DNS вниз в анонімній атаці

12

Поки я пишу про це, веб-сайт нашої компанії та веб-сервіс, який ми розробили, перебувають у великому відключенні GoDaddy внаслідок анонімної атаки (або так пише Twitter).
Ми використовували GoDaddy як наш реєстратор, і ми використовуємо його для DNS для деяких доменів.

Завтра новий день - що ми можемо зробити, щоб пом'якшити такі аварії?
Простого переходу до, скажімо, маршруту 53 для DNS може бути недостатньо.
Чи є спосіб усунути цю єдину точку відмови?

domain-name-system  ddos  godaddy  anonymous  domain-registrar 
Тал Вайс
джерело
5
Добре це звучить так, ніби ви знаєте, що робити. Ви не тільки можете розповсюджувати свої послуги навколо (мати більше одного постачальника DNS, знизити TTL і, можливо, використовувати DNS круглий робот), але і масштабувати (додатковий веб-хост, як amazon, копіюючи вміст між хостами, залежно від бюджету та масштабу розміру розгортання до CDN та anycasting)
jwbensley
1
tools.ietf.org/html/rfc2182, які можуть комусь допомогти
jwbensley
3
Зазвичай я б не давав рекомендацій щодо виробів, але я не можу говорити достатньо про dnsmadeeasy.com - загальна сума 1,5 години простою з моменту початку роботи (коли ми зареєструвались 5 років тому, вони похвалилися на 100%, і наскільки я знаю, на 100% все ще залишається їх угода про рівень доступу (SLA), і для їх відключення в режимі офлайн потрібно 50 Гбіт / с DDoS. Навіть при 49Gbps ​​DDoS їхні сервери відповідали, навіть так, це стійкість.
Марк Хендерсон
@MarkHenderson Hell, я бачу 500% SLA? A 500% SLA for all DNS services, raising the bar industry wide. dnsmadeeasy.com/services/managed-dns
Brent Pabst
@BrentPabst - ну, це цікаво. Що це насправді означає? Чи це просто означає, що вони видадуть вам кредит у 5 разів більше часу простою?
Марк Хендерсон

Відповіді:

10

Ви можете усунути цю єдину точку відмови, скориставшись двома постачальниками DNS.
Можливо, також можливо запустити власний DNS-сервер на одному з ваших серверів.
GoDaddy дозволяє здійснювати передачу зон з їх серверів (для цього потрібно DNS IIRC premium).

Отримайте другого постачальника DNS, який дозволяє запустити підлеглий сервер (або запустити його самостійно).
Відрегулюйте записи NS / Nserver, щоб вони вказували на обох постачальників, і ви закінчили.

підробник
джерело
Класно, але: я бачу, що у Twitter є деякі твердження, що домени, які використовують Godaddy так само, як їхній реєстратор, також знижені. Я не впевнений, як це працює.
Тал Вайс
4
Якщо це зроблено правильно, я не бачу як. Люди схильні стверджувати, що вони використовують його лише як свого реєстратора та розміщують свій веб-сайт в іншому місці, але не відзначають, що DNS все ще працює на GoDaddy.
факер
Що стосується моїх важливих сайтів, я завжди вважав, що реєстратор та постачальник NS повинні бути різними. Навіть якщо це не забезпечує більш високу доступність ... поділ влади може бути хорошою справою.
Брет Фішер
3

(1) Способи залишатися "незадіяними", якщо сервери реєстратора домену (НЕ лише домен) самі DDOSed, якщо такі є.

сервери реєстратора мають значення лише в тому випадку, якщо ви використовуєте їх для DNS (або, очевидно, хостинг або інші сервіси). Після того, як ваш домен зареєстрований, записи переходять у кореневий реєстр, і вам не потрібно, щоб ваш реєстратор працював на лінії, щоб ваш домен працював. Якщо вони є вашим єдиним постачальником DNS, ви хочете розглянути можливість додавання декількох.

(2) "Як мати більше одного постачальника послуг DNS для домену?

(для цієї частини вам потрібен ваш реєстратор в Інтернеті, щоб ви могли вносити зміни через них) У своєму обліковому записі реєстру домену додайте кілька авторитетних серверів DNS, розміщених кількома постачальниками. Можливо, це зажадає НЕ використовувати службу DNS реєстратора, щоб ви могли зайти на сторонні сервери. (наприклад, з godaddy ви не можете використовувати їх "контроль домену" крім сторонніх постачальників, ви повинні вибрати "мій домен розміщений в іншому місці", щоб встановити ваш dns)

user16081-JoeT
джерело
для сторонніх DNS я використовував як ультраднів, так і dnsmadeeasy, на мій досвід, обидві роботи однаково добре, і остання набагато дешевша.
user16081-JoeT
3

1) Не зберігайте всі яйця в одному кошику DNS. Якщо ви досить великі, щоб думати anycast та CDN, чому ви використовуєте одного постачальника, наприклад GoDaddy? Диверсифікуйте своїх постачальників DNS.

2) Anycast. Перегляньте цей блог, щоб побачити, як постачальник пом'якшив DDOS до 65 Гбіт / с. http://blog.cloudflare.com/65gbps-ddos-no-problem

notmyname
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.