web-dev-qa-db-ja.com

*プライマリ*外部DNSプロバイダーへのDDOS攻撃が発生したときにすぐに委任するセカンダリマネージドDNSプロバイダーを持つことは可能ですか?

したがって、私たちのDNSプロバイダーは、頻繁に、システムにDDOS攻撃を経験し、それにより、私たちの前面Webサイトがダウンします。

SINGLE外部管理DNSプロバイダーへの依存を減らすという点で、いくつかのオプションは何ですか?私が最初に思ったのは、有効期限を下げるTTLとその他のSOA TTLですが、これらはセカンダリDNSサーバーの動作に何よりも影響を与えるようです。

つまり、たとえば1時間以上続くDNSの停止(この例ではDDOSによる)が発生した場合は、すべてをセカンダリプロバイダーに委任します。

外部DNSについて、他のマネージドDNSプロバイダーをバックアップとして使用する場合、人々は何をしますか?

友好的なモデレーターへのメモ:この質問は、「一般的なDDOS攻撃を軽減する」という質問よりも具体的です。

編集:2016-05-18(数日後):では、最初にAndrewBがあなたの優れた答えに感謝します。ここに追加する情報がいくつかあります:

そこで、別のDNSサービスプロバイダーに連絡して、チャットをしました。考えてもう少し調査した結果、実際には2つのDNSプロバイダーを使用するよりもかなり複雑になります。これは新しい答えではありません、実際には質問に対するより多くの肉/情報です!これが私の理解です:

-これらのDNSプロバイダーの多くは、「インテリジェントDNS」などの独自の機能を提供しています。たとえば、キープアライブを使用したDNSロードバランシング、応答が返される方法を構成するロジックチェーン(地理的位置、レコードに対するさまざまな重みなどに基づく)などです。 。したがって、最初の課題は2つのマネージプロバイダーを同期させることです。また、2つのマネージプロバイダーは、APIとの対話を自動化する必要がある顧客と同期を保つ必要があります。ロケット科学ではなく、痛みを伴う可能性のある継続的な運用コスト(機能とAPIの両面で変更が加えられた場合)。

-しかし、これが私の質問への追加です。 AndrewBの応答に従って、誰かが2つのマネージプロバイダーを使用したとしましょう。仕様に従って、ここには「プライマリ」および「セカンダリ」DNSがないという点で私は正しいですか?つまり、4つのDNSサーバーIPをドメインレジストラーに登録します。2つはDNSプロバイダーの1つで、2つは他のDNSサーバーです。つまり、4つのNS=レコードがすべて「プライマリ」であるということを世界に示すだけです。つまり、私の質問に対する答えは「いいえ」ですか。

13
Emmel

最初に、タイトルの質問に対処しましょう。

セカンダリマネージドDNSプロバイダーを使用して、

ドメインのトップの委任について話すとき、「クイック」と「委任」は同じ文に属していません。トップレベルドメイン(TLD)レジストリによって運用されるネームサーバーは、通常、日数で測定されるTTLを持つ紹介を提供します。サーバー上に存在する信頼できるNSレコードのTTLが低くなり、TLD参照が置き換えられる可能性がありますが、インターネット上の企業がキャッシュ全体を削除するか、サーバーを再起動する頻度を制御することはできません。

これを単純化するために、インターネットがドメインのトップのネームサーバーの変更を取得するには、少なくとも24時間かかると想定するのが最善です。ドメインの上部が最も弱いリンクであるため、これを最もよく計画する必要があります。

SINGLE外部管理DNSプロバイダーへの依存を減らすという点で、いくつかのオプションは何ですか?

この質問ははるかに解決可能であり、世論に反して、答えは常に「より良いプロバイダーを見つける」とは限りません。あなたが非常に優れた実績を持つ会社を使用していても、近年、誰も間違いがなく、Neustarでさえないことを示しています。

  • 評判がよく、定評のある大規模なDNSホスティング会社は、つぶすのは難しいですが、より大きなターゲットです。誰かがyourドメインをオフラインにしようとしているために暗くなる可能性は低くなりますが、より魅力的なドメインをホストしているため、オフラインにされる可能性が高くなりますターゲット。頻繁に発生するわけではありませんが、それでも発生します。
  • 反対に、独自のネームサーバーを実行することは、自分より魅力的なターゲットとネームサーバーを共有する可能性が低くなることを意味しますが、誰かがあなたを明確にターゲットとすることを決定した場合、簡単に取りやめることができます。 。

