Допустим, у меня есть корневой домен mysite.com. Этот домен и его поддомены имеют DNS, обслуживаемый внешней службой - назовем их Setwork Nolutions. Если эта внешняя компания подвергнется DDoS-атаке, мои веб-сайты, размещенные внутри этого домена, больше не будут доступны на «mysite.com» или «* .mysite.com», даже если веб-сайты полностью работают и оперативный.
Как я могу смягчить такую проблему, чтобы конечные пользователи остались довольны?
Единственное решение, которое придумали другие в моей компании, - это создать второй домен, то есть «mysite2.com», и разместить его DNS в другой компании, а затем сообщить всем конечным пользователям, что им следует использовать этот веб-сайт. Я считаю, что это нелепо и приводит к множеству других проблем.
Я хотел бы найти решение, при котором мы могли бы указывать на один и тот же веб-сайт с тем же URL-адресом без работающего исходного DNS-хоста.
Есть предположения?
Вы можете настроить дополнительные DNS-серверы за пределами SN, а затем зарегистрировать эти серверы имен как уполномоченные для этого домена.
Один из таких DNS-провайдеров, который я настоятельно рекомендую, называется UltraDNS.
Это решит все проблемы. Вместо того, чтобы иметь:
mysite.com ns ns1.sn.com
mysite.com ns ns2.sn.com
у вас будет:
mysite.com ns ns1.sn.com
mysite.com ns ns2.sn.com
mysite.com ns ns3.ultradns.com
Если ваша настоящая проблема только веб-сайты, размещенные на внутреннем хостинге, вы можете частично смягчить любой сбой своих авторитетных серверов имен, настроив локальные кэширующие серверы имен для своего домена, а затем направив свои компьютеры в локальной сети на эти кэширующие серверы имен.
http://www.tldp.org/HOWTO/DNS-HOWTO-3.html
Объедините это с несколько более длинным TTL (скажем, до тех пор, пока вы хотите пережить отключение * 2), и вы сможете прекрасно пережить этот сценарий.
В завершение, черт возьми, мы упали, всегда помните, что локальная запись в / etc / hosts (или эквивалент) может вывести вас из затруднительного положения.
Вы столкнетесь с этой проблемой с любым доменом, серверы которого подвергаются DDOS-атаке. Если серверы вашего собственного домена подверглись DDOS-атаке, это с большей вероятностью будет видимым и отслеживаемым.
Установка одного или нескольких кэширующих серверов имен в вашей собственной сети и настройка ваших компьютеров для использования их для разрешения DNS должны решить проблему, если DDOS не будет чрезвычайно продолжительным. я использую dnsmasq на сервере Linux и запустили его на маршрутизаторе OpenWRT. Он также будет читать значения из /etc/hosts и / или другие файлы в том же формате.
Если ваш внешний DNS-хост поддерживает его, вы можете запустить локальный сервер привязки в качестве скрытого подчиненного устройства. Это обеспечит лучшую защиту, которую вы можете получить без локального размещения DNS. В качестве альтернативы вы можете запустить bind в качестве локального кэширующего сервера имен.