DNS giù in attacco anonimo


12

Mentre scrivo questo sito web della nostra azienda e il servizio web che abbiamo sviluppato sono in crisi nella grande interruzione di GoDaddy derivante da un attacco anonimo (o almeno così dice Twitter).
Abbiamo utilizzato GoDaddy come nostro registrar e lo utilizziamo per DNS per alcuni domini.

Domani è un nuovo giorno: cosa possiamo fare per mitigare tali interruzioni?
Il semplice passaggio a, diciamo, Route 53 per DNS potrebbe non essere sufficiente.
Esiste un modo per rimuovere questo singolo punto di errore?


5
Beh, sembra che tu sappia cosa fare. Non solo puoi diffondere i tuoi servizi (avere più di 1 provider DNS, abbassare il TTL e possibilmente usare il round robin DNS) ma anche ridimensionare (host web aggiuntivo come Amazon, replicare il contenuto tra host, a seconda del budget e della scala delle dimensioni della distribuzione fino a CDN e anycasting)
jwbensley,

1
tools.ietf.org/html/rfc2182 che potrebbe essere di aiuto a qualcuno
jwbensley,

3
Normalmente non darei consigli sui prodotti, ma non posso parlare abbastanza bene di dnsmadeeasy.com - un totale di 1,5 ore di downtime da quando sono entrati in attività (quando ci siamo registrati 5 anni fa hanno registrato un uptime del 100% e per quanto ne so, il 100% è ancora il loro SLA) e ci sono voluti 50 Gbps di DDoS per metterli offline. Anche a 49 Gbps di DDoS i loro server stavano rispondendo, anche così, questo è risonanza.
Mark Henderson

@MarkHenderson Hell, vedo SLA del 500%? A 500% SLA for all DNS services, raising the bar industry wide. dnsmadeeasy.com/services/managed-dns
Brent Pabst l'

@BrentPabst - beh, è ​​interessante. Cosa significa questo in realtà? Significa solo che ti accrediteranno 5 volte il periodo di inattività?
Mark Henderson

Risposte:


10

È possibile eliminare questo singolo punto di errore utilizzando due provider DNS.
Potrebbe anche essere possibile eseguire il proprio server DNS su uno dei server.
GoDaddy ti consente di effettuare trasferimenti di zona dai loro server (per questo è necessario il DNS premium IIRC).

Ottieni un secondo provider DNS che ti consenta di eseguire un server slave (o eseguirlo tu stesso).
Regola i record NS / Nserver in modo che puntino a entrambi i provider e il gioco è fatto.


Fantastico, ma: vedo alcune affermazioni su Twitter che i domini che usano Godaddy come anche il loro registrar sono inattivi. Non sono sicuro di come funzioni.
Tal Weiss,

4
Se è fatto correttamente, non vedo come. Le persone tendono a sostenere che lo usano solo come registrar e ospitano il loro sito Web altrove, ma non menzionano che il DNS è ancora in esecuzione su GoDaddy.
falso

Per i miei siti importanti, ho sempre pensato che il registrar e il fornitore NS dovessero essere diversi. Anche se non offre una maggiore disponibilità ... la separazione dei poteri può essere una buona cosa.
Bret Fisher,

3

(1) Modi per rimanere "inalterati" se i server del registrar del dominio (NON solo il dominio) stessi sono DDOS, se presenti.

i server del registrar contano solo se li stai usando per DNS (o hosting o altri servizi, ovviamente). Una volta che il tuo dominio è registrato, i record vanno nel registro principale e non è necessario che il tuo registrar sia in linea affinché il tuo dominio funzioni. Se sono il tuo unico provider DNS, ti consigliamo di aggiungere più di uno.

(2) "Come avere più di un fornitore di servizi DNS per un dominio?

(per questa parte è necessario il registrar online, quindi è possibile inserire le modifiche attraverso di essi) Nel proprio account del registro di dominio, aggiungere più server DNS autorevoli ospitati da più provider. Ciò probabilmente richiederà di NON utilizzare il servizio DNS del registrar in modo da poter accedere a server di terze parti. (es. con godaddy non puoi usare il loro "controllo dominio" oltre ai fornitori di terze parti, devi scegliere "il mio dominio è ospitato altrove" per impostare il tuo dns)


per DNS di terze parti ho usato sia ultradns che dnsmadeeasy, nella mia esperienza entrambi funzionano ugualmente bene e quest'ultimo è molto meno costoso.
user16081-JoeT

3

1) Non conservare tutte le uova in un paniere DNS. Se sei abbastanza grande da pensare a anycast e CDN, perché stai usando un singolo provider come GoDaddy? Diversifica i tuoi provider DNS.

2) Anycast. Dai un'occhiata a questo blog per vedere come un provider ha mitigato un DDOS fino a 65 Gbps. http://blog.cloudflare.com/65gbps-ddos-no-problem

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.