Ist es möglich, einen sekundär verwalteten DNS-Anbieter zu haben, an den schnell delegiert werden kann, wenn ein DDOS-Angriff auf unseren primären externen DNS-Anbieter erfolgt?

13

Daher erleidet unser DNS-Anbieter von Zeit zu Zeit DDOS-Angriffe auf seine Systeme, die dazu führen, dass unsere frontseitigen Websites ausfallen.

Welche Möglichkeiten gibt es, um die Abhängigkeit von einem externen verwalteten SINGLE-DNS-Anbieter zu verringern? Mein erster Gedanke war die Verwendung von TTLs mit niedrigerem Ablaufdatum und anderen SOA-TTLs, aber es scheint, dass sich diese vor allem auf das Verhalten des sekundären DNS-Servers auswirken.

Wenn beispielsweise ein DNS-Ausfall auftritt (in diesem Beispiel aufgrund von DDOS), der länger als 1 Stunde dauert, delegieren Sie alles an einen sekundären Anbieter.

Was machen die Leute da draußen, wenn es um ihr externes DNS geht und wenn sie einen anderen verwalteten DNS-Anbieter als Backup verwenden?

Hinweis für unsere freundlichen Moderatoren: Diese Frage ist weitaus spezifischer als die allgemeinen Fragen zur Minderung von DDOS-Angriffen.

EDIT: 2016-05-18 (Ein paar Tage später): Also, zunächst einmal danke AndrewB für Ihre hervorragende Antwort. Ich möchte hier weitere Informationen hinzufügen:

Also haben wir uns an einen anderen DNS-Dienstanbieter gewandt und uns mit ihm unterhalten. Nachdem ich ein bisschen mehr nachgedacht und recherchiert habe, ist es tatsächlich VIEL komplizierter, als ich dachte, mit zwei DNS-Anbietern zusammenzuarbeiten. Dies ist keine neue Antwort, es ist eigentlich mehr Fleisch / Info auf die Frage! Hier ist mein Verständnis:

- Viele dieser DNS-Anbieter bieten proprietäre Funktionen wie "intelligentes DNS", z. B. DNS-Lastausgleich mit Keepalives, logische Ketten, um zu konfigurieren, wie Antworten zurückgegeben werden (basierend auf dem geografischen Standort, verschiedenen Gewichten für Datensätze usw. usw.). . Die erste Herausforderung besteht also darin , die beiden verwalteten Anbieter synchron zu halten . Die beiden verwalteten Anbieter müssen vom Kunden synchronisiert werden, der die Interaktion mit seinen APIs automatisieren muss. Keine Raketenwissenschaft, sondern laufende Betriebskosten, die schmerzhaft sein können (bei beidseitigen Änderungen in Bezug auf Funktionen und APIs).

- Aber hier ist eine Ergänzung zu meiner Frage. Nehmen wir an, jemand hat gemäß der Antwort von AndrewB zwei verwaltete Anbieter verwendet. Habe ich recht damit, dass es hier keinen "primären" und "sekundären" DNS gemäß Spezifikation gibt? Dh, Sie registrieren Ihre vier DNS-Server-IPs bei Ihrem Domain-Registrar, zwei davon sind einer Ihrer DNS-Provider, zwei davon sind DNS-Server des anderen. Sie würden der Welt also im Wesentlichen nur Ihre vier NS-Datensätze zeigen, die alle "primär" sind. Ist die Antwort auf meine Frage "Nein"?

Emmel
quelle
2
Mit wem arbeiten Sie als DNS-Anbieter? Ehrlich gesagt, würde ich zu einem anderen Anbieter wechseln, wenn dies ein häufiges Problem ist und der Anbieter keine Anzeichen dafür aufweist, dass er diese Probleme vermeiden kann.
EEAA
Ich möchte sie hier nicht anrufen. : - / Abgesehen von dieser Ausgabe sind sie fantastisch!
Emmel
10
Die Bereitstellung einer hochverfügbaren Lösung ist eine Kernkompetenz eines DNS-Anbieters.
EEAA
Es gibt einige Hardwareprodukte, die Ihnen helfen können, wenn Sie sich selbst hosten. Wir sind jedoch der Meinung, dass Sie Ihrem Anbieter ehrlich Bescheid geben sollten, wenn Sie diese Produkte mögen Es ist immer wichtig, wie Sie Ihren Standpunkt darlegen.
yagmoth555
2
Beachten Sie, dass alle großen Cloud-Anbieter (Amazon, Google, Microsoft) dies ständig tun. Die Migration auf einen dieser Server sollte Option 1 sein
Jim B,

Antworten:

25

Wenden wir uns zunächst der Frage im Titel zu.

