服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 当我们的主要外部DNS提供商发生DDOS攻击时,是否可以有一个二级pipe理DNS提供商来快速委派?
Intereting Posts
为什么在通过RDP连接时没有关机button? 在Windows Server上不安全地运行Apache作为LOCALSYSTEM? ipfw不延迟本地主机上的请求(OS X) Windows软件RAID 1与两个磁盘上的EFI引导加载程序 在MDT 2013中将PowerShell脚本作为应用程序运行 同一networking在不同的界面上 Tomcat下每个webapp需要一个密码 如何在Ubuntu 12.04上安装build-essential? (gcc和g ++相关性问题) 重新启动后,XenCenter无法连接到XCP服务器 stream水线inputfunction – 写入进度和别名 Debian Squeeze vzquota 使用iptables阻止Skype 什么是一些configuration参数,我可以在MySQL中调整,以提高其性能,而不做任何代码更改? 禁用用户帐户远程 组策略不再适用时,受限制的组更改将消失

当我们的主要外部DNS提供商发生DDOS攻击时,是否可以有一个二级pipe理DNS提供商来快速委派?

因此,我们的DNS提供商每隔一段时间都会在他们的系统上遇到DDOS攻击,导致我们的前置网站停止运行。

在减less对单个外部托pipeDNS提供商的依赖方面有哪些select? 我的第一个想法是使用较低的TTL和其他SOA TTL,但感觉像这些影响辅助DNS服务器的行为比什么都重要。

即,如果遇到DNS停机(由于DDOS,在此示例中)持续时间超过1小时,则将所有内容都委托给辅助提供商。

当涉及到外部DNS并使用另一个托pipeDNS提供商作为备份时,人们会做什么?

请注意我们友善的版主:这个问题更具体一些,那么“通用缓解DDOS攻击”的问题就在那里。

编辑:2016-05-18(几天后):所以,首先谢谢你AndrewB为你的出色答案。 我在这里添加更多的信息:

于是我们联系了另一个DNS服务提供商并与他们聊天。 经过思考和做更多的研究之后,实际上它比我想要使用两个DNS提供商要复杂得多。 这不是一个新的答案,它实际上是更多的肉/信息的问题! 这是我的理解:

– 许多这些DNS提供商提供诸如“智能DNS”之类的专有function,例如使用Keepalive进行DNS负载平衡,configuration响应如何回传的逻辑链(基于地理位置,logging的各种权重等) 。 所以第一个挑战是让两个托pipe提供商保持同步 。 而这两个托pipe提供商将不得不自动与他们的API进行交互的客户保持同步。 不是火箭科学,而是一个持续的运营成本,可能是痛苦的(鉴于function和API方面的双方变化)。

– 但这是对我的问题的补充。 比如,根据AndrewB的回答,有人确实使用了两个托pipe提供商。 我正确的是,根据规范,这里没有“主”和“次”DNS? 即,您向域名注册商注册您的四个DNS服务器IP,其中两个是您的DNS提供商之一,另外两个是另一个的DNS服务器。 所以你基本上只是向世界展示你的四个NSlogging,所有这些logging都是“主要的”。 那么,我的问题是否定答案?

首先,我们来谈谈标题中的问题。

是否有可能有一个辅助pipe理的DNS提供商快速委派给

当我们谈论域名顶端的代表团时,“快速”和“代表团”并不在同一句话中。 由顶级域名(TLD)注册pipe理机构运营的域名服务器通常会提供TTL以天为单位的转介。 生活在服务器上的权威性NSlogging可能具有较低的TTL,最终取代TLD推荐,但您无法控制互联网公司多久select放弃其整个caching或重新启动服务器的频率。

为了简化这一点,最好假定互联网至less需要24小时才能获取域名顶部的域名服务器更改。 由于您的域名顶端是最薄弱的环节,所以您最需要做的就是规划。

在减less对单个外部托pipeDNS提供商的依赖方面有哪些select?

