื่นเรามาตอบคำถามในหัวข้อ
เป็นไปได้หรือไม่ที่จะมีผู้ให้บริการ DNS ที่มีการจัดการรองมามอบอำนาจให้อย่างรวดเร็ว
"ด่วน" และ "การมอบหมาย" ไม่ได้อยู่ในประโยคเดียวกันด้วยกันเมื่อเรากำลังพูดถึงการมอบหมายสำหรับส่วนบนของโดเมน เนมเซิร์ฟเวอร์ที่ดำเนินการโดยการลงทะเบียนโดเมนระดับบนสุด (TLD) มักจะให้บริการผู้อ้างอิงที่มีการวัด TTL ในหน่วยวัน NS
ระเบียนที่เชื่อถือได้ที่อาศัยอยู่บนเซิร์ฟเวอร์ของคุณอาจมี TTL ที่ต่ำกว่าซึ่งแทนที่การอ้างอิง TLD แต่คุณไม่สามารถควบคุมได้ว่า บริษัท บนอินเทอร์เน็ตเลือกที่จะทิ้งแคชทั้งหมดหรือรีสตาร์ทเซิร์ฟเวอร์ของพวกเขาบ่อยเพียงใด
การทำสิ่งนี้ให้ง่ายที่สุดจะเป็นการดีที่สุดที่จะสันนิษฐานว่าจะต้องใช้เวลาอย่างน้อย 24 ชั่วโมงสำหรับอินเทอร์เน็ตในการรับการเปลี่ยนแปลงเนมเซิร์ฟเวอร์สำหรับโดเมนของคุณ เมื่อโดเมนของคุณเป็นลิงค์ที่อ่อนแอที่สุดนั่นคือสิ่งที่คุณต้องวางแผนมากที่สุด
มีตัวเลือกอะไรบ้างในแง่ของการลดการพึ่งพาผู้ให้บริการ DNS ภายนอกที่ได้รับการจัดการ SINGLE
คำถามนี้สามารถแก้ไขได้มากขึ้นและตรงกันข้ามกับความคิดเห็นที่นิยมคำตอบไม่ได้เสมอ "หาผู้ให้บริการที่ดีกว่า" แม้ว่าคุณจะใช้ บริษัท ที่มีประวัติที่ดีมากในช่วงไม่กี่ปีที่ผ่านมาแสดงให้เห็นว่าไม่มีใครผิดพลาดแม้แต่ Neustar
- บริษัท โฮสติ้ง DNS ขนาดใหญ่ที่ได้รับการยอมรับเป็นอย่างดีและมีชื่อเสียงที่ดีนั้นยากที่จะบดขยี้ แต่เป็นเป้าหมายที่ใหญ่กว่า พวกเขามีแนวโน้มที่จะมืดลงน้อยลงเนื่องจากมีคนพยายามทำให้โดเมนของคุณออฟไลน์ แต่มีแนวโน้มที่จะออฟไลน์มากขึ้นเนื่องจากโฮสต์โดเมนที่มีเป้าหมายดึงดูดมากกว่า มันอาจไม่เกิดขึ้นบ่อยครั้ง แต่ก็ยังคงเกิดขึ้น
- ในทางตรงกันข้ามการใช้เนมเซิร์ฟเวอร์ของคุณเองหมายความว่าคุณมีโอกาสน้อยที่จะแชร์เนมเซิร์ฟเวอร์กับเป้าหมายที่น่าดึงดูดยิ่งกว่าคุณ .
