我想把自己的头围绕在我认为自己有点理解的东西上,但是显然有一些东西丢失了。
我们目前使用Zerigo作为我们的主要dns,slave dns运行在linode上。 这工作得很好。 然而,最近的DDOS攻击zerigo意味着,虽然DNS查询仍然解决,我们无法做任何DNS更改。 由于我们依赖于自己的基础设施上的DNS更改,所以我正在设法改进。
我宁可不完全清除,并意识到这个或类似的问题可以发生在任何主要的DNS托pipe服务提供商。 它可能不是DDOS,而是服务器上的一个错误,或者意味着我们不能再发布更新。
为此,我希望有一个备用选项:一个完全独立的(主要)DNS提供程序(也许是AWS),我们将手动进行同步。 出现问题时我们会切换到它。 这使我想到我的问题:
我如何确保我们可以快速切换这些提供商? 特别是在我们的注册商,有一个名称服务器的列表,但没有像TTL等设置。如何DNS客户知道使用新更新的名称服务器logging? 这是在SOAconfiguration? 但是,SOA本身是由DNS提供商托pipe,我们可能无法更新它…
这不是关于一次性行动的问题,可以进行计划,安排和testing,而是在事情一半时能够做到。
是的,NSlogging的持续时间(表示yourdomain.example由ns1.zerigo.net或my-ec2.amazon.com托pipe)由NSlogging的TTL值决定。 如果你的主机不允许你改变这些TTL,你就烤了。
即使您的DNS主机允许您更改它们,在父区域也有NSlogging的TTL,并且这些都由registry修复。
因此,从一个DNS主机切换到另一个不能实时完成。 垃圾邮件制造者和其他僵尸牧民这样做(这就是所谓的“快速通量”),以逃避检测,但他们托pipe他们的领域,他们可以设置TTL随意。 (他们仍然在registry中有TTL的限制。)
为您的区域切换权威名称服务器并不是您想要在紧急情况下执行的事情,因为这是一个需要至less48小时才能在整个互联网上传播的变化。
你将无法做任何事情,因为tld名称服务器没有发现它回答关于你经常使用哪个域名服务器的查询有趣,所以他们控制TTL,你将不得不忍受它。
从我所了解到的情况来看,通常情况是这样的:
这要求你自己处理你的DNS服务器,但是依靠服务总是容易受到潜在的攻击,如果没有足够的冗余,你的运气还是不好的。 除非您可以find设置从属区域的提供商。 如果您使用Zenigo作为普通的VPS并运行您自己的DNS,或者如果他们拥有DNS服务,那么我不太清楚。
虽然,如果您需要每天更改DNSlogging,我不禁要问,您在做什么样的业务? 我有大约50个客户与多个网站,但我仍然只做一个月的DNS更改一次..?
这听起来就像你有一个好的基础设施,Zerigo作为主人,托pipe自己的奴隶。
假设你正在使用BIND(对于其他DNS软件,这应该是正确的),你可以将一个从属区域变成一个主区域。 作为主人,你可以改变区域。
这实际上只是一个简单的configuration更改,但这是一个自动化过程的示例: http : //www.mikeperry.org/tech_tips/bind_switch_slave_to_master.html
如果你这样做,一旦Zerigo回来,你可以:
但是也要注意,去年Zerigo遇到DDOS时,pipe理界面不可用,但DNS主机继续提供请求。 因此,如果您对服务器上托pipe的区域进行了更改,即使Zerigo的服务器大部分都处于closures状态,错误的logging仍然会由Zerigo提供服务。