Jadi penyedia DNS kami, sering mengalami, serangan DDOS pada sistem mereka yang menyebabkan situs web kami yang menghadap ke depan turun.
Apa sajakah pilihan dalam hal mengurangi ketergantungan pada penyedia DNS yang dikelola eksternal TUNGGAL? Pikiran pertama saya adalah menggunakan TTL kadaluarsa yang lebih rendah dan SOA lainnya, tetapi rasanya ini mempengaruhi perilaku server DNS sekunder lebih dari yang lain.
yaitu Jika Anda mengalami gangguan DNS (karena DDOS, dalam contoh ini) yang berlangsung lebih dari, katakanlah, 1 jam, delegasikan semuanya ke penyedia sekunder.
Apa yang dilakukan orang di sana ketika datang ke DNS eksternal mereka dan menggunakan penyedia DNS lain yang dikelola sebagai cadangan?
Catatan untuk moderator kami yang ramah: pertanyaan ini jauh lebih spesifik daripada pertanyaan "" serangan DDOS umum yang mengurangi "di luar sana.
EDIT: 2016-05-18 (Beberapa hari kemudian): Jadi, pertama, terima kasih AndrewB atas jawaban Anda yang luar biasa. Saya punya beberapa informasi untuk ditambahkan di sini:
Jadi kami menghubungi penyedia layanan DNS lain dan mengobrol dengan mereka. Setelah berpikir dan melakukan sedikit riset lebih lanjut, sebenarnya BANYAK lebih rumit daripada yang saya pikirkan dengan dua penyedia DNS. Ini bukan jawaban baru, sebenarnya lebih banyak daging / info untuk pertanyaan! Inilah pengertian saya:
- Banyak penyedia DNS ini menawarkan fitur eksklusif seperti 'DNS cerdas', misalnya penyeimbangan beban DNS dengan keepalives, rantai logika untuk mengonfigurasikan bagaimana tanggapan dikembalikan (berdasarkan lokasi geografis, berbagai bobot catatan, dll.) . Jadi tantangan pertama adalah menjaga agar kedua penyedia yang dikelola tetap sinkron . Dan dua penyedia yang dikelola harus tetap disinkronkan oleh pelanggan yang harus secara otomatis berinteraksi dengan API mereka. Bukan ilmu roket, tetapi biaya operasional berkelanjutan yang bisa menyakitkan (mengingat perubahan di kedua sisi dalam hal fitur dan API).
- Tapi ini tambahan pertanyaan saya. Katakanlah seseorang memang menggunakan dua penyedia terkelola sesuai respons AndrewB. Apakah saya benar karena tidak ada DNS 'primer' dan 'sekunder' di sini sesuai spesifikasi? Yaitu, Anda mendaftarkan empat IP server DNS Anda dengan pendaftar domain Anda, dua di antaranya adalah salah satu penyedia DNS Anda, dua di antaranya adalah server DNS yang lain. Jadi pada dasarnya Anda hanya akan menunjukkan kepada dunia empat catatan NS Anda, yang semuanya 'primer'. Jadi, apakah jawaban untuk pertanyaan saya, "Tidak"?
Jawaban:
Pertama, mari kita bahas pertanyaan dalam judul.
"Cepat" dan "delegasi" tidak termasuk dalam kalimat yang sama ketika kita berbicara tentang delegasi untuk bagian atas domain. Server nama yang dioperasikan oleh pendaftar domain tingkat atas (TLD) biasanya melayani referensi yang memiliki TTL diukur dalam beberapa hari. Catatan otoritatif
NS
yang hidup di server Anda mungkin memiliki TTL yang lebih rendah yang akhirnya menggantikan referensi TLD, tetapi Anda tidak memiliki kendali atas seberapa sering perusahaan di internet memilih untuk menjatuhkan seluruh cache atau memulai kembali server mereka.Menyederhanakan ini, yang terbaik untuk mengasumsikan bahwa itu akan memakan waktu setidaknya 24 jam untuk internet untuk mengambil perubahan server nama untuk bagian atas domain Anda. Dengan bagian atas domain Anda menjadi tautan terlemah, itulah yang paling harus Anda rencanakan.
