SB2055 Asked: 2016-10-22 15:27:19 +0800 CST2016-10-22 15:27:19 +0800 CST 2016-10-22 15:27:19 +0800 CST Hover 最近遇到了 DDoS,导致我的服务不可用。将来我可以采取哪些措施来降低这种风险? 772 我一直在研究如何管理 DNS 记录,但我有点不知所措。我正在寻找一种低成本(脑力、时间、金钱)的解决方案,以降低我的域名注册商(同时托管我的 DNS 记录)再次遭受DDoS 攻击的风险,从而使我失去业务。我读过的选项包括: 谷歌公共 DNS 亚马逊 53 号公路 在评估这些(和其他)选项时,我应该问什么问题? performance domain-name-system domain dns-hosting domain-registrar 4 个回答 Voted Best Answer Anirudh Malhotra 2016-10-25T08:14:47+08:002016-10-25T08:14:47+08:00 谷歌公共 DNS 正如Gaurav Kansal所说,谷歌公共 DNS 是一个缓存(递归)DNS,对你没有多大帮助。 亚马逊 53 号公路 您可以选择它和许多其他方法,但我想指出一些您在选择 DNS 提供商时应该寻找的东西。 选择多个:如果可能,将主名称服务器放置在其中一个提供者处,并将其从属服务器放置在其他提供者处。如果在不同的地理位置,那就更好了。因此,如果对一个提供商的任何攻击,其他提供商仍然可以为您的记录提供服务。 任播:提供商应在不同地理位置运行多个名称服务器实例。这可以通过使用在不同地理位置使用相同 IP 地址的任播来完成,以便在一个位置受到攻击时提供更高的可用性。 多个从属服务器:拥有多个从属服务器,以便在多个 NS 出现故障(主服务器或从服务器)的情况下为您的记录提供服务。 TTL:是的,如果您不经常更改记录并且提供商可以提供超过 15 分钟的记录,那么 TTL 可能很重要。 与 gTLD 经理保持联系并随时准备好您的区域文件:在紧急情况下,最好准备好应急计划。 希望这可以帮助! HBruijn 2016-10-25T05:52:29+08:002016-10-25T05:52:29+08:00 作为客户,您实际上无法采取任何措施来防止供应商中断,尽管只要您不是 DDOS 的实际目标,您就可以通过拥有多个供应商来减轻单个供应商中断的一些影响(这种额外的复杂性会增加您/您的团队操作员错误的风险),或者切换到中断更少的更好的供应商的风险。 对于 DNS,您可以轻松采取的零成本缓解措施是简单地增加 DNS 记录的 TTL值。 A TTLof5 minutes意味着所有权威 DNS 服务器(同时)中断持续时间超过 5 分钟可能会影响 100% 的用户,而TTL中断1 week24 小时仍将大致影响仅 1/7或 15% 的用户。 user210584 2016-10-26T22:33:27+08:002016-10-26T22:33:27+08:00 假设您的域名注册商只托管您的 dns 服务器,您可以在许多地方找到辅助 dns 服务。另请记住,您通常不会被迫使用域名注册商的 dns 服务器。 为了使这些辅助 dns 服务有效地工作,您的(主要)dns 服务提供商的管理界面应该允许您: 添加、更改和删除 dns 服务器,以及 添加、更改和删除授权的辅助服务器。 辅助 dns 服务器会定期从主服务器下载您的 dns 记录副本。 通常你会听到主服务器的主服务器和辅助服务器的从服务器。 在谷歌上快速搜索“dns 二级服务”会返回一些提供该服务的公司。 请记住,如果 DDoS 的目标是您的 Web 服务器并且您的 Web 服务器托管在单个提供商处,那么拥有弹性 dns 服务器根本没有帮助。 Seth Blank 2016-10-28T15:50:48+08:002016-10-28T15:50:48+08:00 所以,这是一个棘手的问题。大多数回答这个问题的人都给出了技术上优秀的答案——将你的区域分布在多个名称服务器上、使用高 TTL、投资于任播等——但我想给你一个逆向的观点。 DNS 对 Internet 的运行至关重要。由于最近针对 Dyn 的 DDoS,每个人现在都处于紧张状态,但这种恐惧将会消退。 