* Birincil * harici DNS sağlayıcımıza DDOS saldırısı gerçekleştiğinde hızlı bir şekilde temsilci atamak için ikincil yönetilen bir DNS sağlayıcınız olması mümkün müdür?

Bu nedenle DNS sağlayıcımız, sistemlerinde DDOS saldırılarına maruz kalır ve bu da ön taraftaki web sitelerimizin çökmesine neden olur.

SINGLE harici yönetilen DNS sağlayıcısına bağımlılığı azaltma konusunda bazı seçenekler nelerdir? İlk düşüncem daha düşük süreli TTL ve diğer SOA TTL'leri kullanmaktı, ancak bunların ikincil DNS sunucusu davranışını her şeyden daha fazla etkilediği düşünülüyor.

Örneğin, 1 saatten uzun süren bir DNS kesintisi yaşıyorsanız (bu örnekte DDOS nedeniyle), her şeyi ikincil bir sağlayıcıya delege edin.

İnsanlar harici DNS'leri söz konusu olduğunda ve başka bir yönetilen DNS sağlayıcısını yedek olarak kullandıklarında ne yaparlar?

Dost moderatörlerimize not: Bu soru, "" genel DDOS saldırısını hafifletme "sorularından çok daha spesifiktir.

EDIT: 2016-05-18 (Birkaç gün sonra): Öyleyse, mükemmel cevabınız için AndrewB'ye teşekkür ederim. Buraya eklemek için daha fazla bilgiye sahibim:

Bu yüzden başka bir DNS servis sağlayıcısına ulaştık ve onlarla sohbet ettik. Düşünüp biraz daha araştırma yaptıktan sonra, aslında iki DNS sağlayıcısıyla gitmeyi düşündüğümden çok daha karmaşık. Bu yeni bir cevap değil, aslında soruya daha fazla et / bilgi! İşte benim anlayışım:

- Bu DNS sağlayıcılarının birçoğu, 'akıllı DNS' gibi özel özellikler sunar, örneğin, saklayıcılarla DNS yük dengeleme, yanıtların nasıl geri verileceğini yapılandırmak için mantık zincirleri (coğrafi konum, kayıtlara çeşitli ağırlıklar vb.) . Bu yüzden ilk zorluk, yönetilen iki sağlayıcıyı senkronize tutmaktır . Ve yönetilen iki sağlayıcı, API'leriyle etkileşimi otomatikleştirmek zorunda olan müşteri tarafından senkronize tutulmalıdır. Roket bilimi değil, acı verici olabilecek sürekli bir işletim maliyeti (özellikler ve API'lar açısından her iki tarafta değişiklikler verildi).

- Ama işte soruma bir ek. Diyelim ki birisi AndrewB'nin cevabına göre iki yönetilen sağlayıcı kullandı. Burada spesifikasyona göre 'birincil' ve 'ikincil' DNS olmadığından doğru muyum? Yani, dört DNS sunucusu IP'nizi alan adı kayıt sitenize kaydedersiniz, ikisi DNS sağlayıcılarınızdan, ikisi de diğerinin DNS sunucusudur. Yani esasen dünyaya, hepsi 'birincil' olan dört NS kaydınızı gösteriyor olacaksınız. Yani, sorumun cevabı "Hayır" mı?

İlk olarak başlıktaki soruyu ele alalım.

Hızlı bir şekilde temsilci atamak için ikincil yönetilen bir DNS sağlayıcınız olması mümkün mü

Alan adının en üstündeki heyet hakkında konuşurken "Hızlı" ve "temsilci seçme" aynı cümleye ait değil. Üst düzey etki alanı (TLD) kayıtları tarafından işletilen ad sunucuları, tipik olarak, günler içinde TTL değerleri ölçülen başvurulara hizmet eder. NSSunucularınızda yaşayan yetkili kayıtların TLD yönlendirmelerinin yerini alan daha düşük TTL'leri olabilir, ancak İnternet'teki şirketlerin önbelleğini ne sıklıkta bırakmayı veya sunucularını yeniden başlatmayı seçtikleri konusunda hiçbir kontrole sahip değilsiniz.

Bunu basitleştirmekle birlikte, internetin alan adınızın üstü için bir ad sunucusu değişikliği almasının en az 24 saat alacağını varsaymak en iyisidir. Alan adınızın üst kısmı en zayıf bağlantı olduğundan, en çok planlamanız gereken şey budur.

SINGLE harici yönetilen DNS sağlayıcısına bağımlılığı azaltma konusunda bazı seçenekler nelerdir?

Bu soru çok daha çözülebilir ve halkın aksine, cevap her zaman "daha iyi bir sağlayıcı bulmak" değildir. Çok iyi bir sicile sahip bir şirket kullansanız bile, son yıllar Neustar'ın bile kimsenin yanılmaz olmadığını göstermiştir.

• İyi üne sahip büyük, köklü DNS barındırma şirketlerini ezmek daha zor, ancak daha büyük hedefler. Birisi almaya çalışıyor çünkü az olası karanlık gitmek için vardır senin alanı çevrimdışı, ancak ev sahibi alanları daha fazla hedef itiraz ediyorlar çünkü daha muhtemel çevrimdışı alınacak. Sık sık olmayabilir, ancak yine de olur.
• Diğer uçta, kendi ad sunucularınızı çalıştırmak, sizden daha çekici bir hedefle ad sunucularını paylaşma olasılığınızın daha düşük olduğu anlamına gelir, ancak aynı zamanda birisi sizi özellikle hedeflemeye karar verirse aşağı çekmek için çok daha kolay olduğunuz anlamına gelir .

