DNS xuống trong cuộc tấn công ẩn danh


12

Khi tôi viết trang web này cho công ty của chúng tôi và dịch vụ web mà chúng tôi đã phát triển đã bị ngừng hoạt động GoDaddy lớn do một cuộc tấn công ẩn danh (hay còn gọi là Twitter).
Chúng tôi đã sử dụng GoDaddy làm công ty đăng ký và chúng tôi sử dụng nó cho DNS cho một số tên miền.

Ngày mai là một ngày mới - chúng ta có thể làm gì để giảm thiểu những lần mất điện như vậy?
Chỉ cần di chuyển đến, giả sử, Tuyến 53 cho DNS có thể không đủ.
Có cách nào để loại bỏ điểm thất bại duy nhất này không?


5
Vâng, loại âm thanh như bạn biết phải làm gì. Bạn không chỉ có thể truyền bá các dịch vụ của mình xung quanh (có nhiều hơn 1 nhà cung cấp DNS, hạ thấp chỉ số TTL và có thể sử dụng vòng tròn DNS) mà còn mở rộng ra (máy chủ web bổ sung như amazon, sao chép nội dung giữa các máy chủ, tùy thuộc vào ngân sách và quy mô triển khai lên tới CDN và phát sóng bất kỳ)
jwbensley

1
tools.ietf.org/html/rfc2182 có thể giúp ích cho ai đó
jwbensley

3
Thông thường tôi sẽ không đưa ra khuyến nghị về sản phẩm, nhưng tôi không thể nói đủ về dnsADEeasy.com - tổng cộng 1,5 giờ ngừng hoạt động kể từ khi họ đi vào kinh doanh (khi chúng tôi đăng ký 5 năm trước họ đã khoe khoang 100% thời gian hoạt động và theo như tôi biết thì 100% vẫn là SLA của họ) và phải mất 50Gbps DDoS để đưa họ ngoại tuyến. Ngay cả ở tốc độ 49Gbps ​​của DDoS, máy chủ của họ đã phản hồi, ngay cả như vậy, đó là khả năng phục hồi.
Mark Henderson

@MarkHenderson Địa ngục, tôi thấy 500% SLA? A 500% SLA for all DNS services, raising the bar industry wide. dnsADEeasy.com/service/managed-dns
Brent Pabst

@BrentPabst - tốt, thật thú vị. Điều đó thực sự có nghĩa là gì? Có phải điều đó chỉ có nghĩa là họ sẽ ghi có cho bạn gấp 5 lần thời gian chết?
Mark Henderson

Câu trả lời:


10

Bạn có thể loại bỏ điểm thất bại duy nhất này bằng cách sử dụng hai nhà cung cấp DNS.
Cũng có thể chạy máy chủ DNS của riêng bạn trên một trong các máy chủ của bạn.
GoDaddy cho phép bạn thực hiện chuyển vùng từ máy chủ của họ (cần có DNS cao cấp IIRC cho việc này).

Nhận nhà cung cấp DNS thứ hai cho phép bạn chạy một máy chủ nô lệ (hoặc tự chạy nó).
Điều chỉnh các bản ghi NS / Nserver để chúng trỏ đến cả hai nhà cung cấp và bạn đã hoàn tất.


Thật tuyệt, nhưng: Tôi thấy một số tuyên bố trên Twitter rằng các tên miền sử dụng Godaddy cũng giống như công ty đăng ký của họ cũng không hoạt động. Tôi không chắc nó hoạt động như thế nào.
Tal Weiss

4
Nếu nó được thực hiện chính xác, tôi không thấy làm thế nào. Mọi người có xu hướng tuyên bố rằng họ chỉ sử dụng nó như là công ty đăng ký và lưu trữ trang web của họ ở nơi khác nhưng không đề cập đến việc DNS vẫn đang chạy trên GoDaddy.
mạo

Đối với các trang web quan trọng của tôi, tôi luôn cảm thấy nhà đăng ký và nhà cung cấp NS nên khác nhau. Ngay cả khi nó không cung cấp tính sẵn sàng cao hơn ... thì việc phân chia quyền hạn có thể là một điều tốt.
Bret Fisher

3

(1) Các cách để "không bị ảnh hưởng" nếu các máy chủ của nhà đăng ký tên miền (KHÔNG chỉ tên miền) bị DDOSed, nếu có.

Máy chủ của nhà đăng ký chỉ quan trọng nếu bạn đang sử dụng chúng cho DNS (hoặc lưu trữ hoặc các dịch vụ khác, rõ ràng). Khi tên miền của bạn được đăng ký, các bản ghi sẽ đi vào sổ đăng ký gốc và bạn không cần nhà đăng ký của mình trực tuyến để tên miền của bạn hoạt động. Nếu họ là nhà cung cấp DNS duy nhất của bạn thì bạn muốn xem xét thêm nhiều hơn một.

(2) "Làm thế nào để có nhiều nhà cung cấp dịch vụ DNS cho một tên miền?

(đối với phần này bạn cần đăng ký trực tuyến, do đó bạn có thể nhập các thay đổi thông qua chúng) Trong tài khoản đăng ký tên miền của bạn, thêm nhiều máy chủ DNS có thẩm quyền được lưu trữ bởi nhiều nhà cung cấp. Điều này có thể sẽ yêu cầu KHÔNG sử dụng dịch vụ DNS của nhà đăng ký để bạn có thể vào máy chủ của bên thứ 3. (ví dụ với godaddy, bạn không thể sử dụng "kiểm soát miền" của họ ngoài các nhà cung cấp bên thứ 3, bạn phải chọn "tên miền của tôi được lưu trữ ở nơi khác" để đặt dns của bạn)


Đối với DNS của bên thứ 3, tôi đã sử dụng cả ultradns và dnscrafteasy, theo kinh nghiệm của tôi, cả hai đều hoạt động tốt như nhau và cái sau thì rẻ hơn nhiều.
user16081-JoeT

3

1) Đừng giữ tất cả trứng trong một giỏ DNS. Nếu bạn đủ lớn để nghĩ về anycast và CDN, tại sao bạn lại sử dụng một nhà cung cấp duy nhất như GoDaddy? Đa dạng hóa các nhà cung cấp DNS của bạn.

2) Anycast. Kiểm tra blog này để xem nhà cung cấp giảm nhẹ DDOS lên đến 65Gbps như thế nào. http://blog.cloudflare.com/65gbps-ddos-no-propet

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.