Hover son zamanlarda bir DDoS yaşadı ve hizmetlerimi kullanılamıyor. Gelecekte bu riski azaltmak için hangi adımları atabilirim?

DNS kayıtlarının nasıl yönetilebileceği konusunda biraz araştırma yapıyorum ama biraz bunaldım. Etki alanı kayıt şirketimin - aynı zamanda DNS kayıtlarımı barındıran - yine bir DDoS altında çökme riskini azaltmak için düşük maliyetli (beyin gücü, zaman, para) bir çözüm arıyorum . Hakkında okuduğum seçenekler şunlardır:

• Google Genel DNS
• Amazon Rotası 53

Bu (ve diğer) seçenekleri değerlendirirken hangi soruları sormalıyım?

Google Genel DNS

As Gaurav Kansal Google genel DNS bir önbellek (özyinelemeli) DNS ve yardımınız çok olmayacağını söyledi.

Amazon Rotası 53

Siz ve diğerleri için gidebilirsiniz, ancak DNS sağlayıcınızı seçerken aramanız gereken bazı şeyleri işaret etmek istiyorum.

• Birden fazla seçim yapın : Mümkünse, bir sağlayıcıya bir Ana Ad Sunucusu yerleştirin ve başka bir sağlayıcıya köle koyun. Farklı coğrafi konumlarda o zaman daha da iyi. Böylece, bir sağlayıcıya herhangi bir saldırı durumunda, diğer sağlayıcılar kayıtlarınızı sunucuya göndermeye devam edebilir.
• Çağrı bırakma : Tedarikçiler, Ad sunucunuzun birden fazla örneğini coğrafi olarak farklı yerlerde çalıştırmalıdır. Bu, tek bir lokasyonda saldırı durumunda daha fazla kullanılabilirlik sağlamak için farklı coğrafi konumlarda aynı IP adresini kullanan herhangi bir yayın yapılarak yapılabilir.
• Birden Çok Slave : Birden fazla Slave sunucusuna sahip olun, böylece birden fazla NS'nin düşmesi durumunda kayıtlarınız sunulabilir (Master veya Slave).

• TTL : Evet TTL belki de önemli, eğer kayıtlarınızı sık sık değiştirmezseniz ve sağlayıcı onları 15 dakikadan daha uzun süre sağlayabilir.

• GTLD yöneticileri ile irtibatta kalın ve bölge dosyanızı el altında tutun : Acil bir durumda acil durum planlarının hazır olması iyidir.

Bu yardımcı olur umarım!

Müşteri olarak, bir tedarikçinin kesintilerini önlemek için hiçbir şey yapamazsınız, ancak DDOS'un asıl hedefi olmadığınız sürece, kesintilerin etkisini tek bir tedarikçiden ya da birden fazla tedarikçiye uyarak hafifletebilirsiniz ( Bu gibi ilave karmaşıklıkların sizin veya ekibinizin operatör hatası riskini artırma riski altında olması veya) daha az kesinti ile daha iyi bir tedarikçiye geçilmesi riskiyle .

DNS için saf, kolayca alabileceğiniz sıfır maliyet düşürücü bir önlem, yalnızca DNS kayıtlarınızın TTL değerini artırmaktır .
Bir TTLarasında 5 minutes5 dakikadan uzun bir süre ile (aynı anda) bütün yetkili DNS sunucularının bir kesinti muhtemelen kullanıcıların% 100 etkileyecek araçlarla ederken ile TTLarasında 1 week24 saatlik bir kesinti hala olacak kabaca etkisi sadece 1/7 veya kullanıcılarınızın% 15’i.

Etki alanı kayıt şirketinizin yalnızca dns sunucularınızı barındırdığını varsayarsak, ikincil dns hizmetlerini birçok yerde bulabilirsiniz. Ayrıca, etki alanı kayıt şirketinizin dns sunucularını kullanmak zorunda olmadığınızı unutmayın.

Bu ikincil dns servislerinin verimli çalışması için, (birincil) dns servis sağlayıcınızın yönetim arayüzünün aşağıdakileri yapmanıza izin vermesi gerekir:

1. dns sunucuları ekleyin, değiştirin ve kaldırın, ve
2. yetkili ikincil sunucuları ekleyin, değiştirin ve kaldırın.

İkincil dns sunucuları, düzenli aralıklarla dns kayıtlarınızın bir kopyasını birincil sunuculardan indirir.

Genelde birincil sunucu için ana, ikincil sunucu için köle duyacaksınız.

'Dns ikincil servisi' için hızlı bir google araması, bu hizmeti veren birkaç şirketi iade eder.

Esnek dns sunucularına sahip olmanın, DDoS'nin hedefi web sunucularınızsa ve web sunucularınız tek bir sağlayıcıda barındırılıyorsa hiç yardımcı olmadığını unutmayın.

Yani, bu zor bir soru. Buna cevap veren çoğu kişi teknik olarak mükemmel cevaplar veriyor - bölgenizi birden fazla ad sunucusunda dağıtın, yüksek TTL'ler kullanın, herhangi bir yayın yatırımını yapın, vb. - ama size karşıt bir bakış açısı vermek istiyorum.

DNS, internetin işleyişinde kritik öneme sahiptir. Dyn'e karşı son DDoS yüzünden herkes şu anda ön saflarda. Ancak bu korku kaybolacak.

Şunu belirtmek isterim:

1. Bu, on yıllardır farkında olduğum ilk büyük DNS kesintisidir (~ 15 dakikadan fazla sürdü)
2. Toplam kesinti değildi (DYN, doğu kıyısında en büyük hizmet kaybına maruz kaldı, ancak küresel olarak aşağı olmadı)

Ayrıca, dünyadaki her DNS sağlayıcısının şu anda kendilerini DDoS'a sertleştirmeye odaklandığını da belirtin.

İşte komik ama konuyla ilgili bir teğet: ~ 2004’te, kendi ASN’si olan bazı küçük siteler (fido.net?) İnternet çekirdeğinin büyük bir kısmını aşağı çekmek için basamaklandırılmış kötü bir BGP öneki yayınladı. Cisco ve büyük oyuncular hatayı düzelttiler ve kötü bir BGP ön ekinin tekrar yayınlanmasından dolayı internet genelinde kesinti görmedik.

Söylemeye çalıştığım şey - İnternetin tamamı DNS'ye güveniyor. Geçen hafta Dyn'e karşı bu DDoS olağanüstü - büyüklüğü, şiddeti ve imkansızlığı.

Bu, kendi altyapınıza sahip olmadan (Dyn'in ayağa kalkmadığı durumlarda sizi ucuz tutamayacağınıza dair temin ederim) kendi ucunuzdan hafifletmek için ucuz ya da kolay değildir. DNS sisteminin amacı, sadece çalışması gerekiyordu.

Bu benim son derece geçerli bir korkunuz olduğunu söylememin uzun yoludur ve bir daha gerçekleşmesi pek mümkün olmayan ve bir daha gerçekleşmesi muhtemel olmayan bir endişe duymanız gerekir. Endişelenme hakkınız olmadığından ve bunun tekrar yaşanması ihtimalinin% 0 olması nedeniyle değil (olabilir!), Ancak yakın gelecekte işinizi etkileyebilecek daha gerçek ve göze çarpan şeylere sahip olduğunuz için zamanınızı, paranızı ve bu çabayı hafifletmeye çalışmaktan daha çok çaba.

¯ \ _ (ツ) _ / ¯