DNS inativo em ataque anônimo

12

Enquanto escrevo isso, o site da nossa empresa e o serviço da web que desenvolvemos estão em grande queda de energia do GoDaddy, resultante de um ataque anônimo (ou seja, o Twitter).
Usamos o GoDaddy como nosso registrador e o usamos para DNS em alguns domínios.

Amanhã é um novo dia - o que podemos fazer para mitigar essas interrupções?
Simplesmente mudar para, digamos, a rota 53 para DNS pode não ser suficiente.
Existe alguma maneira de remover esse ponto único de falha?

Tal Weiss
fonte
5
Bem, parece que você sabe o que fazer. Você não apenas pode espalhar seus serviços (ter mais de um provedor de DNS, diminuir o TTL e possivelmente usar o round robin de DNS), mas também expandir (host adicional como a amazon, replicar conteúdo entre hosts, dependendo do orçamento e da escala de tamanho de implantação até CDNs e anycasting)
jwbensley 10/10
1
tools.ietf.org/html/rfc2182 que possa ajudar alguém
jwbensley
3
Normalmente, eu não daria recomendações de produtos, mas não posso falar o suficiente do dnsmadeeasy.com - um total geral de 1,5 horas de tempo de inatividade desde que entraram nos negócios (quando nos assinamos há cinco anos, eles ostentavam 100% de tempo de atividade e até onde eu sei, 100% ainda é o seu SLA) e foram necessários 50 Gbps de DDoS para desativá-los. Mesmo com 49 Gbps de DDoS, seus servidores estavam respondendo, mesmo assim, isso é resiliência.
Mark Henderson
@ MarkHenderson Inferno, vejo 500% de SLA? A 500% SLA for all DNS services, raising the bar industry wide. dnsmadeeasy.com/services/managed-dns
Brent Pabst
@BrentPabst - bem, isso é interessante. O que isso realmente significa? Significa apenas que eles lhe creditarão 5x o período de inatividade?
Mark Henderson

Respostas:

10

Você pode eliminar esse ponto único de falha usando dois provedores de DNS.
Também pode ser possível executar seu próprio servidor DNS em um de seus servidores.
O GoDaddy permite fazer transferências de zona de seus servidores (o DNS premium do IIRC é necessário para isso).

Obtenha um segundo provedor de DNS que permita executar um servidor escravo (ou você mesmo).
Ajuste os registros NS / Nserver para que apontem para os provedores e você está pronto.

falsificador
fonte
Legal, mas: vejo no Twitter algumas alegações de que domínios que usam Godaddy, assim como seus registradores, também estão inativos. Não tenho certeza de como isso funciona.
10132 Tal Weiss
4
Se for feito corretamente, não vejo como. As pessoas tendem a alegar que o usam apenas como registrador e hospedam seu site em outro lugar, mas não mencionam que o DNS ainda está sendo executado no GoDaddy.
falsificador
Para meus sites importantes, sempre achei que o registrador e o provedor NS deveriam ser diferentes. Mesmo que não ofereça maior disponibilidade ... a separação de poderes pode ser uma coisa boa.
Bret Fisher
3

(1) Maneiras de permanecer "não afetado" se os próprios servidores do registrador de domínio (e não apenas o domínio) tiverem DDOS, se houver.

os servidores do registrador só importam se você os estiver usando para DNS (ou hospedagem ou outros serviços, obviamente). Depois que seu domínio é registrado, os registros entram no registro raiz e você não precisa que seu registrador esteja online para que seu domínio funcione. Se eles são seu único provedor de DNS, considere adicionar mais de um.

(2) "Como ter mais de um provedor de serviços DNS para um domínio?

(para esta parte, você precisa do seu registrador on-line, para poder inserir as alterações através delas) Na sua conta de registro de domínio, adicione vários servidores DNS autoritativos hospedados por vários provedores. Provavelmente, isso NÃO exigirá o uso do serviço DNS do registrador para que você possa entrar nos servidores de terceiros. (por exemplo, com godaddy, você não pode usar o "controle de domínio" deles, além de provedores de terceiros, é necessário escolher "meu domínio está hospedado em outro lugar" para definir seu DNS)

user16081-JoeT
fonte
para DNS de terceiros, usei ultradns e dnsmadeeasy, na minha experiência, ambos funcionam igualmente bem e o último é muito menos caro.
User16081-JoeT
3

1) Não mantenha todos os seus ovos em uma cesta de DNS. Se você é grande o suficiente para pensar em anycast e CDN, por que está usando um único provedor como o GoDaddy? Diversifique seus provedores de DNS.

2) Anycast. Confira este blog para ver como um provedor mitigou um DDOS de até 65Gbps. http://blog.cloudflare.com/65gbps-ddos-no-problem

notmyname
fonte