Hover experimentou um DDoS recentemente, tornando meus serviços indisponíveis. Que medidas posso tomar para mitigar esse risco no futuro?

Google Public DNS

Como o Gaurav Kansal disse que o DNS público do Google é um DNS de cache (recursivo) e não seria muito de sua ajuda.

Amazon Route 53

Você pode fazer isso e muitos outros, mas eu gostaria de apontar algumas coisas que você deve procurar quando escolher o seu provedor de DNS.

• Escolha mais de um : Se possível, tenha um servidor de nomes mestre colocado em um dos provedores e seu escravo em outro provedor. Se em diferentes localizações geográficas, melhor ainda. Para que, em caso de ataques a um provedor, outro provedor ainda esteja disponível para armazenar seus registros.
• Anycasting : os provedores devem executar mais de uma instância do seu servidor de nomes em locais geograficamente diferentes. Isso pode ser feito usando o anycasting, que usa o mesmo endereço IP em diferentes localizações geográficas para fornecer maior disponibilidade em caso de ataques em um local.
• Multiple Slaves : Tem vários servidores escravos para que seus registros possam ser servidos no caso de vários NS serem desativados (Mestre ou Escravo).

• TTL : Sim, o TTL talvez seja importante, se você não alterar seus registros com frequência e o provedor puder fornecê-los por mais de 15 minutos.

• Permaneça em contato com os administradores de gTLDs e mantenha seu arquivo de zona à mão : em caso de emergência, é bom ter planos de contingência prontos.

Espero que isso ajude!

Como o cliente, você não pode realmente fazer nada para evitar interrupções de um fornecedor, embora, desde que você não seja o alvo real do DDOS, você possa atenuar alguns dos efeitos das interrupções de um único fornecedor vários fornecedores (com o risco de que tal complexidade adicional aumente o risco de erro do operador por você / sua equipe) ou mudando para um fornecedor melhor com menos interrupções.

Puro para DNS, uma medida de mitigação de custo zero que você pode facilmente tomar é simplesmente aumentar o valor TTL de seus registros DNS.
Um TTL de 5 minutes significa que uma indisponibilidade de todos os servidores DNS autoritativos (ao mesmo tempo) com duração superior a 5 minutos afetará 100% dos usuários, enquanto que com TTL de 1 week an A interrupção de 24 horas ainda afetará aproximadamente 1/7 ou 15% de seus usuários.

Supondo que seu registrador de domínio hospede apenas seus servidores DNS, você pode encontrar serviços de DNS secundários em muitos lugares. Lembre-se também de que você não é normalmente forçado a usar os servidores de DNS do seu registro de domínios.

Para que os serviços de DNS secundários funcionem com eficiência, a interface de gerenciamento de seu provedor de serviços de DNS (principal) deve permitir que você:

1. adicionar, alterar e remover servidores de DNS e
2. adicione, altere e remova servidores secundários autorizados.

Servidores de DNS secundários periodicamente baixam uma cópia de seus registros de DNS dos servidores primários.

Muitas vezes você vai ouvir mestre para servidor primário e escravo para servidor secundário.

Uma rápida pesquisa no Google por 'serviço secundário do dns' retorna algumas empresas que fornecem esse serviço.

Lembre-se de que ter servidores dns resilientes não ajuda em nada se o destino do DDoS for seus servidores da Web e seus servidores da Web estiverem hospedados em um único provedor.

Então, essa é uma pergunta complicada. A maioria das pessoas que responde isso está dando respostas tecnicamente excelentes - distribua suas zonas através de múltiplos servidores de nomes, use altos TTLs, invista em anycast, etc. - mas eu quero dar a você um ponto de vista contrário.

O DNS é fundamental para o funcionamento da internet. Todo mundo está no limite agora por causa do recente DDoS contra Dyn, mas esse medo vai desaparecer.

Gostaria de salientar que:

1. Esta é a primeira grande interrupção do DNS (que durou mais de ~ 15 minutos) que eu conheço em décadas
2. Não foi uma interrupção total (a DYN enfrentou a maior perda de serviço na costa leste, mas não caiu globalmente)

E também ressalte que todos os provedores de DNS no mundo estão focados em se endurecerem para o DDoS agora mesmo.

Aqui está uma tangente engraçada, mas relevante: em 2004, um pequeno site (fido.net?) com o seu próprio ASN transmitiu um mau prefixo BGP que cascateou para derrubar a maior parte do roteamento central da Internet. A Cisco e os principais players corrigiram o bug, e nunca vimos uma interrupção na Internet devido ao mau prefixo do BGP sendo transmitido novamente.

O que estou tentando dizer é: toda a Internet depende do DNS. Este DDoS contra Dyn na semana passada foi extraordinário - em sua magnitude, severidade e improbabilidade.

Isto não é barato ou fácil de mitigar a partir do seu fim sem possuir sua própria infra-estrutura (o que eu posso garantir que você não é barato se Dyn não se levantar). O ponto do sistema DNS é que ele deveria funcionar.

Qual é a minha longa maneira de dizer que você tem um medo extremamente válido que é tão improvável e que nunca mais acontecerá novamente, que você deve simplesmente seguir em frente e não se preocupar com isso. Não porque você não esteja certo em se preocupar e há 0% de chance de que isso aconteça novamente (pode ser!), Mas porque você tem coisas muito mais reais e salientes que afetarão seus negócios no futuro, que são usos melhores de seu tempo, dinheiro e esforço do que tentar mitigar isso.

¯ \ _ (ツ) _ / ¯