Çoğu insan için # 1 seçeneği en güvenli seçenektir. Bir kesinti sadece birkaç yılda bir gerçekleşebilir ve bir saldırı meydana gelirse, sorunla başa çıkmak için daha fazla deneyime ve kaynağa sahip insanlar tarafından ele alınacaktır.

Bu da bizi son ve en güvenilir seçeneğe getiriyor: iki şirket kullanan karma bir yaklaşım. Bu, tüm yumurtalarınızın bir sepet içinde bulunmasıyla ortaya çıkan sorunlara karşı dayanıklılık sağlar.

Argüman uğruna, mevcut DNS barındırma şirketinizin iki ad sunucusu olduğunu varsayalım. Karışıma başka bir şirket tarafından yönetilen iki ad sunucusu eklerseniz, sizi çevrimdışı duruma getirmek için iki farklı şirkete karşı bir DDoS gerekir. Bu, sizi Neustar gibi bir kir şekerleme gibi dev bir olaya karşı koruyacaktır. Bunun yerine meydan okuma, DNS bölgeleriniz için birden fazla şirkete güvenilir ve tutarlı bir şekilde güncellemeler sunmanın bir yolunu bulur. Genellikle bu, uzak bir ortağın anahtar tabanlı bölge aktarımları gerçekleştirmesine izin veren internete dönük gizli bir ana sahip olması anlamına gelir. Diğer çözümler kesinlikle mümkündür, ancak kişisel olarak bu gereksinimi karşılamak için DDNS kullanma hayranı değilim.

DNS sunucusu kullanılabilirliğinin en güvenilir biçiminin maliyeti maalesef daha karmaşıktır. Sorunlarınızın artık bu sunucuların senkronize olmamasına neden olan sorunların bir sonucu olması daha olasıdır. Bölge aktarımlarını bozan güvenlik duvarı ve yönlendirme değişiklikleri en yaygın sorunlardır. Daha da kötüsü, bölge aktarma sorunu uzun bir süre fark edilmezse, SOAkaydınız tarafından tanımlanan süre sonu zamanlayıcısına ulaşılabilir ve uzak sunucular bölgeyi tamamen bırakır. Kapsamlı izleme burada arkadaşınızdır.

Tüm bunları tamamlamak için birkaç seçenek vardır ve her birinin dezavantajları vardır. İlgili ödünleşmelere karşı güvenilirliği dengelemek size kalmış.

• Çoğu için, DNS'inizin DDoS saldırılarıyla uğraşmak için büyük bir üne sahip bir şirkette barındırılması yeterlidir ... birkaç yılda bir düşme riski basitlik için yeterince iyidir.
• DDoS saldırılarıyla uğraşmak için daha az demir kaplı bir üne sahip bir şirket, özellikle ücretsiz çözümler ararken ikinci en yaygın seçenektir. Unutmayın ki ücretsiz, tipik olarak SLA garantisi yoktur ve bir sorun olursa, bu şirketle aciliyet kurmanın hiçbir yolu yoktur. (veya hukuk departmanınız böyle bir şey gerektiriyorsa dava açacak bir kişi)
• En az yaygın seçenek, ironik bir şekilde, birden fazla DNS barındırma şirketi kullanmanın en sağlam seçeneğidir. Bunun nedeni maliyet, operasyonel karmaşıklık ve algılanan uzun vadeli faydalardır.
• En kötüsü, en azından benim görüşüme göre, kendi ev sahipliği yapmaya karar veriyor. Çok az şirket, DNS yöneticileri (kazara kesintiler yaratma olasılığı daha düşük olan), DDoS saldırılarıyla uğraşmak için deneyim ve kaynaklar, BCP 16 tarafından belirtilen kriterleri karşılayan bir tasarıma yatırım yapmaya isteklilik ve çoğu senaryoda bu üçünün bir kombinasyonunu yaşamıştır . Yalnızca şirketinizin içine bakan yetkili sunucularla oynamak istiyorsanız, bu bir şeydir, ancak İnternet'e bakan DNS tamamen farklı bir top oyunudur.

Hizmetin olabildiğince güvenilir olmasını sağlamak için bir DNS hizmet sağlayıcısının yapması gereken şeyler ve yapabileceği daha pek çok şey vardır.

Servis sağlayıcının mantıksız sorunları olduğu anlaşılıyorsa, muhtemelen bunları değiştirmeyi düşünmek mantıklı olacaktır, ancak ayrıca ayrı olarak çalıştırılan hizmetlerin kendi başına yardımcı olduğu sınıflar veya problemler de vardır.

Bir müşteri olarak, bir sağlayıcıya güvenmenin ötesine geçmenin en belirgin seçeneğinin muhtemelen alan adlarınızı her zaman birden fazla DNS servis sağlayıcısından ad sunucularına devrederek (hukuki yetkileri değiştirmek yerine) sıkıntı).

Bunun çalışması için üzerinde durulması gereken şey, sadece bu farklı sağlayıcıların isim sunucuları arasında bölge verilerini senkronize tutmaktır.

Bunun klasik çözümü, DNS protokolünün kendisinin bir parçası olan ana / ikincil bölge aktarma işlevini kullanmaktır (bu açıkça bu tesislerden yararlanmanıza izin veren hizmetler gerektirir), ya hizmet sağlayıcılardan biri ana sunucu veya kendi ana sunucunuzu çalıştırıyor olabilirsiniz.