ほとんどの人にとって、オプション#1が最も安全なオプションです。停止は数年に1回のみ発生する可能性があり、攻撃が発生した場合は、問題に対処するための経験とリソースが豊富な人が対処します。

これにより、2つの会社を使用する混合アプローチという、最も信頼性の高い最後のオプションが実現します。これにより、すべての卵を1つのバスケットに入れることに伴う問題に対する回復力が提供されます。

議論のために、現在のDNSホスティング会社に2つのネームサーバーがあるとします。別の会社が管理する2つのネームサーバーを混在させると、2つの異なる会社に対してDDoSが発生してオフラインになります。これは、Neustarのような巨人が汚れた昼寝をするというまれなイベントからもあなたを守ります。代わりに、DNSゾーンの更新を複数の会社に確実かつ一貫して配信する方法を見つけることが課題になります。通常、これは、リモートパートナーがキーベースのゾーン転送を実行できるようにする、インターネットに面した隠しマスターを持つことを意味します。他のソリューションも確かに可能ですが、私は個人的にDDNSを使用してこの要件を満たすのが好きではありません。

DNSサーバーの可用性の最も信頼できる形式のコストは、残念ながら、より複雑になります。あなたの問題は、これらのサーバーが同期しなくなる問題の結果である可能性が高くなっています。ゾーン転送を壊すファイアウォールとルーティングの変更は、最も一般的な問題です。さらに悪いことに、ゾーン転送の問題が長期間気付かれない場合、SOAレコードで定義された有効期限タイマーに達し、リモートサーバーがゾーンを完全に削除する可能性があります。ここでは、広範囲にわたる監視があなたの友人です。


これらすべてをまとめるために、いくつかのオプションがあり、それぞれに欠点があります。信頼性とそれぞれのトレードオフのバランスをとるのはあなた次第です。

  • ほとんどの場合、DDoS攻撃への対応で高い評価を得ている会社でDNSをホストするだけで十分です...数年に1回ダウンするリスクは、単純化には十分です。
  • 特に無料のソリューションを探している場合、DDoS攻撃に対処するための評判が低い会社が2番目に一般的なオプションです。無料というのは通常、SLA保証人ではないことを意味します。問題が発生した場合、その会社に緊急事態を招く方法はありません(または、法務部門が必要とする場合は、訴訟を起こす人がいます)そういうこと)
  • 最も皮肉なことに、最も一般的なオプションは、複数のDNSホスティング会社を使用する最も堅牢なオプションです。これは、コスト、運用の複雑さ、および認識された長期的なメリットによるものです。
  • 最悪の場合、少なくとも私の意見では、自分でホストすることを決定しています。 DNS管理者(偶発的な停止を引き起こす可能性が低い)、DDoS攻撃に対処するための経験とリソース、 BCP 16 で概説されている基準を満たす設計に投資する意欲、およびほとんどの経験がある企業はほとんどありません。 3つのシナリオすべてを組み合わせたシナリオ。会社の内部のみに面している信頼できるサーバーをいじくり回したいのであればそれは1つのことですが、インターネットに面したDNSはまったく別の球技です。
25
Andrew B

DNSサービスプロバイダーができる限り信頼できるサービスを保証するために、DNSサービスプロバイダーができること、およびできることは他にもあります。

サービスプロバイダーに不当な問題があると思われる場合は、それらを完全に置き換えることを検討することはおそらく理にかなっていますが、サービスを個別に運用すること自体が役立つクラスや問題もあります。

お客様として、1つのプロバイダーに依存することを超えた最も明白なオプションは、ドメインを常に複数のDNSサービスプロバイダーからのネームサーバーに委任することで賭けをヘッジすることです(念のため委任を変更するのではなく)。トラブルの)。

これが機能するために対処する必要があるのは、基本的に、これらの異なるプロバイダーのネームサーバー間でゾーンデータを同期させることだけです。

その典型的な解決策は、DNSプロトコル自体の一部であるマスター/スレーブゾーン転送機能を使用することです(これには明らかに、これらの機能を利用できるサービスが必要です)。サービスプロバイダーの1つをマスターまたは独自のマスターサーバーを実行している可能性があります。

3