Pertanyaan ini jauh lebih bisa dipecahkan, dan bertentangan dengan pendapat umum, jawabannya tidak selalu "menemukan penyedia yang lebih baik". Bahkan jika Anda menggunakan perusahaan dengan rekam jejak yang sangat baik, beberapa tahun terakhir telah menunjukkan bahwa tidak ada yang sempurna, bahkan Neustar.
Bagi kebanyakan orang, opsi # 1 adalah opsi paling aman. Pemadaman hanya dapat terjadi sekali setiap beberapa tahun, dan jika serangan benar-benar terjadi, itu akan ditangani oleh orang-orang yang memiliki lebih banyak pengalaman dan sumber daya untuk menangani masalah tersebut.
Itu membawa kita ke pilihan terakhir, paling andal: pendekatan campuran menggunakan dua perusahaan. Ini memberikan daya tahan terhadap masalah yang muncul karena memiliki semua telur Anda dalam satu keranjang.
Demi argumen itu, mari kita asumsikan bahwa perusahaan hosting DNS Anda saat ini memiliki dua server nama. Jika Anda menambahkan dua server nama yang dikelola oleh perusahaan lain ke dalam campuran, maka dibutuhkan DDoS terhadap dua perusahaan yang berbeda untuk membawa Anda offline. Ini akan melindungi Anda dari peristiwa langka seperti raksasa seperti Neustar yang tidur siang. Sebaliknya, tantangannya adalah menemukan cara untuk secara andal dan konsisten memberikan pembaruan untuk zona DNS Anda ke lebih dari satu perusahaan. Biasanya ini berarti memiliki internet yang menghadap master tersembunyi yang memungkinkan mitra jarak jauh untuk melakukan transfer zona berbasis utama. Solusi lain tentu saja mungkin, tetapi saya pribadi bukan penggemar menggunakan DDNS untuk memenuhi persyaratan ini.
Sayangnya, biaya ketersediaan server DNS yang paling dapat diandalkan, sayangnya, lebih rumit. Masalah Anda sekarang jauh lebih mungkin sebagai akibat dari masalah yang menyebabkan server ini menjadi tidak sinkron. Perubahan firewall dan perutean yang memutuskan transfer zona adalah masalah yang paling umum. Lebih buruk lagi, jika masalah transfer zona tidak diperhatikan untuk jangka waktu yang lama, waktu kedaluwarsa yang ditentukan oleh
SOA
catatan Anda mungkin tercapai dan server jauh akan menjatuhkan zona sepenuhnya. Pemantauan ekstensif adalah teman Anda di sini.Untuk menyelesaikan semua ini, ada sejumlah opsi, dan masing-masing memiliki kekurangan. Terserah Anda untuk menyeimbangkan keandalan terhadap pengorbanan masing-masing.
sumber
NS
.Jelas ada hal-hal yang harus dilakukan oleh penyedia layanan DNS, dan banyak lagi yang dapat mereka lakukan, untuk memastikan bahwa layanan tersebut dapat diandalkan.
Jika tampaknya penyedia layanan memiliki masalah yang tidak masuk akal, mungkin akan masuk akal untuk mempertimbangkan untuk menggantinya sama sekali tetapi kemudian ada juga kelas atau masalah di mana layanan yang dioperasikan secara terpisah sangat membantu dalam dan dari dirinya sendiri.
Sebagai pelanggan, saya pikir pilihan yang paling jelas untuk melampaui mengandalkan satu penyedia mungkin adalah untuk melakukan lindung nilai taruhan dengan meminta domain Anda didelegasikan ke server nama dari beberapa penyedia layanan DNS setiap saat (daripada mengubah delegasi jika masalah).
Apa yang perlu ditangani untuk itu agar bekerja pada dasarnya adalah hanya menjaga data zona dalam sinkronisasi di nameserver penyedia berbeda ini.
Solusi klasik untuk itu adalah dengan hanya menggunakan fungsi transfer master / slave zone yang merupakan bagian dari protokol DNS itu sendiri (ini jelas membutuhkan layanan yang memungkinkan Anda untuk menggunakan fasilitas ini), baik memiliki salah satu penyedia layanan menjadi master atau mungkin menjalankan server master Anda sendiri.
sumber