Có thể có nhà cung cấp DNS được quản lý thứ cấp để nhanh chóng ủy quyền khi DDOS tấn công vào nhà cung cấp DNS bên ngoài * chính * của chúng tôi không?

Vì vậy, nhà cung cấp DNS của chúng tôi, thường xuyên, trải qua các cuộc tấn công DDOS trên hệ thống của họ khiến các trang web trực diện của chúng tôi bị sập.

Một số tùy chọn về việc giảm sự phụ thuộc vào nhà cung cấp DNS được quản lý bên ngoài SINGLE là gì? Suy nghĩ đầu tiên của tôi là sử dụng TTL hết hạn thấp hơn và các TTL khác, nhưng có vẻ như những điều này ảnh hưởng đến hành vi của máy chủ DNS thứ cấp hơn bất kỳ thứ gì khác.

tức là nếu bạn gặp sự cố ngừng DNS (do DDOS, trong ví dụ này) kéo dài hơn 1 giờ, hãy ủy thác mọi thứ cho nhà cung cấp thứ cấp.

Mọi người làm gì ngoài đó khi nói đến DNS bên ngoài của họ và sử dụng nhà cung cấp DNS được quản lý khác làm bản sao lưu?

Lưu ý với người điều hành thân thiện của chúng tôi: câu hỏi này cụ thể hơn nhiều so với các câu hỏi "" tấn công DDOS giảm thiểu chung "ngoài kia.

EDIT: 2016-05-18 (Một vài ngày sau): Vì vậy, trước hết hãy cảm ơn AndrewB vì câu trả lời tuyệt vời của bạn. Tôi có thêm một số thông tin để thêm vào đây:

Vì vậy, chúng tôi đã liên hệ với một nhà cung cấp dịch vụ DNS khác và trò chuyện với họ. Sau khi suy nghĩ và nghiên cứu thêm một chút, nó thực sự phức tạp hơn nhiều so với tôi nghĩ với hai nhà cung cấp DNS. Đây không phải là một câu trả lời mới, nó thực sự có nhiều thịt / thông tin hơn cho câu hỏi! Đây là sự hiểu biết của tôi:

- Rất nhiều nhà cung cấp DNS này cung cấp các tính năng độc quyền như 'DNS thông minh', ví dụ: cân bằng tải DNS với các thủ tục, chuỗi logic để định cấu hình cách trả lời (dựa trên vị trí địa lý, trọng lượng khác nhau cho các bản ghi, v.v.) . Vì vậy, thách thức đầu tiên là giữ cho hai nhà cung cấp được quản lý đồng bộ . Và hai nhà cung cấp được quản lý sẽ phải được giữ đồng bộ bởi khách hàng phải tự động hóa việc tương tác với API của họ. Không phải khoa học tên lửa, mà là một chi phí hoạt động liên tục có thể gây đau đớn (những thay đổi được đưa ra từ cả hai phía về tính năng và API).

- Nhưng đây là một bổ sung cho câu hỏi của tôi. Giả sử ai đó đã sử dụng hai nhà cung cấp được quản lý theo phản hồi của AndrewB. Tôi có đúng không khi có DNS 'chính' và 'phụ' ở đây theo thông số kỹ thuật? Tức là, bạn đăng ký bốn IP máy chủ DNS của mình với nhà đăng ký tên miền, hai trong số đó là một trong những nhà cung cấp DNS của bạn, hai trong số đó là máy chủ DNS của người kia. Vì vậy, về cơ bản bạn sẽ chỉ hiển thị cho thế giới bốn bản ghi NS của bạn, tất cả đều là 'chính'. Vì vậy, là câu trả lời cho câu hỏi của tôi, "Không"?

Đầu tiên, hãy giải quyết câu hỏi trong tiêu đề.

