Apakah mungkin untuk memiliki penyedia DNS yang dikelola sekunder untuk dengan cepat mendelegasikan ketika serangan DDOS pada penyedia DNS * primer * eksternal kami terjadi?

13

Jadi penyedia DNS kami, sering mengalami, serangan DDOS pada sistem mereka yang menyebabkan situs web kami yang menghadap ke depan turun.

Apa sajakah pilihan dalam hal mengurangi ketergantungan pada penyedia DNS yang dikelola eksternal TUNGGAL? Pikiran pertama saya adalah menggunakan TTL kadaluarsa yang lebih rendah dan SOA lainnya, tetapi rasanya ini mempengaruhi perilaku server DNS sekunder lebih dari yang lain.

yaitu Jika Anda mengalami gangguan DNS (karena DDOS, dalam contoh ini) yang berlangsung lebih dari, katakanlah, 1 jam, delegasikan semuanya ke penyedia sekunder.

Apa yang dilakukan orang di sana ketika datang ke DNS eksternal mereka dan menggunakan penyedia DNS lain yang dikelola sebagai cadangan?

Catatan untuk moderator kami yang ramah: pertanyaan ini jauh lebih spesifik daripada pertanyaan "" serangan DDOS umum yang mengurangi "di luar sana.

EDIT: 2016-05-18 (Beberapa hari kemudian): Jadi, pertama, terima kasih AndrewB atas jawaban Anda yang luar biasa. Saya punya beberapa informasi untuk ditambahkan di sini:

Jadi kami menghubungi penyedia layanan DNS lain dan mengobrol dengan mereka. Setelah berpikir dan melakukan sedikit riset lebih lanjut, sebenarnya BANYAK lebih rumit daripada yang saya pikirkan dengan dua penyedia DNS. Ini bukan jawaban baru, sebenarnya lebih banyak daging / info untuk pertanyaan! Inilah pengertian saya:

- Banyak penyedia DNS ini menawarkan fitur eksklusif seperti 'DNS cerdas', misalnya penyeimbangan beban DNS dengan keepalives, rantai logika untuk mengonfigurasikan bagaimana tanggapan dikembalikan (berdasarkan lokasi geografis, berbagai bobot catatan, dll.) . Jadi tantangan pertama adalah menjaga agar kedua penyedia yang dikelola tetap sinkron . Dan dua penyedia yang dikelola harus tetap disinkronkan oleh pelanggan yang harus secara otomatis berinteraksi dengan API mereka. Bukan ilmu roket, tetapi biaya operasional berkelanjutan yang bisa menyakitkan (mengingat perubahan di kedua sisi dalam hal fitur dan API).

- Tapi ini tambahan pertanyaan saya. Katakanlah seseorang memang menggunakan dua penyedia terkelola sesuai respons AndrewB. Apakah saya benar karena tidak ada DNS 'primer' dan 'sekunder' di sini sesuai spesifikasi? Yaitu, Anda mendaftarkan empat IP server DNS Anda dengan pendaftar domain Anda, dua di antaranya adalah salah satu penyedia DNS Anda, dua di antaranya adalah server DNS yang lain. Jadi pada dasarnya Anda hanya akan menunjukkan kepada dunia empat catatan NS Anda, yang semuanya 'primer'. Jadi, apakah jawaban untuk pertanyaan saya, "Tidak"?

Emmel
sumber
2
Siapa yang Anda gunakan sebagai penyedia DNS Anda? Jujur, saya akan beralih ke penyedia lain jika ini adalah masalah yang sering, dan jika penyedia tidak menunjukkan tanda-tanda bisa menghindari masalah ini.
EEAA
Saya tidak ingin memanggil mereka di sini. : - / Mereka luar biasa selain dari masalah ini!
Emmel
10
Nah, memberikan solusi yang sangat tersedia adalah kompetensi inti untuk vendor DNS.
EEAA
Ada beberapa produk perangkat keras yang dapat membantu jika Anda meng-hostftfft Anda, tetapi kami jatuh ke dalam opini, tetapi Anda harus memberi tahu vendor Anda dengan jujur ​​jika Anda menyukainya, mungkin itu akan mendorong mereka untuk berinvestasi ke dalam struktur mereka jika mereka peduli dengan pelanggan mereka, saya selalu Diberitahu, selalu bagaimana Anda membawa poin Anda yang penting.
yagmoth555
2
perhatikan bahwa semua penyedia cloud besar (amazon, google, microsoft) berurusan dengan ini setiap saat. Migrasi ke salah satu dari mereka harus menjadi opsi 1
Jim B

Jawaban:

25

Pertama, mari kita bahas pertanyaan dalam judul.

