我一直在研究如何pipe理DNSlogging,但我有点不知所措。 我正在寻找一种低成本(智力,时间,金钱)解决scheme,以减轻我的域名注册商(同时也托pipe我的DNSlogging)再次陷入DDoS的风险,从而耗费我的业务。 我读过的选项包括:
在评估这些(和其他)选项时,我应该问什么问题?
Google公有DNS
正如Gaurav Kansal所说Google公有DNS是一个caching(recursion)的DNS,并不会对你有太大的帮助。
亚马逊路线53
你可以去和其他许多人一样,但是我想指出一些当你select你的DNS提供商时你应该寻找的东西。
TTL :是的TTL可能很重要,如果您不经常更改您的logging,并且提供商可以提供超过15分钟的logging。
与gTLDpipe理人员保持联系,并将您的区域档案保存在手边 :如果发生紧急情况,则准备好应急计划。
希望这可以帮助!
作为客户,您无法做任何事情来防止供应商中断,但只要您不是DDOS的实际目标,就可以通过让多个供应商(风险在于这种额外的复杂性会增加您/您的团队操作员错误的风险),或者通过更less的中断切换到更好的供应商。
纯粹的DNS零成本缓解措施,你可以很容易地采取的是简单地增加您的DNSlogging的TTL值。
TTL为5 minutes意味着所有授权DNS服务器(同时)的停机时间超过5分钟,可能会影响用户的100%,而TTL为1 week ,24小时的停机仍然会大概只会影响用户的1/7或15%。
假设您的域名注册商只托pipe您的DNS服务器,您可以在许多地方find第二DNS服务。 另外请记住,您通常不会被迫使用域名注册商的DNS服务器。
为了使这些中级DNS服务能够高效工作,您(主)DNS服务提供商的pipe理界面应该允许您:
辅助DNS服务器将定期从主服务器上下载你的DNSlogging的副本。
通常你会听到主服务器的主服务器和辅服务器的从服务器。
快速谷歌search“DNS辅助服务”返回一些公司提供的服务。
请记住,如果DDoS的目标是您的Web服务器并且您的Web服务器托pipe在单个提供商处,那么拥有弹性的DNS服务器根本没有帮助。
所以,这是一个棘手的问题。 大多数回答这个问题的人都给出了技术上很好的答案 – 分布在多个域名服务器上的区域,使用高TTL,投资选播等 – 但是我想给你一个逆向的观点。
DNS对于互联网的运作至关重要。 由于最近对DYN的DDoS,每个人都处于边缘状态,但是这种恐惧会消失。
我想指出的是:
同时也指出,地球上的每个DNS提供商现在都在专注于将自己强化到DDoS。
下面是一个有趣而又相关的切线:在2004年,一些小型站点(fido.net?)和自己的ASN广播了一个糟糕的BGP前缀,这个前缀级联了大部分互联网核心路由。 思科和主要参与者修复了这个错误,而且我们从来没有看到由于BGP前缀被重新广播而造成的互联网广泛中断。
我想说的是 – 整个互联网依赖于DNS。 这个针对Dyn的DDoS上周是非同寻常的 – 它的规模,严重程度和不可思议性。
如果没有自己的基础设施(如果Dyn's没有站起来,我可以保证你不便宜),这并不便宜也不容易。 DNS系统的重点是它应该工作。
我有很长的一段路要说,你有一个非常有效的恐惧,这是不可能的,不可能再次发生,你应该继续前进,而不是担心。 不是因为你没有必要担心,这种情况再次发生的可能性为0%(可能!),但是因为你有更多的真实和显着的东西,在不久的将来会影响你的业务,你的时间,金钱和努力比试图缓解这一点。
¯\ _(ツ)_ /¯