È possibile avere un provider DNS gestito secondario a cui delegare rapidamente quando si verifica un attacco DDOS sul nostro provider DNS primario * primario?

13

Quindi il nostro provider DNS, ogni tanto, subisce attacchi DDOS sui loro sistemi che causano la caduta dei nostri siti Web frontali.

Quali sono alcune opzioni in termini di riduzione della dipendenza da un SINGOLO provider DNS gestito esterno? Il mio primo pensiero è stato quello di utilizzare TTL a scadenza inferiore e altri TTL SOA, ma sembra che questi influenzino il comportamento del server DNS secondario più di ogni altra cosa.

vale a dire se si verifica un'interruzione DNS (a causa di DDOS, in questo esempio) che dura più di, diciamo, 1 ora, delegare tutto a un provider secondario.

Cosa fanno le persone là fuori quando si tratta del loro DNS esterno e usano un altro provider DNS gestito come backup?

Nota per i nostri moderatori amichevoli: questa domanda è molto più specifica delle domande "attacco mitico generico DDOS" là fuori.

EDIT: 18/05/2016 (Qualche giorno dopo): Prima di tutto grazie AndrewB per la tua eccellente risposta. Ho qualche informazione in più da aggiungere qui:

Quindi abbiamo contattato un altro fornitore di servizi DNS e abbiamo parlato con loro. Dopo aver pensato e fatto un po 'più di ricerca, in realtà è MOLTO più complicato di quanto pensassi di andare con due provider DNS. Questa non è una nuova risposta, in realtà è più carne / informazioni alla domanda! Ecco la mia comprensione:

- Molti di questi provider DNS offrono funzionalità proprietarie come "DNS intelligente", ad esempio il bilanciamento del carico DNS con keepalive, catene logiche per configurare il modo in cui le risposte vengono restituite (in base alla posizione geografica, vari pesi ai record, ecc. Ecc.) . Quindi la prima sfida è mantenere sincronizzati i due provider gestiti . E i due provider gestiti dovranno essere sincronizzati dal cliente che dovrà automatizzare l'interazione con le loro API. Non scienza missilistica, ma un costo operativo in corso che può essere doloroso (dati i cambiamenti in entrambe le parti in termini di funzionalità e API).

- Ma ecco un'aggiunta alla mia domanda. Diciamo che qualcuno ha usato due provider gestiti secondo la risposta di AndrewB. Sono corretto in quanto non esiste un DNS "primario" e "secondario" come da specifica? Cioè, registri i tuoi quattro IP del server DNS con il tuo registrar di dominio, due di loro sono uno dei tuoi provider DNS, due di loro sono server DNS dell'altro. Quindi essenzialmente mostreresti al mondo i tuoi quattro dischi NS, tutti "primari". Quindi, la risposta alla mia domanda è "No"?

domain-name-system  ddos  redundancy 
Emmel
fonte
2
Chi stai usando come provider DNS? Onestamente, passerei a un altro fornitore se questo è un problema frequente e se il fornitore non mostra alcun segno di essere in grado di evitare questi problemi.
EEAA
Non voglio chiamarli qui. : - / Sono fantastici a parte questo problema!
Emmel
10
Bene, fornire una soluzione a disponibilità elevata è una competenza fondamentale per un fornitore DNS.
EEAA
Esistono alcuni prodotti hardware che possono aiutare se si ospita a sinistra, ma cadiamo nell'opinione pubblica, ma dovresti dire al tuo fornitore onestamente se ti piacciono, forse questo li spingerà a investire nella loro struttura se si preoccupano dei loro clienti, io sempre detto questo, è sempre il modo in cui porti il ​​tuo punto ad essere importante.
yagmoth555
2
nota che tutti i grandi fornitori di cloud (amazon, google, microsoft) si occupano continuamente di questo. La migrazione a uno di questi dovrebbe essere l'opzione 1
Jim B,

Risposte:

25

Innanzitutto, affrontiamo la domanda nel titolo.

È possibile avere un provider DNS gestito secondario a cui delegare rapidamente

"Rapido" e "delega" non appartengono alla stessa frase insieme quando parliamo della delega per la parte superiore del dominio. I server dei nomi gestiti dai registri dei domini di primo livello (TLD) in genere servono riferimenti che hanno TTL misurati in giorni. I NSrecord autorevoli che vivono sui tuoi server potrebbero avere TTL inferiori che finiscono per sostituire i riferimenti TLD, ma non hai alcun controllo sulla frequenza con cui le aziende su Internet scelgono di eliminare l'intera cache o riavviare i server.

Semplificando questo, è meglio supporre che ci vorranno almeno 24 ore affinché Internet raccolga una modifica del nameserver per la parte superiore del tuo dominio. Con la parte superiore del tuo dominio il collegamento più debole, questo è ciò che devi pianificare di più.

Quali sono alcune opzioni in termini di riduzione della dipendenza da un SINGOLO provider DNS gestito esterno?

Questa domanda è molto più risolvibile e, contrariamente all'opinione popolare, la risposta non è sempre "trovare un fornitore migliore". Anche se usi un'azienda con un ottimo track record, gli ultimi anni hanno dimostrato che nessuno è infallibile, nemmeno Neustar.

  • Le grandi società di hosting DNS consolidate con una buona reputazione sono più difficili da distruggere, ma obiettivi più grandi. È meno probabile che si oscurino perché qualcuno sta cercando di mettere offline il tuo dominio, ma è più probabile che venga portato offline perché ospitano domini che sono target più interessanti. Potrebbe non accadere frequentemente, ma succede comunque.
  • All'estremo opposto, gestire i tuoi nameserver significa che hai meno probabilità di condividere i nameserver con un target che è più attraente di te, ma significa anche che è molto più facile abbattere se qualcuno decide di indirizzarti specificamente .

