Во время недавней DDoS-атаки на серверы Dyn многие веб-сайты долгое время были недоступны. Однако эти веб-сайты можно было разрешить через общедоступные DNS-серверы Google. Я предполагаю, что IP-адреса кэшировались в течение времени TTL с момента последней проверки, которая была настроена владельцем домена через Dyn до его отключения, это правильно? Если да, то означает ли это, что если кто-то воспользуется инструментом очистки кэша общедоступного DNS от Google для очистки, скажем, twitter.com, он станет недоступен для всех, кто использует общедоступный DNS Google в качестве резервной копии для разрешения этого домена во время простоя Dyn?
Однако эти веб-сайты можно было разрешить через общедоступные DNS-серверы Google.
Не до тех пор, пока и когда истечет TTL кеша, этот DNS тоже должен будет обратиться к авторитетному DNS для разрешения записи.
это правильно?
Да, конечно.
Если да, то означает ли это, что если кто-то воспользуется инструментом очистки кэша общедоступного DNS от Google для очистки, скажем, twitter.com, он станет недоступен для всех, кто использует общедоступный DNS Google в качестве резервного для разрешения этого домена во время простоя Dyn?
В этом случае эти серверы станут непригодными для использования. Но в любом случае к нему прикреплен TTL, даже если вы не очистите его (очистите его), тогда его также можно использовать в течение ограниченного времени (независимо от того, какой кеш остается).
Еще одна вещь, на которую следует обратить внимание, это то, что у общедоступного DNS Google есть несколько экземпляров, работающих за LB (балансировщиком нагрузки), я бы так предположил, если бы вы заметили, т.е. если вы быстро выполняете запросы к общедоступному DNS, он дает разный TTL в каждом ответе. Это будет означать, что экземпляр сервера с наименьшим TTL - это максимальное время, в течение которого вы можете легко получить ответы на свою запись после этого, если вы отправитесь запрашивать тот DNS, на котором истек срок TTL, вы не получите ответа.
Самый простой способ преодолеть это - войти в / etc / hosts любого веб-сайта, который вы хотите получить на 100% (и это как вернуться назад;))
Надеюсь это поможет!
Ваша гипотеза верна. Если кэширующий сервер имен больше не имеет действительной копии запрошенной записи (т. Е. Он был «сброшен» или был достигнут TTL), то он должен связаться с вышестоящим сервером, чтобы иметь возможность обработать ответ.
В случае, если кэширующий сервер напрямую запрашивает авторитетные серверы, если авторитетные серверы не могут ответить (как это было в случае с Dyn-атакой на прошлой неделе), то единственный ответ, который кэширующий сервер может дать клиенту, - это сбой.