DNS caído en ataque anónimo

12

Mientras escribo esto, el sitio web de nuestra compañía y el servicio web que desarrollamos están en la gran interrupción de GoDaddy como resultado de un ataque anónimo (o eso dice Twitter).
Usamos GoDaddy como nuestro registrador y lo usamos para DNS para algunos dominios.

Mañana es un nuevo día, ¿qué podemos hacer para mitigar tales interrupciones?
Simplemente pasar a, digamos, la ruta 53 para DNS podría no ser suficiente.
¿Hay alguna forma de eliminar este único punto de falla?

domain-name-system ddos godaddy anonymous domain-registrar Tal Weiss
fuente
55
Bueno, suena como si supieras qué hacer. No solo puede distribuir sus servicios (tener más de 1 proveedor de DNS, reducir el TTL y posiblemente usar DNS round robin) sino también escalar (host web adicional como amazon, replicar contenido entre hosts, dependiendo del presupuesto y la escala de tamaño de implementación hasta CDN y anycasting)
jwbensley
1
herramientas.ietf.org/html/rfc2182 que podrían ser de ayuda para alguien
jwbensley
3
Normalmente no daría recomendaciones de productos, pero no puedo hablar muy bien de dnsmadeeasy.com , un total de 1,5 horas de tiempo de inactividad desde que entraron en el negocio (cuando nos registramos hace 5 años tenían un tiempo de actividad del 100%, y que yo sepa, el 100% sigue siendo su SLA), y se necesitaron 50 Gbps de DDoS para desconectarlos. Incluso a 49 Gbps de DDoS sus servidores respondían, aun así, eso es resistencia.
Mark Henderson
@MarkHenderson Infierno, veo 500% SLA? A 500% SLA for all DNS services, raising the bar industry wide. dnsmadeeasy.com/services/managed-dns
Brent Pabst
@BrentPabst: bueno, eso es interesante. ¿Qué significa eso realmente? ¿Simplemente significa que te acreditarán 5 veces el período de inactividad?
Mark Henderson

Respuestas:

10

Puede eliminar este único punto de falla utilizando dos proveedores de DNS.
También podría ser factible ejecutar su propio servidor DNS en uno de sus servidores.
GoDaddy le permite realizar transferencias de zona desde sus servidores (se requiere DNS IIRC premium para esto).

Obtenga un segundo proveedor de DNS que le permita ejecutar un servidor esclavo (o ejecutarlo usted mismo).
Ajuste los registros NS / Nserver para que apunten a ambos proveedores y ya está.

falsificador
fuente
Genial, pero: veo algunas afirmaciones en Twitter de que los dominios que usan Godaddy al igual que su registrador también están inactivos. No estoy seguro de cómo funciona eso.
Tal Weiss
44
Si se hace correctamente, no veo cómo. Las personas tienden a afirmar que solo lo usan como registrador y alojan su sitio web en otro lugar, pero no mencionan que DNS todavía se está ejecutando en GoDaddy.
falsificador
Para mis sitios importantes, siempre he sentido que el registrador y el proveedor de NS deberían ser diferentes. Incluso si no proporciona una mayor disponibilidad ... la separación de poderes puede ser algo bueno.
Bret Fisher
3

(1) Formas de no verse afectado si los servidores del registrador de dominios (NO solo el dominio) están DDOS, si los hay.

los servidores del registrador solo importan si los está utilizando para DNS (o alojamiento u otros servicios, obviamente). Una vez que su dominio está registrado, los registros van al registro raíz y no necesita que su registrador esté en línea para que su dominio funcione. Si son tu único proveedor de DNS, entonces debes considerar agregar más de uno.

(2) "¿Cómo tener más de un proveedor de servicios DNS para un dominio?

(para esta parte, necesita su registrador en línea, por lo que puede ingresar los cambios a través de ellos) En su cuenta de registro de dominio, agregue múltiples servidores DNS autorizados alojados por múltiples proveedores. Esto probablemente requerirá NO usar el servicio DNS del registrador para que pueda ingresar a los servidores de terceros. (por ejemplo, con GoDaddy no puede usar su "control de dominio" además de los proveedores de terceros, debe elegir "mi dominio está alojado en otro lugar" para configurar su DNS)

user16081-JoeT
fuente
para DNS de terceros, he usado tanto ultradns como dnsmadeeasy, en mi experiencia ambos funcionan igual de bien y el último es mucho menos costoso.
user16081-JoeT
3

1) No guardes todos tus huevos en una canasta DNS. Si eres lo suficientemente grande como para estar pensando en cualquier difusión y CDN, ¿por qué estás usando un solo proveedor como GoDaddy? Diversifique sus proveedores de DNS.

2) Anycast. Consulte este blog para ver cómo un proveedor mitigó un DDOS de hasta 65 Gbps. http://blog.cloudflare.com/65gbps-ddos-no-problem

notmyname
fuente