Ist es möglich, einen sekundär verwalteten DNS-Anbieter zu haben, an den schnell delegiert werden kann?

"Quick" und "Delegation" gehören nicht im selben Satz zusammen, wenn es um die Delegation für den oberen Bereich der Domain geht. Die von den TLD-Registern (Top Level Domain) betriebenen Nameserver bieten in der Regel Verweise mit TTLs an, die in Tagen gemessen werden. Die autorisierenden NSDatensätze, die auf Ihren Servern gespeichert sind, haben möglicherweise niedrigere TTLs, die die TLD-Verweise ersetzen. Sie haben jedoch keine Kontrolle darüber, wie oft Unternehmen im Internet ihren gesamten Cache löschen oder ihre Server neu starten.

Um dies zu vereinfachen, ist es am besten anzunehmen, dass es mindestens 24 Stunden dauert, bis das Internet eine Nameserver-Änderung für die Spitze Ihrer Domain erfasst. Da die Spitze Ihrer Domain das schwächste Glied ist, müssen Sie dies am häufigsten planen.

Welche Möglichkeiten gibt es, um die Abhängigkeit von einem externen verwalteten SINGLE-DNS-Anbieter zu verringern?

Diese Frage ist viel lösbarer und entgegen der landläufigen Meinung ist die Antwort nicht immer "einen besseren Anbieter finden". Auch wenn Sie ein Unternehmen mit einer sehr guten Erfolgsbilanz einsetzen, haben die letzten Jahre gezeigt, dass niemand unfehlbar ist, nicht einmal Neustar.

  • Große, gut etablierte DNS-Hosting-Unternehmen mit gutem Ruf sind schwerer zu brechen, aber größere Ziele. Es ist weniger wahrscheinlich, dass sie dunkel werden, weil jemand versucht, Ihre Domain offline zu schalten, aber es ist wahrscheinlicher, dass sie offline geschaltet werden, weil sie Domains hosten, die attraktivere Ziele darstellen. Es kann nicht häufig vorkommen, aber es passiert immer noch.
  • Auf der anderen Seite bedeutet das Betreiben eigener Nameserver, dass Sie mit geringerer Wahrscheinlichkeit Nameserver mit einem Ziel teilen, das ansprechender ist als Sie. Es bedeutet jedoch auch, dass Sie viel leichter zu Fall gebracht werden können, wenn sich jemand dafür entscheidet, Sie gezielt anzusprechen .

Für die meisten Menschen ist Option 1 die sicherste Option. Ein Ausfall kann nur einmal alle paar Jahre auftreten. Sollte ein Angriff dennoch auftreten, wird er von Personen behoben, die über mehr Erfahrung und Ressourcen verfügen, um das Problem zu lösen.

Das bringt uns zu der letzten, zuverlässigsten Option: einem gemischten Ansatz mit zwei Unternehmen. Dies bietet Ausfallsicherheit gegen die Probleme, die auftreten, wenn Sie alle Eier in einem Korb haben.

Nehmen wir an, dass Ihr aktuelles DNS-Hosting-Unternehmen über zwei Nameserver verfügt. Wenn Sie dem Mix zwei Nameserver hinzufügen, die von einem anderen Unternehmen verwaltet werden, ist ein DDoS gegen zwei verschiedene Unternehmen erforderlich, um Sie offline zu schalten. Dies schützt Sie sogar vor dem seltenen Ereignis, dass ein Riese wie Neustar ein Nickerchen macht. Die Herausforderung besteht darin, einen Weg zu finden, um Updates für Ihre DNS-Zonen zuverlässig und konsistent an mehrere Unternehmen zu liefern. In der Regel bedeutet dies, dass ein mit dem Internet verbundener Hidden Master vorhanden ist, mit dem ein Remote-Partner schlüsselbasierte Zonentransfers durchführen kann. Andere Lösungen sind sicherlich möglich, aber ich persönlich bin kein Fan von DDNS, um diese Anforderung zu erfüllen.

Die Kosten für die zuverlässigste Form der Verfügbarkeit von DNS-Servern sind leider komplexer. Es ist jetzt viel wahrscheinlicher, dass Ihre Probleme auf Probleme zurückzuführen sind, die dazu führen, dass diese Server nicht mehr synchron sind. Firewall- und Routingänderungen, die die Zonenübertragung unterbrechen, sind die häufigsten Probleme. Schlimmer noch, wenn ein Zonenübertragungsproblem für einen längeren Zeitraum unbemerkt bleibt, wird SOAmöglicherweise der in Ihrem Datensatz festgelegte Ablaufzeitgeber erreicht und die Remote-Server löschen die Zone vollständig. Umfangreiche Überwachung ist Ihr Freund hier.