Apakah mungkin untuk memiliki penyedia DNS yang dikelola sekunder untuk didelegasikan dengan cepat

"Cepat" dan "delegasi" tidak termasuk dalam kalimat yang sama ketika kita berbicara tentang delegasi untuk bagian atas domain. Server nama yang dioperasikan oleh pendaftar domain tingkat atas (TLD) biasanya melayani referensi yang memiliki TTL diukur dalam beberapa hari. Catatan otoritatif NSyang hidup di server Anda mungkin memiliki TTL yang lebih rendah yang akhirnya menggantikan referensi TLD, tetapi Anda tidak memiliki kendali atas seberapa sering perusahaan di internet memilih untuk menjatuhkan seluruh cache atau memulai kembali server mereka.

Menyederhanakan ini, yang terbaik untuk mengasumsikan bahwa itu akan memakan waktu setidaknya 24 jam untuk internet untuk mengambil perubahan server nama untuk bagian atas domain Anda. Dengan bagian atas domain Anda menjadi tautan terlemah, itulah yang paling harus Anda rencanakan.

Apa sajakah pilihan dalam hal mengurangi ketergantungan pada penyedia DNS yang dikelola eksternal TUNGGAL?

Pertanyaan ini jauh lebih bisa dipecahkan, dan bertentangan dengan pendapat umum, jawabannya tidak selalu "menemukan penyedia yang lebih baik". Bahkan jika Anda menggunakan perusahaan dengan rekam jejak yang sangat baik, beberapa tahun terakhir telah menunjukkan bahwa tidak ada yang sempurna, bahkan Neustar.

  • Perusahaan hosting DNS besar dan mapan dengan reputasi baik lebih sulit dihancurkan, tetapi target lebih besar. Mereka cenderung menjadi gelap karena seseorang mencoba untuk mengambil domain Anda offline, tetapi lebih mungkin untuk diambil offline karena mereka meng-host domain yang target lebih menarik. Ini mungkin tidak sering terjadi, tetapi masih terjadi.
  • Sebaliknya, menjalankan server nama Anda sendiri berarti Anda cenderung berbagi server nama dengan target yang lebih menarik daripada Anda, tetapi itu juga berarti bahwa Anda lebih mudah untuk dihilangkan jika seseorang memutuskan untuk menargetkan Anda secara khusus .

Bagi kebanyakan orang, opsi # 1 adalah opsi paling aman. Pemadaman hanya dapat terjadi sekali setiap beberapa tahun, dan jika serangan benar-benar terjadi, itu akan ditangani oleh orang-orang yang memiliki lebih banyak pengalaman dan sumber daya untuk menangani masalah tersebut.

Itu membawa kita ke pilihan terakhir, paling andal: pendekatan campuran menggunakan dua perusahaan. Ini memberikan daya tahan terhadap masalah yang muncul karena memiliki semua telur Anda dalam satu keranjang.

Demi argumen itu, mari kita asumsikan bahwa perusahaan hosting DNS Anda saat ini memiliki dua server nama. Jika Anda menambahkan dua server nama yang dikelola oleh perusahaan lain ke dalam campuran, maka dibutuhkan DDoS terhadap dua perusahaan yang berbeda untuk membawa Anda offline. Ini akan melindungi Anda dari peristiwa langka seperti raksasa seperti Neustar yang tidur siang. Sebaliknya, tantangannya adalah menemukan cara untuk secara andal dan konsisten memberikan pembaruan untuk zona DNS Anda ke lebih dari satu perusahaan. Biasanya ini berarti memiliki internet yang menghadap master tersembunyi yang memungkinkan mitra jarak jauh untuk melakukan transfer zona berbasis utama. Solusi lain tentu saja mungkin, tetapi saya pribadi bukan penggemar menggunakan DDNS untuk memenuhi persyaratan ini.

Sayangnya, biaya ketersediaan server DNS yang paling dapat diandalkan, sayangnya, lebih rumit. Masalah Anda sekarang jauh lebih mungkin sebagai akibat dari masalah yang menyebabkan server ini menjadi tidak sinkron. Perubahan firewall dan perutean yang memutuskan transfer zona adalah masalah yang paling umum. Lebih buruk lagi, jika masalah transfer zona tidak diperhatikan untuk jangka waktu yang lama, waktu kedaluwarsa yang ditentukan oleh SOAcatatan Anda mungkin tercapai dan server jauh akan menjatuhkan zona sepenuhnya. Pemantauan ekstensif adalah teman Anda di sini.


