Назад | Перейти на главную страницу

Недавно Hover столкнулся с DDoS-атакой, в результате чего мои сервисы стали недоступны. Какие шаги я могу предпринять, чтобы снизить этот риск в будущем?

Я провел небольшое исследование того, как можно управлять записями DNS, но я немного ошеломлен. Я ищу недорогое (интеллектуальные ресурсы, время, деньги) решение, чтобы снизить риск того, что мой регистратор доменов, который также размещает мои записи DNS, не выдержит DDoS опять же, стоило мне бизнеса. Варианты, о которых я читал, включают:

Какие вопросы мне следует задавать, оценивая эти (и другие) варианты?

Google Public DNS

Так как Гаурав Кансал сказал, что общедоступный DNS Google - это кэширующий (рекурсивный) DNS, и это не будет вам большой помощью.

Амазонский маршрут 53

Вы можете пойти на это и многое другое, но я хотел бы указать на некоторые вещи, на которые вы должны обращать внимание при выборе поставщика DNS.

  • Выберите более одного: Если возможно, разместите главный сервер имен у одного из провайдеров, а подчиненный у другого провайдера. Если в разных геолокациях, то еще лучше. Чтобы в случае атаки на одного провайдера, другой провайдер по-прежнему мог обслуживать ваши записи.
  • Anycasting: Провайдеры должны запускать более одного экземпляра вашего сервера имен в географически разных местах. Это может быть сделано с помощью выполнения anycasting, который использует один и тот же IP-адрес в разных географических местоположениях, чтобы обеспечить более высокую доступность в случае атак в одном месте.
  • Несколько рабов: Иметь несколько подчиненных серверов, чтобы ваши записи могли обслуживаться в случае отказа нескольких NS (Master или Slave).

  • TTL: Да TTL может быть важным, если вы не меняете свои записи так часто, и провайдер может предоставить их более 15 минут.

  • Оставайтесь на связи с менеджерами gTLD и держите файл зоны под рукой: На случай чрезвычайной ситуации хорошо иметь готовый план действий в чрезвычайных ситуациях.

Надеюсь это поможет!

Как заказчик вы действительно не можете ничего сделать для предотвращения сбоев в работе поставщика, хотя, пока вы не являетесь фактической целью DDOS, вы можете смягчить некоторые последствия отключений от одного поставщика, либо имея нескольких поставщиков ( с риском того, что такая дополнительная сложность увеличит риск ошибки оператора вами / вашей командой), или путем перехода на лучше поставщик с меньшим количеством отключений.

Pure for DNS - это мера по смягчению последствий с нулевыми затратами, которую вы легко можете принять, это просто увеличить TTL значение ваших записей DNS.
А TTL из 5 minutes означает, что отказ всех авторитетных DNS-серверов (одновременно) продолжительностью более 5 минут, вероятно, повлияет на 100% ваших пользователей, в то время как TTL из 1 week отключение на 24 часа по-прежнему примерно влияют только на 1/7 или 15% ваших пользователей.

Итак, это сложный вопрос. Большинство людей, отвечающих на этот вопрос, дают технически отличные ответы - распределите свои зоны по нескольким серверам имен, используйте высокие TTL, инвестируйте в anycast и т. Д. - но я хочу дать вам противоположную точку зрения.

DNS имеет решающее значение для функционирования Интернета. Все сейчас на грани из-за недавнего DDoS-атак против Dyn, но этот страх исчезнет.

Хочу отметить следующее:

  1. Это первый крупный сбой DNS (который длился более ~ 15 минут), о котором я знаю за десятилетия.
  2. Это не было полным отключением (DYN столкнулась с крупнейшей потерей обслуживания на восточном побережье, но не во всем мире)

Также отметьте, что каждый DNS-провайдер на Земле сейчас сосредоточен на защите себя от DDoS-атак.

Вот забавный, но относящийся к делу момент: ~ 2004 г. какой-то крошечный сайт (fido.net?) Со своим собственным ASN транслировал плохой префикс BGP, который каскадно подавлял большую часть маршрутизации ядра Интернета. Cisco и основные игроки исправили ошибку, и мы никогда не видели отключения интернета из-за неправильной трансляции префикса BGP.

Я пытаюсь сказать, что весь Интернет полагается на DNS. Этот DDoS-атака против Dyn на прошлой неделе был экстраординарным - по своей величине, серьезности и невероятности.

Это не дешево или легко устранить с вашей стороны, не имея собственной инфраструктуры (что, я могу вас заверить, не из дешевых, если бы Dyn не выдержал). Суть системы DNS в том, что она просто должна работать.

Это мой длинный способ сказать, что у вас есть чрезвычайно обоснованный страх, который настолько маловероятен и вряд ли когда-либо повторится, что вам следует просто двигаться дальше и не беспокоиться об этом. Не потому, что вы не правы, и вероятность того, что это когда-либо повторится снова, составляет 0% (возможно!), А потому, что у вас есть гораздо более реальные и важные вещи, которые повлияют на ваш бизнес в ближайшем будущем, и которые являются более эффективным использованием ваше время, деньги и усилия, чем пытаться смягчить это.

¯ \ _ (ツ) _ / ¯

Предполагая, что ваш регистратор домена размещает только ваши DNS-серверы, вы можете найти вторичные DNS-сервисы во многих местах. Также имейте в виду, что обычно вас не заставляют использовать DNS-серверы вашего регистратора домена.

Чтобы эти вторичные DNS-службы работали эффективно, интерфейс управления вашего (основного) DNS-провайдера должен позволять вам:

  1. добавлять, изменять и удалять DNS-серверы и
  2. добавлять, изменять и удалять авторизованные вторичные серверы.

Вторичные DNS-серверы будут периодически загружать копии ваших DNS-записей с первичных серверов.

Часто вы будете слышать главный для основного сервера и подчиненный для вторичного сервера.

Быстрый поиск в Google по запросу «вторичная служба DNS» вернул несколько компаний, предоставляющих эту услугу.

Помните, что наличие отказоустойчивых DNS-серверов совсем не помогает, если целью DDoS-атак являются ваши веб-серверы, а ваши веб-серверы размещены у одного провайдера.