Per la maggior parte delle persone, l'opzione n. 1 è l'opzione più sicura. Un'interruzione può verificarsi solo una volta ogni pochi anni e, se si verifica un attacco, verrà gestita da persone che hanno più esperienza e risorse per affrontare il problema.

Questo ci porta all'ultima opzione più affidabile: un approccio misto che utilizza due aziende. Ciò fornisce resilienza contro i problemi che derivano dall'avere tutte le uova nello stesso paniere.

Per motivi di argomento, supponiamo che la tua attuale società di hosting DNS abbia due nameserver. Se aggiungi due nameserver gestiti da un'altra società nel mix, allora ci vuole un DDoS contro due diverse società per metterti offline. Questo ti proteggerà anche dal raro evento di un gigante come Neustar che fa un pisolino. La sfida diventa invece trovare un modo per fornire in modo affidabile e coerente aggiornamenti per le vostre zone DNS a più di una società. In genere questo significa disporre di un master nascosto con connessione Internet che consente a un partner remoto di eseguire trasferimenti di zona basati su chiavi. Altre soluzioni sono certamente possibili, ma personalmente non sono un fan dell'utilizzo di DDNS per soddisfare questo requisito.

Il costo della forma più affidabile di disponibilità del server DNS è, purtroppo, più complicato. I tuoi problemi ora sono molto più probabili essere il risultato di problemi che causano la sincronizzazione di questi server. Le modifiche del firewall e del routing che interrompono i trasferimenti di zona sono i problemi più comuni. Peggio ancora, se un problema di trasferimento di zona passa inosservato per un lungo periodo di tempo, il timer di scadenza definito dal SOArecord potrebbe essere raggiunto ei server remoti lasceranno cadere completamente la zona. Il monitoraggio approfondito è il tuo amico qui.

Per concludere, ci sono una serie di opzioni e ognuna ha i suoi svantaggi. Sta a te bilanciare l'affidabilità con i rispettivi compromessi.

  • Per la maggior parte, è sufficiente che il tuo DNS sia ospitato da una società che ha un'ottima reputazione per gestire gli attacchi DDoS ... il rischio di scendere una volta ogni pochi anni è abbastanza buono per la semplicità.
  • Un'azienda con una reputazione meno armoniosa nella gestione degli attacchi DDoS è la seconda opzione più comune, soprattutto quando si cercano soluzioni gratuite. Ricorda solo che in genere gratuito non significa garanzia SLA, e se si verifica un problema non avrai modo di guidare l'urgenza con quella società. (o una persona per fare causa, se il tuo ufficio legale richiede quel genere di cose)
  • L'opzione meno comune è, ironia della sorte, l'opzione più solida di utilizzare più società di hosting DNS. Ciò è dovuto a costi, complessità operativa e benefici percepiti a lungo termine.
  • Il peggio, almeno secondo me, è decidere di ospitare il tuo. Poche aziende hanno sperimentato amministratori DNS (che hanno meno probabilità di creare interruzioni accidentali), esperienza e risorse per gestire gli attacchi DDoS, disponibilità a investire in un progetto che soddisfa i criteri indicati da BCP 16 e nella maggior parte degli scenari una combinazione di tutti e tre. Se vuoi giocare con server autorevoli che affrontano solo l'interno della tua azienda, è una cosa, ma Internet DNS è un gioco di ruolo completamente diverso.
Andrew B
fonte
Ragionamento negativo, per favore?
Andrew B,
Il costo del provider DNS più affidabile ... è 0;) Almeno non ho mai avuto problemi con CloudFlare DNS.
TomTom,
4
@ TomTom Questo non è alcuni anni fa. La maggior parte dei grandi nomi possiede almeno un'interruzione a questo punto. (Cloudflare) ( Neustar )
Andrew B,
Diciamo che qualcuno ha usato due provider gestiti secondo la risposta di AndrewB. Sono corretto in quanto non esiste un DNS "primario" e "secondario" come da specifica? Cioè, registri i tuoi quattro IP del server DNS con il tuo registrar di dominio, due di loro sono uno dei tuoi provider DNS, due di loro sono server DNS dell'altro. Quindi essenzialmente mostreresti al mondo i tuoi quattro dischi NS, tutti "primari". - Il concetto di primario e secondario esiste solo tra i server di autenticazione stessi. Per il mondo esterno non c'è distinzione. È comune per il maestro non avere un NS.
Andrew B,
3

Ci sono chiaramente cose che un fornitore di servizi DNS dovrebbe fare, e molte altre che potrebbero fare, per garantire che il servizio sia il più affidabile possibile.

Se sembra che il fornitore di servizi abbia problemi irragionevoli, probabilmente avrebbe senso considerare di sostituirli del tutto, ma ci sono anche classi o problemi in cui avere servizi gestiti separatamente è utile di per sé.

Come cliente, penso che l'opzione più ovvia per andare oltre la possibilità di affidarsi a un solo fornitore sarebbe probabilmente quella di proteggere le tue scommesse avendo i tuoi domini delegati a nameserver da più fornitori di servizi DNS in ogni momento (piuttosto che cambiare la delega nel caso di guai).

Ciò che deve essere affrontato per funzionare è essenzialmente quello di mantenere sincronizzati i dati della zona tra i nameserver di questi diversi provider.

La soluzione classica sarebbe quella di utilizzare semplicemente la funzionalità di trasferimento della zona master / slave che fa parte del protocollo DNS stesso (ciò ovviamente richiede servizi che consentono di utilizzare queste strutture), con uno dei fornitori di servizi come master o eventualmente eseguendo il proprio server principale.

Håkan Lindqvist
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.