เป็นไปได้หรือไม่ที่จะมีผู้ให้บริการ DNS ที่ได้รับการจัดการสำรองมอบหมายอย่างรวดเร็วเมื่อเกิดการโจมตี DDOS กับผู้ให้บริการ DNS หลัก * ภายนอกของเรา

13

ดังนั้นผู้ให้บริการ DNS ของเรามักพบกับการโจมตี DDOS ในระบบของพวกเขาที่ทำให้เว็บไซต์ของเราต้องเผชิญ

มีตัวเลือกอะไรบ้างในแง่ของการลดการพึ่งพาผู้ให้บริการ DNS ภายนอกที่ได้รับการจัดการ SINGLE ความคิดแรกของฉันคือการใช้ TTL ที่หมดอายุต่ำกว่าและ SOA TTL อื่น ๆ แต่รู้สึกว่าสิ่งเหล่านี้มีผลต่อพฤติกรรมเซิร์ฟเวอร์ DNS รองมากกว่าสิ่งอื่นใด

เช่นหากคุณประสบปัญหา DNS ดับ (เนื่องจาก DDOS ในตัวอย่างนี้) ซึ่งใช้เวลามากกว่า 1 ชั่วโมงให้มอบทุกสิ่งให้กับผู้ให้บริการรายที่สอง

คนทำอะไรได้บ้างเมื่อมาถึง DNS ภายนอกและใช้ผู้ให้บริการ DNS ที่มีการจัดการรายอื่นเป็นข้อมูลสำรอง

หมายเหตุสำหรับผู้ดูแลที่เป็นมิตรของเรา: คำถามนี้มีความเฉพาะเจาะจงมากยิ่งขึ้นจากนั้นคำถาม "" การลดการโจมตี DDOS ทั่วไป "ที่มีให้นั้น

แก้ไข: 2016-05-18 (ไม่กี่วันต่อมา): ก่อนอื่นขอขอบคุณ AndrewB สำหรับคำตอบที่ยอดเยี่ยมของคุณ ฉันมีข้อมูลเพิ่มเติมที่จะเพิ่มที่นี่:

ดังนั้นเราจึงติดต่อผู้ให้บริการ DNS รายอื่นและสนทนากับพวกเขา หลังจากคิดและทำการวิจัยเพิ่มเติมเล็กน้อยจริง ๆ แล้วมันซับซ้อนกว่าฉันคิดว่าจะไปกับผู้ให้บริการ DNS สองราย นี่ไม่ใช่คำตอบใหม่จริง ๆ แล้วมันคือเนื้อสัตว์ / ข้อมูลสำหรับคำถาม! นี่คือความเข้าใจของฉัน:

- ผู้ให้บริการ DNS จำนวนมากเหล่านี้นำเสนอคุณสมบัติที่เป็นกรรมสิทธิ์เช่น 'อัจฉริยะ DNS' เช่นการโหลด DNS สมดุลกับ keepalives, เครือข่ายลอจิกเพื่อกำหนดวิธีการตอบกลับ (ตามตำแหน่งทางภูมิศาสตร์ . ดังนั้นความท้าทายแรกคือการทำให้ผู้ให้บริการที่มีการจัดการสองรายซิงค์กัน และผู้ให้บริการที่มีการจัดการสองรายจะต้องได้รับการซิงค์โดยลูกค้าที่ต้องทำการโต้ตอบอัตโนมัติกับ API ของพวกเขา ไม่ใช่วิทยาศาสตร์จรวด แต่เป็นค่าใช้จ่ายในการดำเนินงานที่อาจเจ็บปวด (ได้รับการเปลี่ยนแปลงทั้งสองด้านในแง่ของคุณสมบัติและ API)