Untuk menyelesaikan semua ini, ada sejumlah opsi, dan masing-masing memiliki kekurangan. Terserah Anda untuk menyeimbangkan keandalan terhadap pengorbanan masing-masing.

  • Untuk sebagian besar, DNS Anda cukup di-host dengan perusahaan yang memiliki reputasi hebat dalam menangani serangan DDoS ... risiko turun sekali setiap beberapa tahun cukup baik untuk kesederhanaan.
  • Sebuah perusahaan dengan reputasi berbalut besi untuk menangani serangan DDoS adalah pilihan kedua yang paling umum, terutama ketika orang mencari solusi gratis. Hanya ingat bahwa gratis biasanya berarti tidak ada jaminan SLA, dan jika masalah terjadi Anda tidak akan memiliki cara untuk mendorong urgensi dengan perusahaan itu. (atau seseorang untuk menuntut, jika departemen hukum Anda meminta hal semacam itu)
  • Opsi yang paling tidak umum adalah, ironisnya, pilihan paling kuat untuk menggunakan beberapa perusahaan hosting DNS. Hal ini disebabkan oleh biaya, kompleksitas operasional, dan manfaat jangka panjang yang dirasakan.
  • Yang terburuk, setidaknya menurut saya, adalah memutuskan untuk menjadi tuan rumah bagi Anda sendiri. Beberapa perusahaan telah mengalami admin DNS (yang cenderung membuat pemadaman tidak disengaja), pengalaman dan sumber daya untuk menghadapi serangan DDoS, kesediaan untuk berinvestasi dalam desain yang memenuhi kriteria yang diuraikan oleh BCP 16 , dan dalam kebanyakan skenario kombinasi dari ketiganya. Jika Anda ingin bermain-main dengan server otoritatif yang hanya menghadapi bagian dalam perusahaan Anda, itu satu hal, tetapi internet yang menghadapi DNS adalah ballgame yang sama sekali berbeda.
Andrew B
sumber
Mohon alasannya downvote?
Andrew B
Biaya Provicer DNS yang paling dapat diandalkan ... adalah 0;) Setidaknya saya tidak pernah mengalami masalah dengan CloudFlare DNS.
TomTom
4
@ TomTom Ini bukan beberapa tahun yang lalu. Sebagian besar nama besar memiliki setidaknya satu pemadaman saat ini. (Cloudflare) ( Neustar )
Andrew B
Katakanlah seseorang memang menggunakan dua penyedia terkelola sesuai respons AndrewB. Apakah saya benar karena tidak ada DNS 'primer' dan 'sekunder' di sini sesuai spesifikasi? Yaitu, Anda mendaftarkan empat IP server DNS Anda dengan pendaftar domain Anda, dua di antaranya adalah salah satu penyedia DNS Anda, dua di antaranya adalah server DNS yang lain. Jadi pada dasarnya Anda hanya akan menunjukkan kepada dunia empat catatan NS Anda, yang semuanya 'primer'. - Konsep primer dan sekunder hanya ada di antara server auth sendiri. Bagi dunia luar tidak ada perbedaan. Adalah umum bagi tuan untuk tidak memiliki NS.
Andrew B
3

Jelas ada hal-hal yang harus dilakukan oleh penyedia layanan DNS, dan banyak lagi yang dapat mereka lakukan, untuk memastikan bahwa layanan tersebut dapat diandalkan.

Jika tampaknya penyedia layanan memiliki masalah yang tidak masuk akal, mungkin akan masuk akal untuk mempertimbangkan untuk menggantinya sama sekali tetapi kemudian ada juga kelas atau masalah di mana layanan yang dioperasikan secara terpisah sangat membantu dalam dan dari dirinya sendiri.

Sebagai pelanggan, saya pikir pilihan yang paling jelas untuk melampaui mengandalkan satu penyedia mungkin adalah untuk melakukan lindung nilai taruhan dengan meminta domain Anda didelegasikan ke server nama dari beberapa penyedia layanan DNS setiap saat (daripada mengubah delegasi jika masalah).

Apa yang perlu ditangani untuk itu agar bekerja pada dasarnya adalah hanya menjaga data zona dalam sinkronisasi di nameserver penyedia berbeda ini.

Solusi klasik untuk itu adalah dengan hanya menggunakan fungsi transfer master / slave zone yang merupakan bagian dari protokol DNS itu sendiri (ini jelas membutuhkan layanan yang memungkinkan Anda untuk menggunakan fasilitas ini), baik memiliki salah satu penyedia layanan menjadi master atau mungkin menjalankan server master Anda sendiri.

Håkan Lindqvist
sumber