Назад | Перейти на главную страницу

Возможно ли, чтобы вторичный управляемый DNS-провайдер мог быстро делегировать свои полномочия в случае DDOS-атаки на нашего * основного * внешнего DNS-провайдера?

Таким образом, наш DNS-провайдер время от времени подвергается DDOS-атакам на свои системы, что приводит к падению наших основных веб-сайтов.

Какие есть варианты снижения зависимости от ОДНОГО внешнего управляемого DNS-провайдера? Моей первой мыслью было использование более низкого TTL истечения срока действия и других значений TTL SOA, но мне кажется, что это влияет на поведение вторичного DNS-сервера больше, чем что-либо еще.

То есть, если вы столкнулись с отключением DNS (в данном примере из-за DDOS), который длится более, скажем, 1 часа, делегируйте все вторичному провайдеру.

Что делают люди, когда дело касается их внешнего DNS и использования другого управляемого DNS-провайдера в качестве резервного?

Примечание для наших дружелюбных модераторов: этот вопрос гораздо более конкретен, чем вопросы «общего смягчения DDOS-атаки».

РЕДАКТИРОВАТЬ: 2016-05-18 (несколько дней спустя): Итак, прежде всего спасибо AndrewB за отличный ответ. Я хочу добавить сюда дополнительную информацию:

Итак, мы обратились к другому поставщику услуг DNS и поболтали с ним. Поразмыслив и проведя еще немного исследований, оказалось, что на самом деле это НАМНОГО сложнее, чем я думал, с двумя поставщиками DNS. Это не новый ответ, на самом деле это больше мяса / информации на вопрос! Вот мое понимание:

- Многие из этих поставщиков DNS предлагают проприетарные функции, такие как `` интеллектуальный DNS '', например балансировка нагрузки DNS с помощью сообщений поддержки активности, логические цепочки для настройки способа передачи ответов (на основе географического местоположения, различных весов для записей и т. Д.) . Итак, первая задача - синхронизировать двух управляемых провайдеров. И два управляемых провайдера должны будут синхронизироваться заказчиком, который должен автоматизировать взаимодействие с их API. Не ракетостроение, а текущие эксплуатационные расходы, которые могут быть болезненными (учитывая изменения с обеих сторон с точки зрения функций и API).

- Но вот дополнение к моему вопросу. Скажем, кто-то действительно использовал двух управляемых провайдеров согласно ответу AndrewB. Прав ли я в том, что здесь нет «первичного» и «вторичного» DNS согласно спецификации? То есть вы регистрируете свои четыре IP-адреса DNS-серверов у своего регистратора доменов, два из которых являются одним из ваших DNS-провайдеров, два из них - DNS-серверами другого. Таким образом, вы, по сути, просто показываете миру свои четыре записи NS, все из которых являются «первичными». Итак, ответ на мой вопрос «Нет»?

Во-первых, давайте обратимся к вопросу в заголовке.

Возможно ли иметь вторичного управляемого DNS-провайдера для быстрого делегирования полномочий

«Быстрый» и «делегирование» не принадлежат одному предложению, когда мы говорим о делегировании для верхней части домена. Серверы имен, управляемые реестрами доменов верхнего уровня (TLD), обычно обслуживают рефералов, время жизни которых измеряется днями. Авторитетный NS записи, которые находятся на ваших серверах, могут иметь более низкие значения TTL, которые в конечном итоге заменяют рефералы TLD, но вы не можете контролировать, как часто компании в Интернете решают удалить весь свой кеш или перезапустить свои серверы.

Чтобы упростить это, лучше всего предположить, что Интернету потребуется не менее 24 часов, чтобы принять изменение сервера имен для верхней части вашего домена. Поскольку верхняя часть вашего домена является самым слабым звеном, это то, что вам нужно планировать больше всего.

Какие есть варианты снижения зависимости от ОДНОГО внешнего управляемого DNS-провайдера?

Этот вопрос гораздо более разрешимый, и, вопреки распространенному мнению, ответ не всегда «найди лучшего провайдера». Даже если вы пользуетесь услугами компании с очень хорошей репутацией, последние годы показали, что никто не является непогрешимым, даже Neustar.

  • Крупные, хорошо зарекомендовавшие себя DNS-хостинговые компании с хорошей репутацией труднее победить, но их цели более крупные. Они реже потемнеют, потому что кто-то пытается ваш домен в автономном режиме, но с большей вероятностью будет переведен в автономный режим, потому что на нем размещаются домены, которые являются более привлекательными целями. Это может происходить не часто, но все же случается.
  • С другой стороны, использование собственных серверов имен означает, что вы с меньшей вероятностью будете использовать серверы имен с целью, которая более привлекательна, чем вы, но это также означает, что вас намного легче уничтожить, если кто-то решит нацелиться именно на вас. .

