Est-il possible d'avoir un fournisseur DNS géré secondaire auquel déléguer rapidement quand une attaque DDOS sur notre fournisseur DNS externe * principal * se produit?

Ainsi, notre fournisseur DNS, de temps en temps, subit des attaques DDOS sur leurs systèmes, ce qui provoque la panne de nos sites Web frontaux.

Quelles sont les options en termes de réduction de la dépendance à l'égard d'un seul fournisseur DNS géré externe? Ma première pensée a été d'utiliser un TTL à expiration inférieure et d'autres TTL SOA, mais il semble que ceux-ci affectent le comportement du serveur DNS secondaire plus que toute autre chose.

Par exemple, si vous rencontrez une panne DNS (due à DDOS, dans cet exemple) qui dure plus de, disons, 1 heure, déléguez tout à un fournisseur secondaire.

Que font les gens en ce qui concerne leur DNS externe et l'utilisation d'un autre fournisseur DNS géré comme sauvegarde?

Note à nos modérateurs amicaux: cette question est beaucoup plus spécifique que les questions "" Atténuation générique de l'attaque DDOS ".

EDIT: 2016-05-18 (Quelques jours plus tard): Donc, tout d'abord merci AndrewB pour votre excellente réponse. J'ai plus d'informations à ajouter ici:

Nous avons donc contacté un autre fournisseur de services DNS et discuté avec eux. Après avoir réfléchi et fait un peu plus de recherche, c'est en fait beaucoup plus compliqué que je ne le pensais avec deux fournisseurs DNS. Ce n'est pas une nouvelle réponse, c'est en fait plus de viande / info à la question! Voici ma compréhension:

- Beaucoup de ces fournisseurs DNS offrent des fonctionnalités propriétaires comme le `` DNS intelligent '', par exemple, l'équilibrage de la charge DNS avec Keepalives, des chaînes logiques pour configurer la façon dont les réponses sont renvoyées (en fonction de la géolocalisation, des différents poids des enregistrements, etc., etc.) . Le premier défi consiste donc à synchroniser les deux fournisseurs gérés . Et les deux fournisseurs gérés vont devoir être synchronisés par le client qui doit automatiser l'interaction avec ses API. Pas sorcier, mais un coût opérationnel continu qui peut être douloureux (compte tenu des changements des deux côtés en termes de fonctionnalités et d'API).

- Mais voici un ajout à ma question. Disons que quelqu'un a effectivement utilisé deux fournisseurs gérés selon la réponse d'AndrewB. Ai-je raison de dire qu'il n'y a pas de DNS «principal» et «secondaire» ici selon les spécifications? C'est-à-dire que vous enregistrez vos quatre adresses IP de serveur DNS auprès de votre registraire de domaine, deux d'entre eux sont l'un de vos fournisseurs DNS, deux d'entre eux sont des serveurs DNS de l'autre. Donc, vous ne feriez que montrer au monde vos quatre records NS, qui sont tous «primaires». Alors, la réponse à ma question est-elle «non»?

Abordons d'abord la question dans le titre.

Est-il possible d'avoir un fournisseur DNS géré secondaire pour déléguer rapidement à

"Rapide" et "délégation" n'appartiennent pas dans la même phrase ensemble lorsque nous parlons de la délégation pour le haut du domaine. Les serveurs de noms exploités par les registres de domaine de premier niveau (TLD) servent généralement des références dont les TTL sont mesurés en jours. Les NSenregistrements faisant autorité qui vivent sur vos serveurs peuvent avoir des TTL inférieurs qui finissent par remplacer les références TLD, mais vous n'avez aucun contrôle sur la fréquence à laquelle les entreprises sur Internet choisissent de supprimer leur cache entier ou de redémarrer leurs serveurs.

Pour simplifier cela, il est préférable de supposer qu'il faudra au moins 24 heures à Internet pour détecter un changement de serveur de noms pour le haut de votre domaine. Le haut de votre domaine étant le maillon le plus faible, c'est ce que vous devez planifier le plus.

Quelles sont les options en termes de réduction de la dépendance à l'égard d'un seul fournisseur DNS géré externe?

Cette question est beaucoup plus résoluble et contrairement à l'opinion populaire, la réponse n'est pas toujours "trouver un meilleur fournisseur". Même si vous utilisez une entreprise avec un très bon bilan, ces dernières années ont démontré que personne n'est infaillible, pas même Neustar.

• Les grandes sociétés d'hébergement DNS bien établies avec une bonne réputation sont plus difficiles à écraser, mais des cibles plus grandes. Ils sont moins susceptibles de devenir sombres parce que quelqu'un essaie de mettre votre domaine hors ligne, mais ils sont plus susceptibles d'être mis hors ligne car ils hébergent des domaines qui sont des cibles plus attrayantes. Cela peut ne pas arriver fréquemment, mais ça arrive quand même.
• À l'extrême opposé, exécuter vos propres serveurs de noms signifie que vous êtes moins susceptible de partager des serveurs de noms avec une cible qui est plus attrayante que vous, mais cela signifie également que vous êtes beaucoup plus facile à éliminer si quelqu'un décide de vous cibler spécifiquement .

