web-dev-qa-db-ja.com

ホバーは最近DDoSを経験し、私のサービスを利用できなくなりました。将来、このリスクを軽減するためにどのような手順を実行できますか?

DNSレコードの管理方法について調査してきましたが、少し圧倒されます。ドメインレジストラ(DNSレコードもホストしている)が DDoS の下で座屈し、ビジネスにコストがかかるリスクを軽減するための低コスト(頭脳、時間、お金)のソリューションを探しています。私が読んだオプションは次のとおりです。

  • GoogleパブリックDNS
  • Amazon Route 53

これらの(および他の)オプションを評価するときに、どのような質問をする必要がありますか?

3
SB2055

GoogleパブリックDNS

Gaurav Kansalが言ったように、GoogleパブリックDNSはキャッシング(再帰)DNSであり、あまり役に立たないでしょう。

Amazon Route 53

あなたはそれと他の多くのために行くことができます、しかし私はあなたがあなたのDNSプロバイダーを選ぶときあなたが探すべきであるいくつかのことを指摘したいと思います。

  • 複数選択:可能であれば、マスターネームサーバーをプロバイダーの1つに配置し、そのスレーブを他のプロバイダーに配置します。異なる地理的位置にある場合は、さらに良いです。そのため、あるプロバイダーへの攻撃が発生した場合でも、他のプロバイダーがレコードのサーバーとして利用できます。
  • エニーキャスト:プロバイダーは、地理的に異なる場所でネームサーバーの複数のインスタンスを実行する必要があります。これは、1つの場所で攻撃が発生した場合に高い可用性を提供するために、異なる地理的場所で同じIPアドレスを使用するエニーキャストを使用して実行できます。
  • 複数のスレーブ:複数のスレーブサーバーを用意して、複数のNSがダウンした場合(マスターまたはスレーブ)にレコードを提供できるようにします。
  • [〜#〜] ttl [〜#〜]:はいTTLレコードを頻繁に変更せず、プロバイダーがレコードを提供できる場合は、おそらく重要です。 15分より長い。

  • gTLDマネージャーと連絡を取り合い、ゾーンファイルを手元に置いておきます:緊急の場合は、緊急時対応計画を用意しておくとよいでしょう。

お役に立てれば!

6

顧客として、サプライヤの停止を防ぐために実際に何もすることはできませんが、DDOSの実際のターゲットでない限り、複数のサプライヤを持つことによって、単一のサプライヤからの停止の影響の一部を軽減できます(このような追加の複雑さが、あなた/あなたのチームによるオペレーターエラーのリスクを高めるリスクがあります)、または停止の少ないより良いサプライヤーに切り替えることによって。

DNSの場合、簡単に実行できるゼロコストの緩和策は、DNSレコードの単純にTTLを増やす値にすることです。
A TTL of 5 minutesは、5分を超える期間ですべての信頼できるDNSサーバーが(同時に)停止すると、ユーザーの100%に影響を与える可能性がありますが、TTL1 week 24時間の停止でも、大まかにユーザーの1/7または15%にしか影響しません。

2
HBruijn

ですから、これは難しい質問です。これに答えるほとんどの人は、技術的に優れた答えを出している-ゾーンを複数のネームサーバーに分散する、高いTTLを使用する、エニーキャストに投資するなど-しかし、私はあなたに逆張りの視点を与えたい。

DNSは、インターネットの機能にとって重要です。 Dynに対する最近のDDoSのために、現在誰もがEdgeにいますが、この恐れは薄れるでしょう。

私はそれを指摘したいと思います:

  1. これは、私が数十年で知っている最初の主要なDNS停止(約15分以上続いた)です。
  2. それは完全な停止ではありませんでした(DYNは東海岸で最大のサービス損失に直面しましたが、世界的にはダウンしていませんでした)

また、地球上のすべてのDNSプロバイダーは、現在DDoSへの強化に重点を置いていることも指摘してください。

これは面白いが関連性のある接線です。2004年までに、独自のASNを持ついくつかの小さなサイト(fido.net?)が、インターネットコアルーティングのほとんどを停止するためにカスケードされた不正なBGPプレフィックスをブロードキャストしました。シスコと主要なプレーヤーがバグを修正しました。また、不正なBGPプレフィックスが再度ブロードキャストされたために、インターネット全体が停止したことはありません。

私が言おうとしているのは、インターネット全体がDNSに依存しているということです。先週のDynに対するこのDDoSは、その規模、重大度、および可能性の点で並外れたものでした。

これは、独自のインフラストラクチャを所有せずに、安価でも簡単に軽減することもできません(Dynが立ち上がらなければ、安価ではないことを保証できます)。 DNSシステムのポイントは、それが機能することになっているということです。

これは、あなたが非常に正当な恐れを持っていると言う私の長い言い方です。それは非常にありそうになく、二度と起こらないので、あなたはただ先に進んでそれについて心配するべきではありません。あなたが心配する権利がなく、これが再び起こる可能性が0%であるからではなく(そうかもしれません!)、近い将来あなたのビジネスに影響を与えるはるかに現実的で顕著なものがあり、これを軽減しようとするよりも、あなたの時間、お金、そして努力。

¯\ _(ツ)_ /¯

1
Seth Blank

ドメインレジストラがDNSサーバーのみをホストしていると仮定すると、多くの場所でセカンダリDNSサービスを見つけることができます。また、通常、ドメインレジストラのDNSサーバーを使用する必要はないことにも注意してください。

これらのセカンダリDNSサービスが効率的に機能するためには、(プライマリ)DNSサービスプロバイダーの管理インターフェイスで次のことができるようにする必要があります。

  1. dNSサーバーを追加、変更、削除し、
  2. 許可されたセカンダリサーバーを追加、変更、および削除します。

セカンダリDNSサーバーは、プライマリサーバーからDNSレコードのコピーを定期的にダウンロードします。

多くの場合、プライマリサーバーのマスターとセカンダリサーバーのスレーブが聞こえます。

「dnssecondaryservice」をグーグルですばやく検索すると、そのサービスを提供しているいくつかの企業が返されます。

DDoSのターゲットがWebサーバーであり、Webサーバーが単一のプロバイダーでホストされている場合、復元力のあるdnsサーバーを使用してもまったく役に立たないことに注意してください。

1
user210584