- แต่นี่คือส่วนเสริมของคำถามของฉัน สมมติว่ามีคนใช้ผู้ให้บริการที่มีการจัดการสองรายตามการตอบสนองของ AndrewB ฉันถูกต้องในที่ที่ไม่มี DNS 'หลัก' และ 'รอง' ที่นี่ตามข้อกำหนด? นั่นคือคุณลงทะเบียน IP เซิร์ฟเวอร์ DNS สี่รายการของคุณกับผู้รับจดทะเบียนโดเมนของคุณสองคนเป็นหนึ่งในผู้ให้บริการ DNS ของคุณสองคนเป็นเซิร์ฟเวอร์ DNS ของอีกคนหนึ่ง ดังนั้นคุณจะต้องแสดงระเบียน NS ทั้งสี่ของโลกซึ่งทั้งหมดนี้เป็น 'ข้อมูลหลัก' ดังนั้นคำตอบสำหรับคำถามของฉันคือ "ไม่"?

domain-name-system  ddos  redundancy 
Emmel
แหล่งที่มา
2
คุณใช้ใครเป็นผู้ให้บริการ DNS ของคุณ จริงๆแล้วฉันจะเปลี่ยนไปใช้ผู้ให้บริการรายอื่นหากนี่เป็นปัญหาที่พบบ่อยและหากผู้ให้บริการไม่แสดงอาการใด ๆ ที่สามารถหลีกเลี่ยงปัญหาเหล่านี้ได้
EEAA
ฉันไม่ต้องการเรียกพวกเขาออกจากที่นี่ : - / พวกเขายอดเยี่ยมนอกเหนือจากปัญหานี้!
Emmel
10
การจัดหาโซลูชันที่พร้อมใช้งานสูงเป็นความสามารถหลักสำหรับผู้ขาย DNS
EEAA
มีผลิตภัณฑ์ฮาร์ดแวร์บางอย่างที่สามารถช่วยคุณจัดการโฮสต์ของคุณ แต่เราตกอยู่ในความคิดเห็น แต่คุณควรบอกผู้ขายของคุณอย่างตรงไปตรงมาถ้าคุณชอบพวกเขาบางทีนั่นอาจจะผลักดันให้พวกเขาลงทุนในโครงสร้างของพวกเขาหากพวกเขาใส่ใจลูกค้า บอกว่ามันเป็นวิธีที่คุณนำประเด็นที่สำคัญมาใช้เสมอ
yagmoth555
2
โปรดทราบว่าผู้ให้บริการคลาวด์ขนาดใหญ่ทั้งหมด (amazon, google, microsoft) จัดการกับสิ่งนี้ตลอดเวลา การโยกย้ายไปยังหนึ่งในนั้นควรเป็นตัวเลือก 1
Jim B

คำตอบ:

25

ก่อนอื่นเรามาตอบคำถามในหัวข้อ

เป็นไปได้หรือไม่ที่จะมีผู้ให้บริการ DNS ที่มีการจัดการรองมามอบอำนาจให้อย่างรวดเร็ว

"ด่วน" และ "การมอบหมาย" ไม่ได้อยู่ในประโยคเดียวกันด้วยกันเมื่อเรากำลังพูดถึงการมอบหมายสำหรับส่วนบนของโดเมน เนมเซิร์ฟเวอร์ที่ดำเนินการโดยการลงทะเบียนโดเมนระดับบนสุด (TLD) มักจะให้บริการผู้อ้างอิงที่มีการวัด TTL ในหน่วยวัน NSระเบียนที่เชื่อถือได้ที่อาศัยอยู่บนเซิร์ฟเวอร์ของคุณอาจมี TTL ที่ต่ำกว่าซึ่งแทนที่การอ้างอิง TLD แต่คุณไม่สามารถควบคุมได้ว่า บริษัท บนอินเทอร์เน็ตเลือกที่จะทิ้งแคชทั้งหมดหรือรีสตาร์ทเซิร์ฟเวอร์ของพวกเขาบ่อยเพียงใด

การทำสิ่งนี้ให้ง่ายที่สุดจะเป็นการดีที่สุดที่จะสันนิษฐานว่าจะต้องใช้เวลาอย่างน้อย 24 ชั่วโมงสำหรับอินเทอร์เน็ตในการรับการเปลี่ยนแปลงเนมเซิร์ฟเวอร์สำหรับโดเมนของคุณ เมื่อโดเมนของคุณเป็นลิงค์ที่อ่อนแอที่สุดนั่นคือสิ่งที่คุณต้องวางแผนมากที่สุด