Um dies alles zusammenzufassen, gibt es eine Reihe von Optionen, von denen jede ihre Nachteile hat. Es liegt an Ihnen, die Zuverlässigkeit mit den jeweiligen Kompromissen in Einklang zu bringen.

  • Für die meisten reicht es aus, wenn Ihr DNS bei einem Unternehmen gehostet wird, das einen hervorragenden Ruf im Umgang mit DDoS-Angriffen hat. Das Risiko, alle paar Jahre auszufallen, ist einfach genug.
  • Ein Unternehmen mit einem weniger eisernen Ruf für den Umgang mit DDoS-Angriffen ist die zweithäufigste Option, insbesondere wenn man nach kostenlosen Lösungen sucht. Denken Sie daran, dass kostenlos normalerweise keine SLA-Garantie bedeutet. Wenn ein Problem auftritt, haben Sie keine Möglichkeit, die Dringlichkeit dieses Unternehmens zu verbessern. (oder eine Person, die verklagt werden muss, wenn Ihre Rechtsabteilung dies verlangt)
  • Die am wenigsten verbreitete Option ist ironischerweise die robusteste Option, mehrere DNS-Hosting-Unternehmen zu verwenden. Dies ist auf die Kosten, die Komplexität des Betriebs und den wahrgenommenen langfristigen Nutzen zurückzuführen.
  • Das Schlimmste, zumindest meiner Meinung nach, ist die Entscheidung, Ihre eigenen zu hosten. Nur wenige Unternehmen haben Erfahrung mit DNS-Administratoren (die mit geringerer Wahrscheinlichkeit versehentliche Ausfälle verursachen), Erfahrung und Ressourcen für den Umgang mit DDoS-Angriffen, die Bereitschaft, in ein Design zu investieren, das die Kriterien von BCP 16 erfüllt , und in den meisten Szenarien eine Kombination aus allen dreien. Wenn Sie mit autoritativen Servern herumspielen möchten, die nur das Innere Ihres Unternehmens betreffen, ist dies eine Sache. Internet-konformes DNS ist jedoch ein völlig anderes Spiel.
Andrew B
quelle
Gründe für die Ablehnung, bitte?
Andrew B
Die Kosten für den zuverlässigsten DNS-Provider ... betragen 0;) Zumindest hatte ich nie Probleme mit CloudFlare DNS.
TomTom
4
@TomTom Dies ist nicht ein paar Jahre her. Die meisten großen Namen haben zu diesem Zeitpunkt mindestens einen Ausfall. (Cloudflare) ( Neustar )
Andrew B
Nehmen wir an, jemand hat gemäß der Antwort von AndrewB zwei verwaltete Anbieter verwendet. Habe ich recht damit, dass es hier keinen "primären" und "sekundären" DNS gemäß Spezifikation gibt? Dh, Sie registrieren Ihre vier DNS-Server-IPs bei Ihrem Domain-Registrar, zwei von ihnen sind einer Ihrer DNS-Provider, zwei von ihnen sind DNS-Server des anderen. Sie würden der Welt also im Wesentlichen nur Ihre vier NS-Datensätze zeigen, die alle "primär" sind. - Das Konzept von primären und sekundären besteht nur zwischen den Auth-Servern selbst. Nach außen gibt es keinen Unterschied. Es ist üblich, dass der Meister keinen hat NS.
Andrew B
3

Es ist klar, dass ein DNS-Dienstanbieter noch viel mehr tun sollte, um sicherzustellen, dass der Dienst so zuverlässig wie möglich ist.

Wenn sich herausstellt, dass der Diensteanbieter unangemessene Probleme hat, ist es wahrscheinlich sinnvoll, einen vollständigen Austausch in Betracht zu ziehen. Dann gibt es jedoch auch Klassen oder Probleme, bei denen es an und für sich hilfreich ist, getrennt betriebene Dienste zu haben.

Als Kunde denke ich, dass die naheliegendste Möglichkeit, sich nicht nur auf einen Anbieter zu verlassen, darin besteht, Ihre Wetten abzusichern, indem Ihre Domain (s) jederzeit an Nameserver mehrerer DNS-Dienstanbieter delegiert werden (anstatt die Delegierung im Einzelfall zu ändern) Ärger).

Damit dies funktioniert, müssen lediglich die Zonendaten auf den Nameservern der verschiedenen Anbieter synchron gehalten werden.

Die klassische Lösung hierfür wäre, einfach die Master / Slave-Zonenübertragungsfunktion zu verwenden, die Teil des DNS-Protokolls selbst ist (dies erfordert offensichtlich Dienste, mit denen Sie diese Funktionen nutzen können), wobei einer der Dienstanbieter derjenige ist Master oder möglicherweise einen eigenen Master-Server.

Håkan Lindqvist
quelle