Como posso reduzir as interrupções do servidor DNS?

2

Digamos que eu tenha um domínio raiz de "mysite.com". Esse domínio e seus subdomínios têm DNS servido por um serviço externo - vamos chamá-los de Núcleos de Rede. Se essa empresa externa for atingida por um ataque DDoS, meus sites hospedados em regiões com esse domínio não estarão mais acessíveis em "meusite.com.br" ou "* .meusite.com.br", embora o (s) site (s) esteja (ão) totalmente e operacional.

Como posso atenuar esse problema para manter os usuários finais satisfeitos?

A única solução encontrada por outras pessoas na minha empresa é criar um segundo domínio - por exemplo, "mysite2.com", hospedar seu DNS em outra empresa e depois comunicar a todos os usuários finais que esse é o site que eles devem usar. Eu acho que isso é ridículo, e só leva a um monte de outros problemas.

Gostaria de encontrar uma solução em que possamos apontar para o mesmo site com o mesmo URL sem que o host DNS original esteja operacional.

Alguma opinião?

    
por Eric Belair 06.11.2013 / 20:33

2 respostas

3

Você pode configurar servidores DNS adicionais fora do SN e, em seguida, registrar esses servidores de nomes como autoritativos para esse domínio.

Um desses provedores de DNS que eu recomendo strongmente é chamado de UltraDNS .

Isso resolverá todos os problemas. Em vez de ter:

mysite.com ns ns1.sn.com 
mysite.com ns ns2.sn.com

você teria:

mysite.com ns ns1.sn.com
mysite.com ns ns2.sn.com
mysite.com ns ns3.ultradns.com

Se o seu verdadeiro problema for apenas sites hospedados internamente, você poderá atenuar parcialmente qualquer indisponibilidade de seus servidores de nomes autorizados configurando nomes de cache locais para seu domínio e apontando suas máquinas LAN nesses servidores de nome de armazenamento em cache .

link

Combine isso com um TTL um pouco mais longo (digamos, desde que uma falha que você gostaria de sobreviver * 2) e você deve ser capaz de sobreviver a esse cenário muito bem.

Como final, oh merda, estamos tristes, lembre-se sempre de que uma entrada local do / etc / hosts (ou equivalente) pode tirar você de um congestionamento.

    
por 06.11.2013 / 20:49
0

Você encontrará esse problema com qualquer domínio cujos servidores sejam atingidos por um ataque DDOS. Ter os servidores do seu próprio domínio atingidos por um DDOS é mais provável de ser visível e rastreável.

Configurar um ou mais servidores de nome de armazenamento em cache em sua própria rede e configurar seus computadores para usá-los para resolução de DNS deve resolver o problema, a menos que o DDOS seja extremamente prolongado. Eu uso dnsmasq em um servidor linux, e o executei em um roteador OpenWRT. Ele também lerá valores de /etc/hosts e / ou outros arquivos no mesmo formato.

Se o seu host DNS externo for compatível, você poderá executar um servidor de ligação local como um escravo oculto. Isso forneceria a melhor proteção que você poderia obter sem hospedar o DNS localmente. Como alternativa, você pode executar o bind como seu servidor de nomes de armazenamento em cache local.

    
por 07.11.2013 / 03:47