DNS отключен в анонимной атаке

12

Пока я пишу это, сайт нашей компании и веб-сервис, который мы разработали, находятся в упадке из-за анонимной атаки GoDaddy (или, как говорит Twitter).
Мы использовали GoDaddy в качестве нашего регистратора, и мы используем его для DNS для некоторых доменов.

Завтра новый день - что мы можем сделать, чтобы смягчить такие отключения?
Простого перехода, скажем, к маршруту 53 для DNS может быть недостаточно.
Есть ли способ удалить эту единственную точку отказа?

domain-name-system ddos godaddy anonymous domain-registrar Таль Вайс
источник
5
Ну, это звучит так, будто ты знаешь, что делать. Вы можете не только распределить свои услуги (иметь более 1 поставщика DNS, снизить TTL и, возможно, использовать циклический перебор DNS), но и масштабировать (дополнительный веб-хост, такой как amazon, реплицировать контент между хостами, в зависимости от бюджета и масштаба развертывания). до CDN и anycasting)
jwbensley
1
tools.ietf.org/html/rfc2182, который может кому-то помочь
jwbensley
3
Обычно я бы не давал рекомендации по продукту, но я не могу говорить достаточно высоко о dnsmadeeasy.com - всего 1,5 часа простоя с тех пор, как они занялись бизнесом (когда мы зарегистрировались 5 лет назад, они работали без перебоев на 100%, и насколько я знаю, 100% все еще является их SLA), и DDoS потребовалось 50 Гбит / с, чтобы перевести их в автономный режим. Даже на 49 Гбит / с DDoS их серверы отвечали, даже если это так, это надежность.
Марк Хендерсон
@MarkHenderson Черт, я вижу 500% SLA? A 500% SLA for all DNS services, raising the bar industry wide. dnsmadeeasy.com/services/managed-dns
Брент Пабст
@BrentPabst - это интересно. Что это на самом деле означает, хотя? Означает ли это, что они будут кредитовать вас в 5 раз за период простоя?
Марк Хендерсон

Ответы:

10

Вы можете устранить эту единственную точку отказа, используя два DNS-провайдера.
Также может быть возможным запустить собственный DNS-сервер на одном из ваших серверов.
GoDaddy позволяет вам выполнять зонные переводы со своих серверов (для этого необходим премиальный DNS IIRC).

Получите второго DNS-провайдера, который позволит вам запустить подчиненный сервер (или запустить его самостоятельно).
Настройте записи NS / Nserver так, чтобы они указывали на обоих провайдеров, и все готово.

обманщик
источник
Круто, но: я вижу в Twitter некоторые заявления о том, что домены, которые используют Godaddy так же, как и их регистратора, также не работают. Я не уверен, как это работает.
Тал Вайс
4
Если все сделано правильно, я не вижу как. Люди склонны утверждать, что они используют его только в качестве регистратора и размещают свой сайт в другом месте, но не упоминают, что DNS все еще работает на GoDaddy.
Факер
Для моих важных сайтов я всегда чувствовал, что регистратор и провайдер NS должны быть разными. Даже если это не обеспечивает более высокую доступность ... разделение полномочий может быть хорошей вещью.
Брет Фишер
3

(1) Способы остаться «незатронутыми», если сами серверы регистратора домена (а не только домен) являются DDOSed, если таковые имеются.

Серверы регистратора имеют значение только в том случае, если вы используете их для DNS (или, конечно, для хостинга или других услуг). Как только ваш домен зарегистрирован, записи попадают в корневой реестр, и вам не нужно, чтобы ваш регистратор был в сети, чтобы ваш домен работал. Если они ваш единственный DNS-провайдер, то вы можете рассмотреть возможность добавления более одного.

(2) «Как иметь более одного поставщика услуг DNS для домена?

(для этой части вам нужен онлайн-регистратор, чтобы вы могли вносить изменения через них). В вашей учетной записи реестра домена добавьте несколько авторитетных DNS-серверов, размещенных у нескольких провайдеров. Это, вероятно, потребует НЕ использовать службу DNS регистратора, чтобы вы могли входить на сторонние серверы. (например, с Godaddy вы не можете использовать их «контроль домена» в дополнение к сторонним поставщикам, вы должны выбрать «мой домен размещен в другом месте», чтобы установить свой DNS)

user16081-JoeT
источник
для сторонних DNS я использовал как ultradns, так и dnsmadeeasy, по моему опыту оба работают примерно одинаково хорошо, а последний намного дешевле.
user16081-JoeT
3

1) Не храните все яйца в одной корзине DNS. Если вы достаточно велики, чтобы думать о anycast и CDN, почему вы используете одного провайдера, такого как GoDaddy? Разнообразьте своих провайдеров DNS.

2) Anycast. Посетите этот блог, чтобы узнать, как провайдер снизил уровень DDOS до 65 Гбит / с. http://blog.cloudflare.com/65gbps-ddos-no-problem

notmyname
источник