สำหรับคนส่วนใหญ่ตัวเลือก # 1 เป็นตัวเลือกที่ปลอดภัยที่สุด ไฟดับอาจเกิดขึ้นเพียงครั้งเดียวทุกสองสามปีและหากมีการโจมตีเกิดขึ้นจะมีการจัดการโดยผู้ที่มีประสบการณ์และทรัพยากรมากขึ้นเพื่อจัดการกับปัญหา
นั่นนำเราไปสู่ตัวเลือกสุดท้ายและเชื่อถือได้มากที่สุด: วิธีการผสมโดยใช้สอง บริษัท สิ่งนี้จะช่วยให้คุณสามารถแก้ไขปัญหาที่มาพร้อมกับไข่ทั้งหมดของคุณในตะกร้าใบเดียว
เพื่อประโยชน์ของการโต้แย้งสมมติว่า บริษัท โฮสติ้ง DNS ปัจจุบันของคุณมีเซิร์ฟเวอร์สองตัว หากคุณเพิ่มเนมเซิร์ฟเวอร์สองตัวที่จัดการโดย บริษัท อื่นลงในมิกซ์นั้นใช้ DDoS กับ บริษัท ต่าง ๆ สองแห่งเพื่อให้คุณออฟไลน์ สิ่งนี้จะช่วยปกป้องคุณจากเหตุการณ์ที่เกิดขึ้นได้ยากของยักษ์อย่าง Neustar ที่งีบหลับ ความท้าทายกลับกลายเป็นการหาวิธีในการส่งมอบการอัปเดตสำหรับโซน DNS ของคุณให้กับ บริษัท มากกว่าหนึ่งแห่งอย่างต่อเนื่อง โดยทั่วไปแล้วนี่หมายถึงการมีอินเทอร์เน็ตหันหน้าไปทางต้นแบบที่ซ่อนอยู่ที่ช่วยให้พันธมิตรระยะไกลเพื่อดำเนินการถ่ายโอนโซนตามคีย์ โซลูชันอื่นเป็นไปได้แน่นอน แต่โดยส่วนตัวแล้วฉันไม่ใช่แฟนของการใช้ DDNS เพื่อทำตามข้อกำหนดนี้
ค่าใช้จ่ายในรูปแบบที่น่าเชื่อถือที่สุดของความพร้อมใช้งานเซิร์ฟเวอร์ DNS คือความซับซ้อนมากขึ้น ขณะนี้ปัญหาของคุณน่าจะเป็นผลลัพธ์ของปัญหาที่ทำให้เซิร์ฟเวอร์เหล่านี้ไม่ซิงค์กัน ไฟร์วอลล์และการเปลี่ยนเส้นทางที่ทำลายการถ่ายโอนโซนเป็นปัญหาที่พบบ่อยที่สุด ยิ่งไปกว่านั้นหากปัญหาการถ่ายโอนโซนไม่ได้รับการแจ้งเตือนเป็นระยะเวลานานตัวจับเวลาหมดอายุที่กำหนดโดยSOA
บันทึกของคุณอาจมาถึงและเซิร์ฟเวอร์ระยะไกลจะปล่อยโซนทั้งหมด การตรวจสอบอย่างละเอียดคือเพื่อนของคุณที่นี่
ในการสรุปทั้งหมดนี้มีตัวเลือกจำนวนมากและแต่ละตัวมีข้อเสีย มันขึ้นอยู่กับคุณที่จะสร้างสมดุลระหว่างความน่าเชื่อถือกับการแลกเปลี่ยนที่เกี่ยวข้อง
- สำหรับส่วนใหญ่แล้วก็เพียงพอที่จะให้ DNS ของคุณโฮสต์กับ บริษัท ที่มีชื่อเสียงอย่างมากในการจัดการกับการโจมตี DDoS ... ความเสี่ยงที่จะลดลงหนึ่งครั้งในทุกๆ 2-3 ปีนั้นดีพอสำหรับความเรียบง่าย
- บริษัท ที่มีชื่อเสียงน้อยกว่าเหล็กหุ้มในการจัดการกับการโจมตี DDoS เป็นตัวเลือกที่พบบ่อยที่สุดเป็นอันดับสองโดยเฉพาะเมื่อมีใครกำลังมองหาโซลูชั่นฟรี เพียงจำไว้ว่าโดยทั่วไปแล้วฟรีหมายถึงไม่มีผู้รับประกัน SLA และหากมีปัญหาเกิดขึ้นคุณจะไม่มีทางเร่งด่วนกับ บริษัท นั้น (หรือบุคคลที่จะฟ้องร้องหากฝ่ายกฎหมายของคุณต้องการสิ่งนั้น)
- ตัวเลือกที่พบได้น้อยที่สุดคือตัวเลือกที่น่าเชื่อถือที่สุดในการใช้ บริษัท ให้บริการโฮสต์ DNS หลายตัว นี่คือเนื่องจากค่าใช้จ่ายความซับซ้อนในการดำเนินงานและการรับรู้ผลประโยชน์ระยะยาว
- อย่างน้อยที่สุดในความคิดของฉันก็คือการตัดสินใจที่จะเป็นเจ้าภาพของคุณเอง มี บริษัท เพียงไม่กี่คนที่มีประสบการณ์เกี่ยวกับผู้ดูแลระบบ DNS (ซึ่งมีโอกาสน้อยที่จะสร้างความเสียหายจากอุบัติเหตุ) ประสบการณ์และทรัพยากรในการจัดการกับการโจมตี DDoS ความเต็มใจที่จะลงทุนในการออกแบบตามเกณฑ์ที่กำหนดโดยBCP 16และในสถานการณ์ส่วนใหญ่ ถ้าคุณต้องการที่จะเล่นกับเซิร์ฟเวอร์ที่มีสิทธิ์ซึ่งต้องเผชิญกับภายใน บริษัท ของคุณนั่นเป็นเรื่องหนึ่ง แต่ DNS ที่เผชิญหน้ากับอินเทอร์เน็ตนั้นเป็น ballgame ที่แตกต่างกันโดยสิ้นเชิง