domain-name-system – 当我们的* primary *外部DNS提供商发生DDOS攻击时,是否可以让二级托管DNS提供商快速委托?

前端之家收集整理的这篇文章主要介绍了domain-name-system – 当我们的* primary *外部DNS提供商发生DDOS攻击时,是否可以让二级托管DNS提供商快速委托?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
因此,我们的DNS提供商经常在其系统上遭受DDOS攻击,导致我们的前端网站出现故障.

在减少对SINGLE外部托管DNS提供程序的依赖方面有哪些选择?我的第一个想法是使用较低的过期TTL和其他SOA TTL,但感觉这些影响次要DNS服务器行为比什么都重要.

即,如果您遇到DNS中断(在此示例中由于DDOS),持续时间超过1小时,则将所有内容委托给辅助提供程序.

当涉及到外部DNS并使用其他托管DNS提供程序作为备份时,人们在那里做了什么?

我们友好的版主注意:这个问题比“通用缓解DDOS攻击”更加具体.

编辑:2016-05-18(几天后):首先,谢谢AndrewB的出色答案.我在这里添加了更多信息:

所以我们联系了另一个DNS服务提供商并与他们聊天.在思考并做了一些研究之后,它实际上比我想到的两个DNS提供商要复杂得多.这不是一个新的答案,它实际上更多的问题的肉/信息!这是我的理解:

– 许多这些DNS提供商提供专有功能,如“智能DNS”,例如使用Keepalive的DNS负载平衡,配置响应如何回传的逻辑链(基于地理位置,记录的各种权重等) .因此,第一个挑战是保持两个托管提供商同步.这两个托管服务提供商必须由必须自动与其API交互的客户保持同步.不是火箭科学,而是持续的运营成本可能是痛苦的(在功能和API方面双方都有变化).

– 但这是我的问题的补充.假设有人根据AndrewB的回复确实使用了两个托管服务提供商.我是否正确,因为根据规范,这里没有“主要”和“次要”DNS?即,您向域名注册注册了四个DNS服务器IP,其中两个是您的DNS提供商之一,其中两个是另一个的DNS服务器.所以你基本上只是向世界展示你的四个NS记录,所有这些记录都是“主要的”.那么,问题的答案是“不”吗?

解决方法

首先,让我们解决标题中的问题.

Is it possible to have a secondary managed DNS provider to quickly delegate to

当我们谈论领域的顶级授权时,“快速”和“授权”不属于同一句话.由顶级域名(TLD)注册管理机构运营的域名服务器通常提供以天为单位测量TTL的推荐.存在于服务器上的权威NS记录可能具有较低的TTL,最终取代了TLD引用,但您无法控制互联网上的公司选择放弃整个缓存或重新启动其服务器的频率.

简化这一点,最好假设互联网需要至少24小时才能获得域名顶部的域名服务器更改.由于您的域名顶部是最薄弱的环节,因此您必须最大限度地计划.

What are some options in terms of reducing dependency on a SINGLE external managed DNS provider?

这个问题更容易解决,与流行的观点相反,答案并不总是“找到更好的提供者”.即使你使用一家拥有良好记录的公司,近年来也证明了没有人是绝对可靠的,甚至连Neustar都没有.

>拥有良好声誉的大型,完善的DNS托管公司更难以粉碎,但更大的目标.他们不太可能变黑,因为有人试图让您的域脱机,但更有可能因为他们托管更具吸引力的目标域而脱机.它可能不会经常发生,但它仍然会发生.
>在相反的极端,运行自己的名称服务器意味着你不太可能与一个比你更有吸引力的目标共享域名服务器,但这也意味着如果有人决定瞄准你,你就更容易被删除特别.

对于大多数人来说,选项#1是最安全的选择.中断可能每隔几年才会发生一次,如果发生攻击,将由具有更多经验和资源来处理问题的人员处理.

这为我们带来了最终,最可靠的选择:使用两家公司的混合方法.这样可以抵御将所有鸡蛋放在一个篮子里所带来的问题.

为了论证,让我们假设您当前的DNS托管公司有两个名称服务器.如果您将另一家公司管理的两个名称服务器添加到组合中,则需要针对两个不同公司的DDoS才能使您脱机.这样可以保护你免受像Neustar这样的巨人打瞌睡的罕见事件.相反,挑战在于找到一种方法,可以可靠,一致地将DNS区域的更新交付给多家公司.通常,这意味着具有面向隐藏主服务器的互联网,允许远程合作伙伴执行基于密钥的区域传输.其他解决方案当然是可行的,但我个人并不喜欢使用DDNS来满足这一要求.

遗憾的是,最可靠的DNS服务器可用性的成本更加复杂.您的问题现在更有可能是导致这些服务器不同步的问题的结果.防止区域传输的防火墙和路由更改是最常见的问题.更糟糕的是,如果很长一段时间没有注意到区域传输问题,则可能会到达您的SOA记录定义的到期计时器,远程服务器将完全删除该区域.广泛的监控是你的朋友.

为了完成所有这些,有许多选项,每个都有它们的缺点.由您来平衡可靠性与各自的权衡取决于您.

>对于大多数人来说,只需将您的DNS托管在一家在处理DDoS攻击方面享有盛誉的公司就足够了……每隔几年就会降低一次的风险,这对于简单起见来说已经足够了.
>处理DDoS攻击的声誉较低的公司是第二常见的选择,特别是在寻找免费解决方案时.请记住,免费通常意味着没有SLA保证,如果问题确实发生,你将无法推动该公司的紧迫感. (或者,如果您的法律部门要求那种事情,可以提起诉讼)
>具有讽刺意味的是,最不常见的选择是使用多个DNS托管公司的最强大的选择.这是由于成本,操作复杂性和感知的长期效益.
>至少在我看来,最糟糕的是决定托管你自己的.很少有公司经历过DNS管理员(不太可能造成意外中断),处理DDoS攻击的经验和资源,愿意投资符合BCP 16所列标准的设计,并且在大多数情况下都是三者的组合.如果您想要使用仅面向公司内部的权威服务器,这是一回事,但面向互联网的DNS是一个完全不同的球赛.

猜你在找的HTML相关文章