มีตัวเลือกอะไรบ้างในแง่ของการลดการพึ่งพาผู้ให้บริการ DNS ภายนอกที่ได้รับการจัดการ SINGLE

คำถามนี้สามารถแก้ไขได้มากขึ้นและตรงกันข้ามกับความคิดเห็นที่นิยมคำตอบไม่ได้เสมอ "หาผู้ให้บริการที่ดีกว่า" แม้ว่าคุณจะใช้ บริษัท ที่มีประวัติที่ดีมากในช่วงไม่กี่ปีที่ผ่านมาแสดงให้เห็นว่าไม่มีใครผิดพลาดแม้แต่ Neustar

  • บริษัท โฮสติ้ง DNS ขนาดใหญ่ที่ได้รับการยอมรับเป็นอย่างดีและมีชื่อเสียงที่ดีนั้นยากที่จะบดขยี้ แต่เป็นเป้าหมายที่ใหญ่กว่า พวกเขามีแนวโน้มที่จะมืดลงน้อยลงเนื่องจากมีคนพยายามทำให้โดเมนของคุณออฟไลน์ แต่มีแนวโน้มที่จะออฟไลน์มากขึ้นเนื่องจากโฮสต์โดเมนที่มีเป้าหมายดึงดูดมากกว่า มันอาจไม่เกิดขึ้นบ่อยครั้ง แต่ก็ยังคงเกิดขึ้น
  • ในทางตรงกันข้ามการใช้เนมเซิร์ฟเวอร์ของคุณเองหมายความว่าคุณมีโอกาสน้อยที่จะแชร์เนมเซิร์ฟเวอร์กับเป้าหมายที่น่าดึงดูดยิ่งกว่าคุณ .

สำหรับคนส่วนใหญ่ตัวเลือก # 1 เป็นตัวเลือกที่ปลอดภัยที่สุด ไฟดับอาจเกิดขึ้นเพียงครั้งเดียวทุกสองสามปีและหากมีการโจมตีเกิดขึ้นจะมีการจัดการโดยผู้ที่มีประสบการณ์และทรัพยากรมากขึ้นเพื่อจัดการกับปัญหา

นั่นนำเราไปสู่ตัวเลือกสุดท้ายและเชื่อถือได้มากที่สุด: วิธีการผสมโดยใช้สอง บริษัท สิ่งนี้จะช่วยให้คุณสามารถแก้ไขปัญหาที่มาพร้อมกับไข่ทั้งหมดของคุณในตะกร้าใบเดียว

เพื่อประโยชน์ของการโต้แย้งสมมติว่า บริษัท โฮสติ้ง DNS ปัจจุบันของคุณมีเซิร์ฟเวอร์สองตัว หากคุณเพิ่มเนมเซิร์ฟเวอร์สองตัวที่จัดการโดย บริษัท อื่นลงในมิกซ์นั้นใช้ DDoS กับ บริษัท ต่าง ๆ สองแห่งเพื่อให้คุณออฟไลน์ สิ่งนี้จะช่วยปกป้องคุณจากเหตุการณ์ที่เกิดขึ้นได้ยากของยักษ์อย่าง Neustar ที่งีบหลับ ความท้าทายกลับกลายเป็นการหาวิธีในการส่งมอบการอัปเดตสำหรับโซน DNS ของคุณให้กับ บริษัท มากกว่าหนึ่งแห่งอย่างต่อเนื่อง โดยทั่วไปแล้วนี่หมายถึงการมีอินเทอร์เน็ตหันหน้าไปทางต้นแบบที่ซ่อนอยู่ที่ช่วยให้พันธมิตรระยะไกลเพื่อดำเนินการถ่ายโอนโซนตามคีย์ โซลูชันอื่นเป็นไปได้แน่นอน แต่โดยส่วนตัวแล้วฉันไม่ใช่แฟนของการใช้ DDNS เพื่อทำตามข้อกำหนดนี้