Có thể có nhà cung cấp DNS được quản lý thứ cấp để nhanh chóng ủy quyền

"Nhanh" và "ủy quyền" không thuộc cùng một câu khi chúng ta đang nói về phái đoàn cho đầu tên miền. Các máy chủ tên được vận hành bởi các cơ quan đăng ký tên miền cấp cao (TLD) thường phục vụ các lượt giới thiệu có số đo TTL được tính theo ngày. Các NSbản ghi có thẩm quyền tồn tại trên các máy chủ của bạn có thể có các TTL thấp hơn cuối cùng thay thế các giới thiệu TLD, nhưng bạn không kiểm soát được tần suất các công ty trên internet chọn bỏ toàn bộ bộ nhớ cache hoặc khởi động lại máy chủ của họ.

Đơn giản hóa điều này, tốt nhất là giả định rằng sẽ mất ít nhất 24 giờ để internet nhận được một thay đổi máy chủ tên cho đầu tên miền của bạn. Với đầu tên miền của bạn là liên kết yếu nhất, đó là điều bạn phải lên kế hoạch nhiều nhất.

Một số tùy chọn về việc giảm sự phụ thuộc vào nhà cung cấp DNS được quản lý bên ngoài SINGLE là gì?

Câu hỏi này dễ giải quyết hơn nhiều và trái với ý kiến ​​phổ biến, câu trả lời không phải lúc nào cũng là "tìm một nhà cung cấp tốt hơn". Ngay cả khi bạn sử dụng một công ty có thành tích rất tốt, những năm gần đây đã chứng minh rằng không ai là không thể sai lầm, ngay cả Neustar.

• Các công ty lưu trữ DNS lớn, được thành lập tốt với danh tiếng tốt sẽ khó bị phá vỡ hơn, nhưng các mục tiêu lớn hơn. Họ ít có khả năng bị tối vì ai đó đang cố gắng đưa tên miền của bạn ngoại tuyến, nhưng nhiều khả năng sẽ bị ngoại tuyến vì họ lưu trữ các tên miền có mục tiêu hấp dẫn hơn. Nó có thể không xảy ra thường xuyên, nhưng nó vẫn xảy ra.
• Ở thái cực ngược lại, chạy máy chủ tên của riêng bạn có nghĩa là bạn ít có khả năng chia sẻ máy chủ tên với mục tiêu hấp dẫn hơn bạn, nhưng điều đó cũng có nghĩa là bạn dễ dàng gỡ xuống hơn nếu ai đó quyết định nhắm mục tiêu cụ thể cho bạn .

Đối với hầu hết mọi người, tùy chọn # 1 là lựa chọn an toàn nhất. Việc ngừng hoạt động chỉ có thể xảy ra vài năm một lần và nếu một cuộc tấn công xảy ra, nó sẽ được xử lý bởi những người có nhiều kinh nghiệm và nguồn lực để giải quyết vấn đề.

Điều đó đưa chúng ta đến lựa chọn cuối cùng, đáng tin cậy nhất: một cách tiếp cận hỗn hợp sử dụng hai công ty. Điều này cung cấp khả năng phục hồi chống lại các vấn đề đi kèm với việc có tất cả trứng của bạn trong một giỏ.

Để tranh luận, hãy giả sử rằng công ty lưu trữ DNS hiện tại của bạn có hai máy chủ tên. Nếu bạn thêm hai máy chủ tên do một công ty khác quản lý vào hỗn hợp, thì sẽ cần một DDoS chống lại hai công ty khác nhau để mang lại cho bạn ngoại tuyến. Điều này sẽ bảo vệ bạn trước cả sự kiện hiếm hoi của một người khổng lồ như Neustar ngủ trưa. Thay vào đó, thách thức trở thành tìm cách cung cấp các bản cập nhật đáng tin cậy và nhất quán cho các vùng DNS của bạn cho nhiều công ty. Thông thường, điều này có nghĩa là có internet phải đối mặt với chủ ẩn cho phép đối tác từ xa thực hiện chuyển vùng dựa trên khóa. Các giải pháp khác chắc chắn là có thể, nhưng cá nhân tôi không phải là người thích sử dụng DDNS để đáp ứng yêu cầu này.

