我一直在研究如何管理 DNS 记录,但有点不知所措。我正在寻找一种低成本(智力、时间、金钱)的解决方案,以减轻我的域名注册商(也托管我的 DNS 记录)在分布式拒绝服务再次让我损失了生意。我读过的选项包括:
- Google 公共 DNS
- 亚马逊 53 号公路
当我评估这些(和其他)选项时我应该问什么问题?
答案1
Google 公共 DNS
作为高拉夫·坎萨尔说 Google 公共 DNS 是一个缓存(递归)DNS,对您没有多大帮助。
亚马逊 53 号公路
您可以选择它或许多其他提供商,但我想指出您在选择 DNS 提供商时应该注意的一些事项。
- 选择多个:如果可能的话,在其中一个提供商处放置一个主名称服务器,并在其他提供商处放置它的从属服务器。如果位于不同的地理位置,那就更好了。这样,如果一个提供商受到任何攻击,其他提供商仍然可以提供您的记录。
- 任播:提供商应在不同地理位置运行名称服务器的多个实例。这可以通过在不同的地理位置使用相同 IP 地址的任播来实现,以便在一个位置受到攻击时提供更高的可用性。
- 多个从属服务器:拥有多个从属服务器,以便在多个 NS(主服务器或从服务器)发生故障时仍能提供您的记录。
生存时间:是的,TTL 可能很重要,如果您不经常更改记录并且提供商可以提供超过 15 分钟的记录。
与 gTLD 经理保持联系并随时掌握区域文件:为了应对紧急情况,最好准备好应急计划。
希望这可以帮助!
答案2
作为客户,你无法真正采取任何措施来防止供应商的中断,但只要你不是 DDOS 的实际目标,你就可以通过拥有多个供应商(这种额外的复杂性会增加你/你的团队操作失误的风险)或切换到其他供应商来减轻单个供应商中断的影响。更好的供应商的停电次数减少。
对于纯粹的 DNS,您可以轻松采取的零成本缓解措施是简单地增加 TTLDNS 记录的值。
意味着所有权威 DNS 服务器(同时)的中断持续时间超过 5 分钟可能会影响 100% 的用户,而中断TTL24小时仍将5 minutesTTL1 week大致仅对 1/7 或 15% 的用户产生影响。
答案3
假设您的域名注册商仅托管您的 DNS 服务器,您可以在许多地方找到辅助 DNS 服务。另外请记住,您通常不会被迫使用域名注册商的 DNS 服务器。
为了使这些辅助 DNS 服务有效运行,您的(主要)DNS 服务提供商的管理界面应该允许您:
- 添加、更改和删除 DNS 服务器,以及
- 添加、更改和删除授权的辅助服务器。
辅助 DNS 服务器将定期从主服务器下载您的 DNS 记录的副本。
您经常会听到 master 表示主服务器,而 slave 表示辅助服务器。
在谷歌上快速搜索“dns 辅助服务”会返回几家提供该服务的公司。
请记住,如果 DDoS 的目标是您的 Web 服务器,并且您的 Web 服务器托管在单个提供商处,那么拥有弹性 DNS 服务器根本无济于事。
答案4
所以,这是一个棘手的问题。大多数回答这个问题的人都给出了技术上非常出色的答案 - 将您的区域分布在多个名称服务器上,使用高 TTL,投资任播等 - 但我想给您一个相反的观点。
DNS 对互联网的运作至关重要。由于最近 Dyn 遭受 DDoS 攻击,现在每个人都很紧张,但这种恐惧会逐渐消退。
我想指出的是:
- 这是我几十年来第一次发现重大 DNS 中断(持续时间超过 15 分钟)
- 这不是一次全面中断(DYN 在东海岸遭遇了最严重的服务损失,但并未在全球范围内中断)
并且还指出,目前地球上的每个 DNS 提供商都致力于加强自身对 DDoS 的防御。
这里有一段有趣但相关的题外话:大约在 2004 年,某个拥有自己 ASN 的小型网站(fido.net?)广播了一个错误的 BGP 前缀,该前缀导致大部分互联网核心路由瘫痪。思科和主要参与者修复了该漏洞,我们从未见过由于再次广播错误的 BGP 前缀而导致互联网大范围中断的情况。
我想说的是——整个互联网都依赖于 DNS。上周针对 Dyn 的 DDoS 攻击非同寻常——规模、严重性和可能性都非同寻常。
如果您不拥有自己的基础设施(我可以向您保证,如果 Dyn 不成立,这不会便宜),那么从您的角度来看,这既不便宜,也不容易缓解。DNS 系统的意义在于它应该发挥作用。
我的意思是,你有一种非常合理的恐惧,这种恐惧非常不可能发生,也不太可能再次发生,所以你应该继续前进,不要担心。不是因为你的担心是没有道理的,也不是因为这种事情再次发生的几率为 0%(可能会发生!),而是因为在不久的将来,你会遇到更多现实和突出的事情,这些事情会对你的业务产生影响,而这些事情比试图缓解这种情况更能充分利用你的时间、金钱和精力。
¯\_(ツ)_/¯