ค่าใช้จ่ายในรูปแบบที่น่าเชื่อถือที่สุดของความพร้อมใช้งานเซิร์ฟเวอร์ DNS คือความซับซ้อนมากขึ้น ขณะนี้ปัญหาของคุณน่าจะเป็นผลลัพธ์ของปัญหาที่ทำให้เซิร์ฟเวอร์เหล่านี้ไม่ซิงค์กัน ไฟร์วอลล์และการเปลี่ยนเส้นทางที่ทำลายการถ่ายโอนโซนเป็นปัญหาที่พบบ่อยที่สุด ยิ่งไปกว่านั้นหากปัญหาการถ่ายโอนโซนไม่ได้รับการแจ้งเตือนเป็นระยะเวลานานตัวจับเวลาหมดอายุที่กำหนดโดยSOAบันทึกของคุณอาจมาถึงและเซิร์ฟเวอร์ระยะไกลจะปล่อยโซนทั้งหมด การตรวจสอบอย่างละเอียดคือเพื่อนของคุณที่นี่

ในการสรุปทั้งหมดนี้มีตัวเลือกจำนวนมากและแต่ละตัวมีข้อเสีย มันขึ้นอยู่กับคุณที่จะสร้างสมดุลระหว่างความน่าเชื่อถือกับการแลกเปลี่ยนที่เกี่ยวข้อง

  • สำหรับส่วนใหญ่แล้วก็เพียงพอที่จะให้ DNS ของคุณโฮสต์กับ บริษัท ที่มีชื่อเสียงอย่างมากในการจัดการกับการโจมตี DDoS ... ความเสี่ยงที่จะลดลงหนึ่งครั้งในทุกๆ 2-3 ปีนั้นดีพอสำหรับความเรียบง่าย
  • บริษัท ที่มีชื่อเสียงน้อยกว่าเหล็กหุ้มในการจัดการกับการโจมตี DDoS เป็นตัวเลือกที่พบบ่อยที่สุดเป็นอันดับสองโดยเฉพาะเมื่อมีใครกำลังมองหาโซลูชั่นฟรี เพียงจำไว้ว่าโดยทั่วไปแล้วฟรีหมายถึงไม่มีผู้รับประกัน SLA และหากมีปัญหาเกิดขึ้นคุณจะไม่มีทางเร่งด่วนกับ บริษัท นั้น (หรือบุคคลที่จะฟ้องร้องหากฝ่ายกฎหมายของคุณต้องการสิ่งนั้น)
  • ตัวเลือกที่พบได้น้อยที่สุดคือตัวเลือกที่น่าเชื่อถือที่สุดในการใช้ บริษัท ให้บริการโฮสต์ DNS หลายตัว นี่คือเนื่องจากค่าใช้จ่ายความซับซ้อนในการดำเนินงานและการรับรู้ผลประโยชน์ระยะยาว
  • อย่างน้อยที่สุดในความคิดของฉันก็คือการตัดสินใจที่จะเป็นเจ้าภาพของคุณเอง มี บริษัท เพียงไม่กี่คนที่มีประสบการณ์เกี่ยวกับผู้ดูแลระบบ DNS (ซึ่งมีโอกาสน้อยที่จะสร้างความเสียหายจากอุบัติเหตุ) ประสบการณ์และทรัพยากรในการจัดการกับการโจมตี DDoS ความเต็มใจที่จะลงทุนในการออกแบบตามเกณฑ์ที่กำหนดโดยBCP 16และในสถานการณ์ส่วนใหญ่ ถ้าคุณต้องการที่จะเล่นกับเซิร์ฟเวอร์ที่มีสิทธิ์ซึ่งต้องเผชิญกับภายใน บริษัท ของคุณนั่นเป็นเรื่องหนึ่ง แต่ DNS ที่เผชิญหน้ากับอินเทอร์เน็ตนั้นเป็น ballgame ที่แตกต่างกันโดยสิ้นเชิง
แอนดรูข
แหล่งที่มา
กรุณาลงเหตุผลให้ไหม
Andrew B
ค่าใช้จ่ายของ DNS Provicer ที่เชื่อถือได้มากที่สุดคือ 0;) อย่างน้อยฉันไม่เคยประสบปัญหาใด ๆ กับ CloudFlare DNS
TomTom
4
@TomTom นี่ไม่กี่ปีที่ผ่านมา ชื่อใหญ่ส่วนใหญ่เป็นเจ้าของอย่างน้อยหนึ่งหยุดทำงาน ณ จุดนี้ (Cloudflare) ( Neustar )
Andrew B
สมมติว่ามีคนใช้ผู้ให้บริการที่มีการจัดการสองรายตามการตอบสนองของ AndrewB ฉันถูกต้องในที่ที่ไม่มี DNS 'หลัก' และ 'รอง' ที่นี่ตามข้อกำหนด? นั่นคือคุณลงทะเบียน IP เซิร์ฟเวอร์ DNS สี่รายการของคุณกับผู้รับจดทะเบียนโดเมนของคุณสองคนเป็นหนึ่งในผู้ให้บริการ DNS ของคุณสองคนเป็นเซิร์ฟเวอร์ DNS ของอีกคน ดังนั้นคุณจะต้องแสดงระเบียน NS ทั้งสี่ของโลกซึ่งทั้งหมดนี้เป็น 'ข้อมูลหลัก' - แนวคิดของหลักและรองอยู่ระหว่างเซิร์ฟเวอร์ที่รับรองความถูกต้องเท่านั้น สำหรับโลกภายนอกนั้นไม่มีความแตกต่าง NSมันเป็นเรื่องธรรมดาสำหรับต้นแบบที่จะไม่ได้
Andrew B
3