Pour la plupart des gens, l'option # 1 est l'option la plus sûre. Une panne ne peut se produire qu'une fois toutes les quelques années, et si une attaque se produit, elle sera traitée par des personnes qui ont plus d'expérience et de ressources pour faire face au problème.

Cela nous amène à l'option finale la plus fiable: une approche mixte faisant appel à deux sociétés. Cela offre une résilience contre les problèmes liés au fait d'avoir tous vos œufs dans le même panier.

Pour les besoins de cet argument, supposons que votre société d'hébergement DNS actuelle dispose de deux serveurs de noms. Si vous ajoutez deux serveurs de noms gérés par une autre société dans le mélange, il faut alors un DDoS contre deux sociétés différentes pour vous mettre hors ligne. Cela vous protégera même contre le rare événement d'un géant comme Neustar faisant une sieste. Le défi consiste plutôt à trouver un moyen de fournir de manière fiable et cohérente des mises à jour pour vos zones DNS à plus d'une entreprise. Généralement, cela signifie avoir un maître caché face à Internet qui permet à un partenaire distant d'effectuer des transferts de zone basés sur des clés. D'autres solutions sont certainement possibles, mais je ne suis personnellement pas fan de l'utilisation du DDNS pour répondre à cette exigence.

Le coût de la forme la plus fiable de disponibilité des serveurs DNS est, malheureusement, plus complexe. Vos problèmes sont maintenant beaucoup plus susceptibles d'être le résultat de problèmes qui provoquent la désynchronisation de ces serveurs. Les changements de pare-feu et de routage qui interrompent les transferts de zone sont les problèmes les plus courants. Pire encore, si un problème de transfert de zone passe inaperçu pendant une longue période, le délai d'expiration défini par votre SOAenregistrement peut être atteint et les serveurs distants abandonneront complètement la zone. Une surveillance étendue est votre amie ici.

Pour résumer tout cela, il existe un certain nombre d'options, et chacune a ses inconvénients. C'est à vous d'équilibrer la fiabilité et les compromis respectifs.

• Pour la plupart, il suffit d'avoir votre DNS hébergé chez une entreprise qui a une grande réputation pour faire face aux attaques DDoS ... le risque de baisser une fois toutes les quelques années est assez bon pour la simplicité.
• Une entreprise moins réputée pour faire face aux attaques DDoS est la deuxième option la plus courante, en particulier lorsque l'on recherche des solutions gratuites. N'oubliez pas que la gratuité signifie généralement qu'il n'y a pas de garantie SLA, et si un problème survient, vous n'aurez aucun moyen de conduire l'urgence avec cette entreprise. (ou une personne à poursuivre, si votre service juridique exige ce genre de chose)
• L'option la moins courante est, ironiquement, l'option la plus robuste d'utiliser plusieurs sociétés d'hébergement DNS. Cela est dû au coût, à la complexité opérationnelle et aux avantages perçus à long terme.
• Le pire, du moins à mon avis, est de décider d'héberger le vôtre. Peu d'entreprises ont connu des administrateurs DNS (qui sont moins susceptibles de créer des pannes accidentelles), de l'expérience et des ressources pour faire face aux attaques DDoS, la volonté d'investir dans une conception répondant aux critères définis par le BCP 16 et, dans la plupart des scénarios, une combinaison des trois. Si vous voulez jouer avec des serveurs faisant autorité qui ne font face qu'à l'intérieur de votre entreprise, c'est une chose, mais DNS face à Internet est un jeu de balle complètement différent.

Il y a clairement des choses qu'un fournisseur de services DNS devrait faire, et bien d'autres qu'ils pourraient faire, pour s'assurer que le service est aussi fiable que possible.

S'il apparaît que le fournisseur de services a des problèmes déraisonnables, il serait probablement judicieux d'envisager de les remplacer complètement, mais il existe également des classes ou des problèmes pour lesquels des services gérés séparément sont utiles en soi.

En tant que client, je pense que l'option la plus évidente pour aller au-delà de compter sur un seul fournisseur serait probablement de couvrir vos paris en ayant votre domaine (s) délégué à des serveurs de noms de plusieurs fournisseurs de services DNS à tout moment (plutôt que de changer la délégation au cas où de problèmes).

Ce qui doit être traité pour que cela fonctionne est essentiellement de simplement synchroniser les données de zone entre les serveurs de noms de ces différents fournisseurs.

La solution classique à cela serait d'utiliser simplement la fonctionnalité de transfert de zone maître / esclave qui fait partie du protocole DNS lui-même (cela nécessite évidemment des services qui vous permettent d'utiliser ces installations), soit en ayant l'un des fournisseurs de services comme maître ou éventuellement exécuter votre propre serveur maître.