DNS en panne dans une attaque anonyme

12

Au moment où j'écris ceci, le site Web de notre entreprise et le service Web que nous avons développé sont en panne lors de la grosse panne de GoDaddy résultant d'une attaque anonyme (ou, dit Twitter).
Nous avons utilisé GoDaddy comme bureau d'enregistrement et nous l'utilisons pour DNS pour certains domaines.

Demain est un nouveau jour - que pouvons-nous faire pour atténuer ces pannes?
Le passage à, disons, Route 53 pour DNS pourrait ne pas suffire.
Existe-t-il un moyen de supprimer ce seul point de défaillance?

domain-name-system ddos godaddy anonymous domain-registrar Tal Weiss
la source
5
Eh bien, on dirait que vous savez quoi faire. Non seulement vous pouvez répartir vos services (avoir plus d'un fournisseur DNS, réduire le TTL et éventuellement utiliser le round robin DNS), mais également évoluer (hôte Web supplémentaire comme Amazon, réplication de contenu entre hôtes, en fonction du budget et de la taille du déploiement) jusqu'à CDN et anycasting)
jwbensley
1
tools.ietf.org/html/rfc2182 qui pourrait être utile à quelqu'un
jwbensley
3
Normalement, je ne donnerais pas de recommandations de produits, mais je ne peux pas parler assez de dnsmadeeasy.com - un total de 1,5 heures de temps d'arrêt depuis leur entrée en activité (lorsque nous nous sommes inscrits il y a 5 ans, ils offraient une disponibilité de 100%, et autant que je sache, 100% est toujours leur SLA), et il a fallu 50 Gbps de DDoS pour les mettre hors ligne. Même à 49 Gbit / s de DDoS, leurs serveurs répondaient, même si c'est de la résilience.
Mark Henderson
@MarkHenderson Hell, je vois 500% de SLA? A 500% SLA for all DNS services, raising the bar industry wide. dnsmadeeasy.com/services/managed-dns
Brent Pabst
@BrentPabst - eh bien, c'est intéressant. Qu'est-ce que cela signifie réellement? Cela signifie-t-il simplement qu'ils vous créditeront 5 fois la période d'indisponibilité?
Mark Henderson

Réponses:

10

Vous pouvez éliminer ce point de défaillance unique en utilisant deux fournisseurs DNS.
Il peut également être possible d'exécuter votre propre serveur DNS sur l'un de vos serveurs.
GoDaddy vous permet d'effectuer des transferts de zone à partir de leurs serveurs (un DNS premium IIRC est requis pour cela).

Obtenez un deuxième fournisseur DNS qui vous permet d'exécuter un serveur esclave (ou de l'exécuter vous-même).
Ajustez les enregistrements NS / Nserver pour qu'ils pointent vers les deux fournisseurs et vous avez terminé.

truqueur
la source
Cool, mais: je vois certaines affirmations sur Twitter selon lesquelles les domaines qui utilisent Godaddy tout comme leur registraire sont également en panne. Je ne sais pas comment cela fonctionne.
Tal Weiss
4
Si c'est fait correctement, je ne vois pas comment. Les gens ont tendance à affirmer qu'ils ne l'utilisent que comme registraire et hébergent leur site Web ailleurs, mais omettent de mentionner que DNS fonctionne toujours sur GoDaddy.
faker
Pour mes sites importants, j'ai toujours pensé que le registraire et le fournisseur NS devraient être différents. Même s'il n'offre pas une meilleure disponibilité ... la séparation des pouvoirs peut être une bonne chose.
Bret Fisher
3

(1) Façons de rester «inchangées» si les serveurs du registraire de domaine (PAS seulement le domaine) eux-mêmes sont DDOSed, le cas échéant.

les serveurs du registraire n'ont d'importance que si vous les utilisez pour DNS (ou pour l'hébergement ou d'autres services, évidemment). Une fois votre domaine enregistré, les enregistrements vont dans le registre racine et vous n'avez pas besoin que votre registraire soit en ligne pour que votre domaine fonctionne. S'ils sont votre seul fournisseur DNS, vous pouvez envisager d'en ajouter plusieurs.

(2) "Comment avoir plus d'un fournisseur de services DNS pour un domaine?

(pour cette partie, vous avez besoin de votre registraire en ligne, vous pouvez donc saisir les modifications par leur intermédiaire) Dans votre compte de registre de domaine, ajoutez plusieurs serveurs DNS faisant autorité hébergés par plusieurs fournisseurs. Cela nécessitera probablement de NE PAS utiliser le service DNS du registraire pour que vous puissiez accéder aux serveurs tiers. (par exemple avec godaddy, vous ne pouvez pas utiliser leur "contrôle de domaine" en plus des fournisseurs tiers, vous devez choisir "mon domaine est hébergé ailleurs" pour définir votre DNS)

user16081-JoeT
la source
pour le DNS tiers, j'ai utilisé les ultradns et dnsmadeeasy, selon mon expérience, les deux fonctionnent à peu près aussi bien et ce dernier est beaucoup moins cher.
user16081-JoeT
3

1) Ne conservez pas tous vos œufs dans le même panier DNS. Si vous êtes assez grand pour penser à anycast et CDN, pourquoi utilisez-vous un seul fournisseur comme GoDaddy? Diversifiez vos fournisseurs DNS.

2) Anycast. Consultez ce blog pour voir comment un fournisseur a atténué un DDOS pouvant atteindre 65 Gbit / s. http://blog.cloudflare.com/65gbps-ddos-no-problem

notmyname
la source