Для большинства людей вариант №1 - самый безопасный. Отключение может происходить только раз в несколько лет, и если атака все же произойдет, с ней будут бороться люди, у которых есть больше опыта и ресурсов для решения проблемы.

Это подводит нас к последнему, наиболее надежному варианту: смешанному подходу с участием двух компаний. Это обеспечивает устойчивость к проблемам, связанным с хранением всех яиц в одной корзине.

В качестве аргумента предположим, что ваша текущая DNS-хостинговая компания имеет два сервера имен. Если вы добавите в смесь два сервера имен, управляемых другой компанией, то потребуется DDoS-атака против двух разных компаний, чтобы вывести вас в автономный режим. Это защитит вас даже от редкого случая, когда такой гигант, как Нойстар, вздремнет в грязи. Вместо этого проблема заключается в том, чтобы найти способ надежно и последовательно доставлять обновления для ваших зон DNS более чем одной компании. Как правило, это означает наличие скрытого главного сервера с выходом в Интернет, который позволяет удаленному партнеру выполнять передачу зон на основе ключей. Конечно, возможны и другие решения, но лично я не сторонник использования DDNS для выполнения этого требования.

Стоимость самой надежной формы доступности DNS-сервера, к сожалению, более сложна. Теперь ваши проблемы с большей вероятностью будут результатом проблем, которые приводят к рассинхронизации этих серверов. Изменения межсетевого экрана и маршрутизации, которые нарушают передачу зон, являются наиболее распространенными проблемами. Хуже того, если проблема передачи зоны остается незамеченной в течение длительного периода времени, таймер истечения срока действия, определяемый вашим SOA запись может быть достигнута, и удаленные серверы полностью отключат зону. Здесь ваш друг - обширный мониторинг.

Подводя итог всему этому, есть несколько вариантов, и у каждого из них есть свои недостатки. Вам решать, как найти баланс между надежностью и соответствующими компромиссами.

  • Для большинства достаточно, чтобы ваш DNS был размещен в компании, имеющей отличную репутацию в борьбе с DDoS-атаками ... риск падения раз в несколько лет достаточно хорош для простоты.
  • Компания с менее жесткой репутацией в борьбе с DDoS-атаками - второй наиболее распространенный вариант, особенно когда кто-то ищет бесплатные решения. Просто помните, что бесплатно обычно означает отсутствие гарантии SLA, и если проблема все же произойдет, у вас не будет возможности срочно обратиться к этой компании. (или лицо, подающее иск, если ваш юридический отдел требует такого рода вещей)
  • По иронии судьбы наименее распространенный вариант является наиболее надежным вариантом использования нескольких компаний, предоставляющих хостинг DNS. Это связано с затратами, сложностью эксплуатации и предполагаемыми долгосрочными выгодами.
  • Худшее, по крайней мере, на мой взгляд, - это принять решение о проведении собственного. Немногие компании имеют опытных администраторов DNS (которые с меньшей вероятностью создают случайные отключения), опыта и ресурсов для борьбы с DDoS-атаками, готовности инвестировать в проект, отвечающий критериям, изложенным в BCP 16, и в большинстве сценариев комбинация всех трех. Если вы хотите поиграть с авторитетными серверами, которые обращаются только к внутренней части вашей компании, это одно, но Интернет, обращенный к DNS, - совсем другое дело.

Очевидно, что есть вещи, которые поставщик услуг DNS должен сделать, и многое другое, что они могут сделать, чтобы обеспечить максимальную надежность службы.

Если выясняется, что у поставщика услуг есть необоснованные проблемы, вероятно, имеет смысл рассмотреть возможность их полной замены, но тогда есть также классы или проблемы, в которых наличие отдельно управляемых услуг полезно само по себе.

Как клиент, я думаю, что наиболее очевидным вариантом выхода за рамки зависимости от одного поставщика, вероятно, было бы хеджирование ваших ставок путем постоянного делегирования вашего домена (ов) серверам имен от нескольких поставщиков услуг DNS (вместо изменения делегирования в случае неприятностей).

Что необходимо сделать, чтобы это работало, по сути, просто синхронизирует данные зоны между серверами имен этих разных поставщиков.

Классическим решением для этого было бы просто использовать функцию передачи зоны главный / подчиненный, которая является частью самого протокола DNS (для этого, очевидно, требуются службы, которые позволяют вам использовать эти возможности), либо один из поставщиков услуг будет master или, возможно, с вашим собственным главным сервером.