DNS turun dalam serangan Anonim

12

Saat saya menulis ini, situs web perusahaan kami dan layanan web yang kami kembangkan berada dalam penghentian besar GoDaddy yang diakibatkan oleh serangan Anonim (atau demikian kata Twitter).
Kami menggunakan GoDaddy sebagai pencatat kami dan kami menggunakannya untuk DNS untuk beberapa domain.

Besok adalah hari yang baru - apa yang bisa kita lakukan untuk mengurangi gangguan seperti itu?
Cukup pindah ke, katakanlah, Rute 53 untuk DNS mungkin tidak cukup.
Apakah ada cara untuk menghapus satu titik kegagalan ini?

Tal Weiss
sumber
5
Ya, sepertinya Anda tahu apa yang harus dilakukan. Anda tidak hanya dapat menyebarkan layanan Anda (memiliki lebih dari 1 penyedia DNS, menurunkan TTL, dan mungkin menggunakan round robin DNS) tetapi juga meningkatkan skala (host web tambahan seperti amazon, mereplikasi konten antar host, tergantung pada skala anggaran dan ukuran penyebaran hingga CDNs dan anycasting)
jwbensley
1
tools.ietf.org/html/rfc2182 yang mungkin bisa membantu seseorang
jwbensley
3
Biasanya saya tidak akan memberikan rekomendasi produk, tetapi saya tidak dapat berbicara sangat banyak dari dnsmadeeasy.com - total 1,5 jam downtime sejak mereka masuk ke bisnis (ketika kami mendaftar 5 tahun yang lalu mereka membual uptime 100%, dan sejauh yang saya tahu 100% masih SLA mereka), dan butuh 50Gbps dari DDoS untuk membawa mereka offline. Bahkan pada 49Gbps ​​DDoS server mereka merespons, meskipun begitu, itu adalah daya tahan.
Mark Henderson
@ MarkHenderson Hell, saya melihat 500% SLA? A 500% SLA for all DNS services, raising the bar industry wide. dnsmadeeasy.com/services/managed-dns
Brent Pabst
@BrentPabst - yah, itu menarik. Apa artinya itu sebenarnya? Apakah itu hanya berarti bahwa mereka akan mengkredit Anda 5x periode downtime?
Mark Henderson

Jawaban:

10

Anda dapat menghilangkan titik kegagalan tunggal ini dengan menggunakan dua penyedia DNS.
Mungkin juga layak untuk menjalankan server DNS Anda sendiri di salah satu server Anda.
GoDaddy memungkinkan Anda untuk melakukan transfer zona dari server mereka (DNS premium IIRC diperlukan untuk ini).

Dapatkan penyedia DNS kedua yang memungkinkan Anda untuk menjalankan server slave (atau menjalankannya sendiri).
Sesuaikan catatan NS / Nserver sehingga mengarah ke penyedia dan Anda selesai.

pemalsu
sumber
Keren, tetapi: Saya melihat beberapa klaim di Twitter bahwa domain yang menggunakan Godaddy sama seperti pendaftar mereka juga tidak aktif. Saya tidak yakin bagaimana cara kerjanya.
Tal Weiss
4
Jika dilakukan dengan benar, saya tidak mengerti caranya. Orang-orang cenderung mengklaim bahwa mereka hanya menggunakannya sebagai pendaftar dan meng-host situs web mereka di tempat lain tetapi gagal menyebutkan bahwa DNS masih berjalan di GoDaddy.
faker
Untuk situs penting saya, saya selalu merasa pendaftar dan penyedia NS harus berbeda. Bahkan jika itu tidak memberikan ketersediaan yang lebih tinggi ... pemisahan kekuatan bisa menjadi hal yang baik.
Bret Fisher
3

(1) Cara untuk tetap "tidak terpengaruh" jika server pendaftar domain (BUKAN hanya domain) sendiri di-DDOS, jika ada.

server pendaftar hanya masalah jika Anda menggunakannya untuk DNS (atau hosting atau layanan lainnya, tentu saja). Setelah domain Anda terdaftar, catatan masuk ke dalam root registry dan Anda tidak perlu pendaftar Anda on line agar domain Anda berfungsi. Jika mereka satu-satunya penyedia DNS Anda maka Anda ingin mempertimbangkan untuk menambahkan lebih dari satu.

(2) "Bagaimana cara memiliki lebih dari satu penyedia layanan DNS untuk suatu domain?

(untuk bagian ini Anda perlu registrar online, sehingga Anda dapat memasukkan perubahan melaluinya) Di akun registri domain Anda, tambahkan beberapa server DNS otoritatif yang dihosting oleh beberapa penyedia. Ini mungkin membutuhkan TIDAK menggunakan layanan DNS registrar sehingga Anda dapat memasuki server pihak ke-3. (mis. dengan godaddy Anda tidak dapat menggunakan "kontrol domain" mereka selain penyedia pihak ketiga, Anda harus memilih "domain saya di-host di tempat lain" untuk mengatur dns Anda)

user16081-JoeT
sumber
untuk DNS pihak ke-3 saya telah menggunakan ultradns dan dnsmadeeasy, dalam pengalaman saya keduanya bekerja dengan sama baiknya dan yang terakhir jauh lebih murah.
user16081-JoeT
3

1) Jangan menyimpan semua telur Anda dalam satu keranjang DNS. Jika Anda cukup besar untuk memikirkan siaran dan CDN mengapa Anda menggunakan penyedia tunggal seperti GoDaddy? Diversifikasi penyedia DNS Anda.

2) Anycast. Lihatlah blog ini untuk melihat bagaimana penyedia mengurangi DDOS hingga 65Gbps. http://blog.cloudflare.com/65gbps-ddos-no-problem

bukan nama
sumber