我想指出: 这是几十年来我所知道的第一次重大 DNS 中断(持续超过约 15 分钟) 这不是完全中断(DYN 面临东海岸最大的服务损失,但并未在全球范围内停机) 并且还指出,地球上的每个 DNS 提供商现在都专注于强化自己以应对 DDoS。 这是一个有趣但相关的切线:在 2004 年左右,一些具有自己的 ASN 的小型站点(fido.net?)广播了一个错误的 BGP 前缀,该前缀级联删除了大部分互联网核心路由。思科和主要参与者修复了该错误,我们从未见过由于再次广播错误的 BGP 前缀而导致互联网大范围中断。 我想说的是——整个互联网都依赖于 DNS。上周针对 Dyn 的 DDoS 是非同寻常的 - 在其规模、严重性和可能性方面。 如果不拥有自己的基础设施(我可以向您保证,如果 Dyn's 没有站起来,这并不便宜)。DNS系统的重点是它应该可以工作。 这是我很长的一段话,你有一种非常有效的恐惧,这种恐惧是如此不可能并且不太可能再次发生,你应该继续前进而不用担心它。不是因为你没有权利担心,而且这种情况再次发生的可能性为 0%(它可能!),而是因为你有更多真实和突出的事情会在不久的将来影响你的业务,这些事情可以更好地使用您的时间、金钱和精力,而不是试图减轻这种情况。 ¯\_(ツ)_/¯
正如Gaurav Kansal所说,谷歌公共 DNS 是一个缓存(递归)DNS,对你没有多大帮助。
您可以选择它和许多其他方法,但我想指出一些您在选择 DNS 提供商时应该寻找的东西。
TTL:是的,如果您不经常更改记录并且提供商可以提供超过 15 分钟的记录,那么 TTL 可能很重要。
与 gTLD 经理保持联系并随时准备好您的区域文件:在紧急情况下,最好准备好应急计划。
希望这可以帮助!
作为客户,您实际上无法采取任何措施来防止供应商中断,尽管只要您不是 DDOS 的实际目标,您就可以通过拥有多个供应商来减轻单个供应商中断的一些影响(这种额外的复杂性会增加您/您的团队操作员错误的风险),或者切换到中断更少的更好的供应商的风险。
对于 DNS,您可以轻松采取的零成本缓解措施是简单地增加 DNS 记录的 TTL值。
A
TTLof5 minutes意味着所有权威 DNS 服务器(同时)中断持续时间超过 5 分钟可能会影响 100% 的用户,而TTL中断1 week24 小时仍将大致影响仅 1/7或 15% 的用户。假设您的域名注册商只托管您的 dns 服务器,您可以在许多地方找到辅助 dns 服务。另请记住,您通常不会被迫使用域名注册商的 dns 服务器。
为了使这些辅助 dns 服务有效地工作,您的(主要)dns 服务提供商的管理界面应该允许您:
辅助 dns 服务器会定期从主服务器下载您的 dns 记录副本。
通常你会听到主服务器的主服务器和辅助服务器的从服务器。
在谷歌上快速搜索“dns 二级服务”会返回一些提供该服务的公司。
请记住,如果 DDoS 的目标是您的 Web 服务器并且您的 Web 服务器托管在单个提供商处,那么拥有弹性 dns 服务器根本没有帮助。
所以,这是一个棘手的问题。大多数回答这个问题的人都给出了技术上优秀的答案——将你的区域分布在多个名称服务器上、使用高 TTL、投资于任播等——但我想给你一个逆向的观点。
DNS 对 Internet 的运行至关重要。由于最近针对 Dyn 的 DDoS,每个人现在都处于紧张状态,但这种恐惧将会消退。
我想指出:
并且还指出,地球上的每个 DNS 提供商现在都专注于强化自己以应对 DDoS。
这是一个有趣但相关的切线:在 2004 年左右,一些具有自己的 ASN 的小型站点(fido.net?)广播了一个错误的 BGP 前缀,该前缀级联删除了大部分互联网核心路由。思科和主要参与者修复了该错误,我们从未见过由于再次广播错误的 BGP 前缀而导致互联网大范围中断。
我想说的是——整个互联网都依赖于 DNS。上周针对 Dyn 的 DDoS 是非同寻常的 - 在其规模、严重性和可能性方面。
如果不拥有自己的基础设施(我可以向您保证,如果 Dyn's 没有站起来,这并不便宜)。DNS系统的重点是它应该可以工作。
这是我很长的一段话,你有一种非常有效的恐惧,这种恐惧是如此不可能并且不太可能再次发生,你应该继续前进而不用担心它。不是因为你没有权利担心,而且这种情况再次发生的可能性为 0%(它可能!),而是因为你有更多真实和突出的事情会在不久的将来影响你的业务,这些事情可以更好地使用您的时间、金钱和精力,而不是试图减轻这种情况。
¯\_(ツ)_/¯