Emm*_*mel 13 domain-name-system redundancy ddos
因此,我们的 DNS 提供商时常会在他们的系统上遭受 DDOS 攻击,导致我们的前端网站出现故障。
在减少对单一外部托管 DNS 提供商的依赖方面有哪些选择?我的第一个想法是使用较低的过期 TTL 和其他 SOA TTL,但感觉这些对辅助 DNS 服务器行为的影响比其他任何事情都大。
即,如果您遇到持续时间超过 1 小时的 DNS 中断(在本例中是由于 DDOS),请将所有内容委托给二级提供商。
当涉及到他们的外部 DNS 并使用另一个托管 DNS 提供商作为备份时,人们在那里做什么?
请注意我们友好的版主:这个问题比那里的“通用缓解 DDOS 攻击”问题要具体得多。
编辑:2016-05-18(几天后):所以,首先感谢 AndrewB 的出色回答。我还有一些信息要在这里添加:
因此,我们联系了另一家 DNS 服务提供商并与他们进行了交谈。经过思考和更多研究后,实际上比我想象的与两个 DNS 提供商合作要复杂得多。这不是一个新答案,它实际上是问题的更多内容/信息!以下是我的理解:
-- 许多这些 DNS 提供商提供专有功能,如“智能 DNS”,例如 DNS 负载平衡与 keepalive、用于配置响应返回方式的逻辑链(基于地理位置、记录的各种权重等) . 因此,第一个挑战是使两个托管提供程序保持同步。并且这两个托管提供程序将必须由必须自动与其 API 交互的客户保持同步。不是火箭科学,而是持续的运营成本,可能会很痛苦(考虑到双方在功能和 API 方面的变化)。
- 但这是我的问题的补充。假设有人确实根据 AndrewB 的回应使用了两个托管提供程序。根据规范,这里没有“主要”和“次要”DNS,我是否正确?即,您向域注册商注册了四个 DNS 服务器 IP,其中两个是您的 DNS 提供商之一,其中两个是另一个的 DNS 服务器。所以你基本上只是向全世界展示你的四张 NS 记录,所有这些都是“主要的”。那么,我的问题的答案是“否”吗?
And*_*w B 25
首先,让我们解决标题中的问题。
是否可以让二级托管 DNS 提供商快速委托给
当我们谈论顶级域的委托时,“快速”和“委托”不属于同一个句子。顶级域 (TLD) 注册管理机构运营的域名服务器通常提供以天为单位的 TTL 的推荐。NS存在于您服务器上的权威记录可能具有较低的 TTL,最终会替换 TLD 引用,但您无法控制 Internet 上的公司选择删除其整个缓存或重新启动服务器的频率。
简化这一点,最好假设互联网至少需要 24 小时才能获取域顶部的名称服务器更改。由于您的域的顶部是最薄弱的环节,这是您最需要计划的。
在减少对单一外部托管 DNS 提供商的依赖方面有哪些选择?
这个问题更容易解决,与流行观点相反,答案并不总是“找到更好的供应商”。即使您使用一家拥有良好业绩记录的公司,近年来也证明没有人是绝对可靠的,即使是 Neustar 也不例外。
对于大多数人来说,选项#1 是最安全的选项。中断可能每隔几年才会发生一次,如果确实发生了攻击,则会由有更多经验和资源来处理问题的人来处理。
这给我们带来了最后一个最可靠的选择:使用两家公司的混合方法。这为将所有鸡蛋放在一个篮子里所带来的问题提供了弹性。
为了论证起见,我们假设您当前的 DNS 托管公司有两个名称服务器。如果您将另一家公司管理的两个域名服务器添加到组合中,则需要针对两家不同公司的 DDoS 才能使您离线。这甚至可以保护您免受像 Neustar 这样的巨人打瞌睡的罕见事件。相反,挑战变成了找到一种方法来可靠且一致地向多个公司提供 DNS 区域的更新。通常,这意味着拥有一个面向互联网的隐藏主机,允许远程合作伙伴执行基于密钥的区域传输。其他解决方案当然是可能的,但我个人并不喜欢使用 DDNS 来满足这一要求。
不幸的是,最可靠的 DNS 服务器可用性形式的成本更加复杂。您的问题现在更有可能是导致这些服务器不同步的问题的结果。中断区域传输的防火墙和路由更改是最常见的问题。更糟糕的是,如果长时间未注意到区域传输问题,则SOA可能会达到您的记录定义的到期计时器,并且远程服务器将完全丢弃该区域。广泛的监控是您的朋友。
综上所述,有许多选项,每个选项都有其缺点。由您来平衡可靠性与各自的权衡。
| 归档时间: |
|
| 查看次数: |
2858 次 |
| 最近记录: |