DNSレコードの管理方法について調査してきましたが、少し圧倒されます。ドメインレジストラ(DNSレコードもホストしている)が DDoS の下で座屈し、ビジネスにコストがかかるリスクを軽減するための低コスト(頭脳、時間、お金)のソリューションを探しています。私が読んだオプションは次のとおりです。
これらの(および他の)オプションを評価するときに、どのような質問をする必要がありますか?
GoogleパブリックDNS
Gaurav Kansalが言ったように、GoogleパブリックDNSはキャッシング(再帰)DNSであり、あまり役に立たないでしょう。
Amazon Route 53
あなたはそれと他の多くのために行くことができます、しかし私はあなたがあなたのDNSプロバイダーを選ぶときあなたが探すべきであるいくつかのことを指摘したいと思います。
[〜#〜] ttl [〜#〜]:はいTTLレコードを頻繁に変更せず、プロバイダーがレコードを提供できる場合は、おそらく重要です。 15分より長い。
gTLDマネージャーと連絡を取り合い、ゾーンファイルを手元に置いておきます:緊急の場合は、緊急時対応計画を用意しておくとよいでしょう。
お役に立てれば!
顧客として、サプライヤの停止を防ぐために実際に何もすることはできませんが、DDOSの実際のターゲットでない限り、複数のサプライヤを持つことによって、単一のサプライヤからの停止の影響の一部を軽減できます(このような追加の複雑さが、あなた/あなたのチームによるオペレーターエラーのリスクを高めるリスクがあります)、または停止の少ないより良いサプライヤーに切り替えることによって。
DNSの場合、簡単に実行できるゼロコストの緩和策は、DNSレコードの単純にTTLを増やす値にすることです。
A TTL
of 5 minutes
は、5分を超える期間ですべての信頼できるDNSサーバーが(同時に)停止すると、ユーザーの100%に影響を与える可能性がありますが、TTL
は1 week
24時間の停止でも、大まかにユーザーの1/7または15%にしか影響しません。
ですから、これは難しい質問です。これに答えるほとんどの人は、技術的に優れた答えを出している-ゾーンを複数のネームサーバーに分散する、高いTTLを使用する、エニーキャストに投資するなど-しかし、私はあなたに逆張りの視点を与えたい。
DNSは、インターネットの機能にとって重要です。 Dynに対する最近のDDoSのために、現在誰もがEdgeにいますが、この恐れは薄れるでしょう。
私はそれを指摘したいと思います:
また、地球上のすべてのDNSプロバイダーは、現在DDoSへの強化に重点を置いていることも指摘してください。
これは面白いが関連性のある接線です。2004年までに、独自のASNを持ついくつかの小さなサイト(fido.net?)が、インターネットコアルーティングのほとんどを停止するためにカスケードされた不正なBGPプレフィックスをブロードキャストしました。シスコと主要なプレーヤーがバグを修正しました。また、不正なBGPプレフィックスが再度ブロードキャストされたために、インターネット全体が停止したことはありません。
私が言おうとしているのは、インターネット全体がDNSに依存しているということです。先週のDynに対するこのDDoSは、その規模、重大度、および可能性の点で並外れたものでした。
これは、独自のインフラストラクチャを所有せずに、安価でも簡単に軽減することもできません(Dynが立ち上がらなければ、安価ではないことを保証できます)。 DNSシステムのポイントは、それが機能することになっているということです。
これは、あなたが非常に正当な恐れを持っていると言う私の長い言い方です。それは非常にありそうになく、二度と起こらないので、あなたはただ先に進んでそれについて心配するべきではありません。あなたが心配する権利がなく、これが再び起こる可能性が0%であるからではなく(そうかもしれません!)、近い将来あなたのビジネスに影響を与えるはるかに現実的で顕著なものがあり、これを軽減しようとするよりも、あなたの時間、お金、そして努力。
¯\ _(ツ)_ /¯
ドメインレジストラがDNSサーバーのみをホストしていると仮定すると、多くの場所でセカンダリDNSサービスを見つけることができます。また、通常、ドメインレジストラのDNSサーバーを使用する必要はないことにも注意してください。
これらのセカンダリDNSサービスが効率的に機能するためには、(プライマリ)DNSサービスプロバイダーの管理インターフェイスで次のことができるようにする必要があります。
セカンダリDNSサーバーは、プライマリサーバーからDNSレコードのコピーを定期的にダウンロードします。
多くの場合、プライマリサーバーのマスターとセカンダリサーバーのスレーブが聞こえます。
「dnssecondaryservice」をグーグルですばやく検索すると、そのサービスを提供しているいくつかの企業が返されます。
DDoSのターゲットがWebサーバーであり、Webサーバーが単一のプロバイダーでホストされている場合、復元力のあるdnsサーバーを使用してもまったく役に立たないことに注意してください。