Anonim saldırıda DNS kapatıldı

Bunu yazarken, şirketimizin web sitesi ve geliştirdiğimiz web hizmeti, Anonim bir saldırıdan kaynaklanan büyük GoDaddy kesintisinde (ya da Twitter diyor).
Kayıt şirketimiz olarak GoDaddy'yi kullandık ve bazı etki alanları için DNS için kullanıyoruz.

Yarın yeni bir gün - bu tür kesintileri azaltmak için ne yapabiliriz?
Diyelim ki DNS için Route 53'e geçmek yeterli olmayabilir.
Bu tek hata noktasını kaldırmanın bir yolu var mı?

— Tal Weiss
kaynak

Şey, ne yapacağınızı bildiğiniz gibi geliyor. Hizmetlerinizi yalnızca yaymakla kalmaz (1'den fazla DNS sağlayıcısına sahip olabilir, TTL'yi azaltabilir ve muhtemelen DNS round robin'i kullanabilirsiniz), aynı zamanda ölçeklendirebilirsiniz (amazon gibi ek web barındırma, bütçe ve dağıtım boyutu ölçeğine bağlı olarak ana bilgisayarlar arasında içerik çoğaltma kadar CDN ve yayın)

— jwbensley

tools.ietf.org/html/rfc2182 birisine yardımcı olabilir

— jwbensley

Normalde ürün önerileri vermezdim, ancak dnsmadeeasy.com'dan yeterince konuşamıyorum - işe başladıkları için toplam 1.5 saatlik kesinti süresi (5 yıl önce kaydolduğumuzda% 100 çalışma zamanı övünüyorlardı ve Bildiğim kadarıyla% 100 hala onların SLA'sı) ve bunları çevrimdışı duruma getirmek 50Gbps DDoS aldı. 49Gbps DDoS'de bile sunucuları yanıt veriyordu, bu da esneklik.

— Mark Henderson

@MarkHenderson Cehennem,% 500 SLA görüyorum? A 500% SLA for all DNS services, raising the bar industry wide. dnsmadeeasy.com/services/managed-dns

— Brent Pabst

@BrentPabst - bu ilginç. Bu aslında ne anlama geliyor? Bu sadece kesinti süresinin 5 katı kredi vereceği anlamına mı geliyor?

— Mark Henderson

Yanıtlar:

İki DNS sağlayıcısı kullanarak bu tek hata noktasını ortadan kaldırabilirsiniz.
Sunucularınızdan birinde kendi DNS sunucunuzu çalıştırmak da mümkün olabilir.
GoDaddy, sunucularından bölge aktarımı yapmanızı sağlar (bunun için IIRC premium DNS gereklidir).

Bağımlı bir sunucu çalıştırmanıza (veya kendiniz çalıştırmanıza) izin veren ikinci bir DNS sağlayıcısı edinin.
NS / Nserver kayıtlarını her iki sağlayıcıya işaret edecek ve işiniz bitmiş olacak şekilde ayarlayın.

— numaracı
kaynak

Harika, ama: Twitter'da Godaddy'yi kullananların alan adı kayıtlarının da kapalı olduğu gibi bazı iddialar görüyorum. Bunun nasıl çalıştığından emin değilim.

— Tal Weiss

Doğru yapılırsa, nasıl olduğunu göremiyorum. İnsanlar bunu yalnızca kayıt şirketi olarak kullandıklarını ve web sitelerini başka bir yerde barındırdıklarını iddia ediyorlar, ancak DNS'nin hala GoDaddy'de çalıştığını belirtmiyorlar.

— faker

Önemli sitelerim için, kayıt şirketinin ve NS sağlayıcısının her zaman farklı olması gerektiğini hissettim. Daha yüksek kullanılabilirlik sağlamasa bile ... güçler ayrılığı iyi bir şey olabilir.

— Bret Fisher

(1) Etki alanı kayıt kuruluşu sunucularının (yalnızca etki alanı DEĞİL) kendileri varsa, "etkilenmeden" kalma yolları DDOSed (varsa).

kayıt şirketinin sunucuları yalnızca bunları DNS (veya barındırma veya diğer hizmetler için) kullandığınızda önemlidir. Alan adınız kaydedildikten sonra kayıtlar kök kayıt defterine gider ve alan adınızın çalışması için kayıt sitenizin çevrimiçi olması gerekmez. Tek DNS sağlayıcınızsa, birden fazla eklemeyi düşünebilirsiniz.

(2) "Bir alan adı için birden fazla DNS servis sağlayıcınız nasıl olur?

(bu bölüm için kayıt şirketinize çevrimiçi olarak ihtiyacınız vardır, böylece bu değişiklikler yoluyla bunları girebilirsiniz) Alan adı kayıt hesabınıza, birden çok sağlayıcı tarafından barındırılan birden çok yetkili DNS sunucusu ekleyin. Bu, muhtemelen üçüncü taraf sunucularına girebilmeniz için kayıt kuruluşunun DNS hizmetini KULLANMAYI gerektirecektir. (örneğin, godaddy ile üçüncü taraf sağlayıcılara ek olarak "alan adı kontrolünü" kullanamazsınız, dns'nizi ayarlamak için "alan adım başka bir yerde barındırılıyor" u seçmeniz gerekir)

— user16081-Joet
kaynak

3. taraf DNS için hem ultradns hem de dnsmadeeasy kullandım, deneyimlerime göre hem eşit derecede iyi çalışıyor hem de ikincisi çok daha ucuz.

— user16081-JoeT

1) Tüm yumurtalarınızı tek bir DNS sepetinde tutmayın. Anycast ve CDN düşünecek kadar büyükseniz neden GoDaddy gibi tek bir sağlayıcı kullanıyorsunuz? DNS sağlayıcılarınızı çeşitlendirin.

2) Anycast. Bir sağlayıcının DDOS'u 65Gbps'ye kadar nasıl azalttığını görmek için bu bloga göz atın. http://blog.cloudflare.com/65gbps-ddos-no-problem

— notmyname
kaynak