这个问题更加可以解决,与stream行的观点相反,答案并不总是“find一个更好的提供者”。 即使你使用了一个有着良好logging的公司,近年来也certificate了没有人是可靠的,甚至连Neustar也不例外。

  • 具有良好声誉的大型,成熟的DNS托pipe公司很难粉碎,但是目标更大。 他们不太可能变黑,因为有人试图让你的域离线,但更有可能因为他们托pipe更有吸引力的目标的域而被脱机。 它可能不会经常发生,但它仍然发生。
  • 另一方面,运行自己的域名服务器意味着你不太可能与名称服务器共享一个比你更有吸引力的目标,但是这也意味着如果有人决定专门针对你,你会更容易取下。

对于大多数人来说,选项#1是最安全的select。 每隔几年只能发生一次停电事故,如果发生事故,将由有更多经验和资源处理的人员处理。

这使我们得到了最后的,最可靠的select:使用两家公司的混合方法。 这提供了弹性来解决将所有鸡蛋放在一个篮子里的问题。

为了争论,让我们假设您当前的DNS托pipe公司有两个名称服务器。 如果您将另一家公司pipe理的两个名称服务器添加到组合中,则需要针对两家不同公司pipe理的DDoS将您脱机。 这将保护你,甚至像Neustar这样的巨人罕见的事件发生了一个小睡。 相反,挑战就是find一种方法,可靠,一致地将DNS区域的更新传送给多家公司。 通常这意味着有一个互联网面临隐藏的主人,允许远程合作伙伴执行基于密钥的区域传输。 其他解决scheme当然是可能的,但我个人不是使用DDNS来满足这个要求的粉丝。

不幸的是,最可靠forms的DNS服务器可用性的成本更为复杂。 你的问题现在更可能是导致这些服务器不同步的问题的结果。 防火墙和路由更改会破坏区域传输,这是最常见的问题。 更糟糕的是,如果区域传输问题长期不被注意,则可能会达到SOAlogging定义的到期计时器,远程服务器将完全丢弃该区域。 广泛的监督是你的朋友在这里。

把所有这一切都包括起来,有很多select,每个都有其缺点。 平衡可靠性与各自的权衡取决于你。

  • 对于大多数人来说,将您的DNS托pipe在一家处理DDoS攻击方面享有盛誉的公司已经足够了,每隔几年就会出现一次风险就足够简单了。
  • 一个在处理DDoS攻击方面声誉不高的公司是第二个最常见的select,特别是在寻求免费解决scheme的时候。 只要记住,免费通常意味着没有SLA guaruntee,如果有问题发生,你将无法赶上该公司的紧迫感。 (或者一个人起诉,如果你的法律部门要求这样的事情)
  • 讽刺的是,最不常见的select是使用多个DNS托pipe公司的最稳健的select。 这是由于成本,运营复杂性和长期利益。
  • 最糟糕的是,至less在我看来,是决定主办自己的。 很less有公司经历过DNSpipe理员(不太可能造成意外中断),处理DDoS攻击的经验和资源,愿意投资于满足BCP 16概述的devise的devise,并且在大多数情况下是三者的组合。 如果你想玩弄只能面对公司内部的权威服务器,这是一回事,但面对DNS的互联网是一个完全不同的球赛。

很明显,DNS服务提供商应该做更多的事情,以确保服务尽可能可靠。

如果看起来服务提供商有不合理的问题,那么考虑完全替代它们可能是有意义的,但是也存在类别或问题,其中单独运营的服务本身是有帮助的。

作为一个客户,我认为超越依赖一个提供商的最明显的select可能是通过让您的域名一直委托给来自多个DNS服务提供商的域名服务器来对冲您的投注(而不是在改变委派的情况下麻烦)。

需要处理的工作基本上就是保持区域数据在这些不同供应商的名称服务器中同步。

经典的解决scheme是简单地使用DNS协议本身的一部分(主要/从属区域传输function,这显然需要服务,使您可以使用这些设施),要么有一个服务提供商是掌握或可能运行您自己的主服务器。