DNS in anonymer Attacke ausgefallen

12

Während ich dies schreibe, befinden sich unsere Unternehmenswebsite und der von uns entwickelte Webdienst in einem großen Ausfall von GoDaddy, der auf einen anonymen Angriff zurückzuführen ist (so sagt Twitter).
Wir haben GoDaddy als Registrar verwendet und wir verwenden es für DNS für einige Domains.

Morgen ist ein neuer Tag - was können wir tun, um solche Ausfälle abzumildern?
Es reicht möglicherweise nicht aus, einfach auf Route 53 für DNS umzusteigen.
Gibt es eine Möglichkeit, diesen einzelnen Fehlerpunkt zu beseitigen?

Tal Weiss
quelle
5
Es hört sich so an, als wüssten Sie, was zu tun ist. Sie können nicht nur Ihre Dienste verteilen (mehr als einen DNS-Anbieter haben, die TTL senken und möglicherweise DNS-Round-Robin verwenden), sondern auch skalieren (zusätzlicher Webhost wie amazon, Replizieren von Inhalten zwischen Hosts, abhängig vom Budget und der Größe der Bereitstellung) bis zu CDNs und Anycasting)
jwbensley
1
tools.ietf.org/html/rfc2182 das könnte jemandem helfen
jwbensley
3
Normalerweise würde ich keine Produktempfehlungen geben, aber ich kann nicht hoch genug von dnsmadeeasy.com sprechen - eine Gesamtsumme von 1,5 Stunden Ausfallzeit, seit sie in Betrieb gegangen sind (als wir uns vor 5 Jahren angemeldet haben, hatten sie 100% Verfügbarkeit und Soweit ich weiß, ist 100% immer noch der SLA (SLA = SLA = SLA = SLA = SLA = SLA = SLA = SLA = SLA = SLA = SLA = SLA = SLA). Sogar bei 49 Gbit / s von DDoS reagierten die Server, das ist Resilliance.
Mark Henderson
@ MarkHenderson Hölle, ich sehe 500% SLA? A 500% SLA for all DNS services, raising the bar industry wide. dnsmadeeasy.com/services/managed-dns
Brent Pabst
@BrentPabst - na ja, das ist interessant. Was bedeutet das eigentlich? Bedeutet das nur, dass sie Ihnen das 5-fache der Ausfallzeit gutschreiben?
Mark Henderson

Antworten:

10

Sie können diesen Single Point of Failure mit zwei DNS-Providern beheben.
Möglicherweise können Sie auch Ihren eigenen DNS-Server auf einem Ihrer Server ausführen.
Mit GoDaddy können Sie Zonentransfers von ihren Servern durchführen (hierfür ist IIRC Premium DNS erforderlich).

Besorgen Sie sich einen zweiten DNS-Anbieter, mit dem Sie einen Slave-Server (oder selbst) betreiben können.
Passen Sie NS / Nserver-Einträge so an, dass sie auf beide Anbieter verweisen, und Sie sind fertig.

Schwindler
quelle
Cool, aber: Ich sehe einige Behauptungen auf Twitter, dass Domains, die Godaddy verwenden, genau wie ihr Registrar, ebenfalls nicht verfügbar sind. Ich bin mir nicht sicher, wie das funktioniert.
Tal Weiss
4
Wenn es richtig gemacht wird, sehe ich nicht wie. Die Leute behaupten, dass sie es nur als Registrar verwenden und ihre Website woanders hosten, erwähnen aber nicht, dass DNS immer noch auf GoDaddy läuft.
Fälscher
Für meine wichtigen Websites war ich immer der Meinung, dass sich Registrar und NS-Anbieter unterscheiden sollten. Auch wenn es keine höhere Verfügbarkeit bietet ... eine Gewaltenteilung kann eine gute Sache sein.
Bret Fisher
3

(1) Möglichkeiten, "unberührt" zu bleiben, wenn die Server des Domain-Registrars (NICHT nur die Domain) selbst, falls vorhanden, DDOS-fähig sind.

Die Server des Registrars sind nur von Bedeutung, wenn Sie sie für DNS (oder natürlich für Hosting oder andere Dienste) verwenden. Sobald Ihre Domain registriert ist, werden die Datensätze in das Root-Register eingetragen und Sie müssen nicht mehr online sein, damit Ihre Domain funktioniert. Wenn sie Ihr einziger DNS-Anbieter sind, sollten Sie mehrere hinzufügen.

(2) "Wie kann man mehr als einen DNS-Dienstanbieter für eine Domain haben?

(Für diesen Teil benötigen Sie Ihren Registrar online, damit Sie die Änderungen über ihn eingeben können.) Fügen Sie in Ihrem Domain-Registrierungskonto mehrere autorisierende DNS-Server hinzu, die von mehreren Anbietern gehostet werden. Dies erfordert wahrscheinlich, dass der DNS-Dienst des Registrars NICHT verwendet wird, damit Sie die Server von Drittanbietern betreten können. (z. B. können Sie bei godaddy nicht zusätzlich zu Drittanbietern deren "Domain-Kontrolle" verwenden. Sie müssen "Meine Domain wird woanders gehostet" auswählen, um Ihre DNS einzustellen.)

user16081-JoeT
quelle
Für DNS von Drittanbietern habe ich sowohl Ultradns als auch Dnsmadeeasy verwendet. Meiner Erfahrung nach funktionieren beide gleich gut und letzteres ist viel billiger.
user16081-JoeT
3

1) Bewahren Sie nicht alle Eier in einem DNS-Korb auf. Wenn Sie groß genug sind, um an Anycast und CDN zu denken, warum verwenden Sie einen einzigen Anbieter wie GoDaddy? Diversifizieren Sie Ihre DNS-Anbieter.

2) Anycast. In diesem Blog erfahren Sie, wie ein Anbieter ein DDOS von bis zu 65 Gbit / s verringert. http://blog.cloudflare.com/65gbps-ddos-no-problem

notmyname
quelle