Thật không may, chi phí của hình thức máy chủ DNS đáng tin cậy nhất là, không may, phức tạp hơn. Các vấn đề của bạn bây giờ rất có thể là kết quả của các sự cố khiến các máy chủ này không đồng bộ. Tường lửa và các thay đổi định tuyến phá vỡ chuyển vùng là những vấn đề phổ biến nhất. Tệ hơn, nếu một vấn đề chuyển vùng không được chú ý trong một thời gian dài, bộ đếm thời gian hết hạn được xác định bởi SOAhồ sơ của bạn có thể đạt được và các máy chủ từ xa sẽ bỏ hoàn toàn vùng đó. Giám sát rộng rãi là bạn của bạn ở đây.

Để kết thúc tất cả những điều này, có một số tùy chọn và mỗi phương án đều có nhược điểm. Tùy thuộc vào bạn để cân bằng độ tin cậy chống lại sự đánh đổi tương ứng.

• Đối với hầu hết, đủ để DNS của bạn được lưu trữ với một công ty có uy tín lớn trong việc xử lý các cuộc tấn công DDoS ... nguy cơ đi xuống cứ sau vài năm là đủ tốt cho sự đơn giản.
• Một công ty có danh tiếng ít sắt hơn để đối phó với các cuộc tấn công DDoS là lựa chọn phổ biến thứ hai, đặc biệt là khi một người đang tìm kiếm các giải pháp miễn phí. Chỉ cần nhớ rằng miễn phí thường có nghĩa là không có người bảo lãnh SLA, và nếu có vấn đề xảy ra, bạn sẽ không có cách nào để thúc đẩy sự khẩn cấp với công ty đó. (hoặc một người để kiện, nếu bộ phận pháp lý của bạn yêu cầu loại điều đó)
• Tùy chọn ít phổ biến nhất là, trớ trêu thay, là tùy chọn mạnh mẽ nhất để sử dụng nhiều công ty lưu trữ DNS. Điều này là do chi phí, sự phức tạp trong hoạt động và nhận thấy lợi ích lâu dài.
• Điều tồi tệ nhất, ít nhất là theo ý kiến ​​của tôi, là quyết định tổ chức của riêng bạn. Rất ít công ty đã có kinh nghiệm quản trị viên DNS (những người ít có khả năng tạo ra sự cố ngừng hoạt động), kinh nghiệm và tài nguyên để xử lý các cuộc tấn công DDoS, sẵn sàng đầu tư vào một thiết kế đáp ứng các tiêu chí do BCP 16 đưa ra và trong hầu hết các kịch bản là sự kết hợp của cả ba. Nếu bạn muốn chơi xung quanh với các máy chủ có thẩm quyền chỉ đối mặt với bên trong công ty của bạn, thì đó là một điều, nhưng DNS đối mặt với Internet là một trò chơi bóng hoàn toàn khác.

Rõ ràng có những điều mà nhà cung cấp dịch vụ DNS nên làm, và nhiều điều nữa họ có thể làm, để đảm bảo rằng dịch vụ đó đáng tin cậy nhất có thể.

Nếu có vẻ như nhà cung cấp dịch vụ có vấn đề không hợp lý thì có lẽ nên cân nhắc thay thế chúng hoàn toàn nhưng cũng có những lớp hoặc vấn đề trong đó có các dịch vụ được vận hành riêng lẻ rất hữu ích.

Là một khách hàng, tôi nghĩ rằng tùy chọn rõ ràng nhất để vượt ra ngoài việc phụ thuộc vào một nhà cung cấp có thể là phòng ngừa các vụ cá cược của bạn bằng cách ủy thác tên miền của bạn cho nhiều nhà cung cấp dịch vụ DNS mọi lúc (thay vì trong trường hợp thay đổi ủy nhiệm Rắc rối).

Những gì cần phải được giải quyết để làm việc đó về cơ bản chỉ là giữ cho dữ liệu vùng được đồng bộ hóa trên các máy chủ tên của các nhà cung cấp khác biệt này.

Giải pháp cổ điển cho điều đó là chỉ cần sử dụng chức năng chuyển vùng chủ / nô lệ là một phần của chính giao thức DNS (điều này rõ ràng yêu cầu các dịch vụ cho phép bạn sử dụng các phương tiện này), có một trong những nhà cung cấp dịch vụ là chủ hoặc có thể chạy máy chủ chính của bạn.