มีสิ่งที่ชัดเจนว่าผู้ให้บริการ DNS ควรทำและอื่น ๆ อีกมากมายที่พวกเขาสามารถทำได้เพื่อให้แน่ใจว่าบริการมีความน่าเชื่อถือที่สุดเท่าที่จะทำได้

หากปรากฏว่าผู้ให้บริการมีปัญหาที่ไม่สมเหตุสมผลก็อาจจะเหมาะสมที่จะพิจารณาแทนที่พวกเขาทั้งหมด แต่ก็ยังมีชั้นเรียนหรือปัญหาที่มีบริการที่ดำเนินการแยกต่างหากเป็นประโยชน์ในตัวของมันเอง

ในฐานะลูกค้าฉันคิดว่าตัวเลือกที่ชัดเจนที่สุดในการดำเนินการมากกว่าการพึ่งพาผู้ให้บริการรายเดียวอาจเป็นการป้องกันการเดิมพันของคุณโดยการมอบโดเมนของคุณให้แก่เนมเซิร์ฟเวอร์จากผู้ให้บริการ DNS หลายรายตลอดเวลา (แทนที่จะเปลี่ยนผู้แทนในกรณี ของปัญหา)

สิ่งที่ต้องได้รับการจัดการเพื่อให้ได้ผลนั้นเป็นเพียงการรักษาข้อมูลโซนให้ตรงกันกับเซิร์ฟเวอร์ชื่อของผู้ให้บริการเครือข่ายเหล่านี้

โซลูชันแบบดั้งเดิมที่ใช้เพียงแค่ใช้ฟังก์ชันการถ่ายโอนโซนหลัก / ทาสที่เป็นส่วนหนึ่งของโปรโตคอล DNS เอง (สิ่งนี้ต้องการบริการที่อนุญาตให้คุณใช้ประโยชน์จากสิ่งอำนวยความสะดวกเหล่านี้อย่างเห็นได้ชัด) โดยมีผู้ให้บริการหนึ่งรายเป็น ต้นแบบหรืออาจเรียกใช้เซิร์ฟเวอร์ต้นแบบของคุณเอง

Håkan Lindqvist
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.