comutação de fornecedores de servidores de DNS

Navegue suas respostas
2

Estou tentando envolver minha mente em algo que achei que entendi, mas claramente falta alguma coisa.

Atualmente, estamos usando o Zerigo como nosso dns principal, com dns escravos sendo executados no linode. Isso funciona muito bem. No entanto, ataques recentes de DDOS no zerigo fizeram com que, enquanto as consultas de DNS ainda estivessem resolvidas, não pudemos fazer alterações no DNS. Como confiamos nas mudanças do DNS em nossa própria infraestrutura, estou procurando melhorar isso de alguma forma.

Eu prefiro não abandonar zerigo completamente, e perceber que isso ou problemas semelhantes podem acontecer com qualquer provedor de hospedagem DNS primário. Pode não ser DDOS, mas um bug no servidor deles, ou algo , significa que não podemos mais emitir atualizações.

Para isso, quero ter alguma opção de fallback: um provedor de DNS completamente primário (primário) (talvez AWS), que manteremos em sincronia manualmente. Vamos passar para lá quando houver algum problema. Isso me leva à minha pergunta:

Como posso ter certeza de que podemos mudar esses provedores rapidamente? especificamente, em nosso registrador, há uma lista de servidores de nomes, mas sem configurações como TTL etc. Como os clientes dns sabem usar os registros do servidor de nomes recém-atualizados? Isso está configurado no SOA? No entanto, a própria SOA é hospedada com o provedor de DNS e talvez não possamos atualizá-la ...

Não se trata de uma jogada única, que pode ser planejada, programada e testada, mas sim de ser capaz de fazê-lo quando as coisas estão meio quebradas.

    
por Yoav Aner 10.10.2012 / 18:20

3 respostas

1

Sim, a duração dos registros NS (que indicam que yourdomain.example é hospedado por ns1.zerigo.net ou my-ec2.amazon.com) é determinada pelo valor TTL desses registros NS. Se o seu hoster não permitir que você altere esses TTL, você é brindado.

Mesmo que o hoster de DNS permita alterá-los, há também o TTL dos registros NS na zona pai e estes são corrigidos pelo registro.

Portanto, mudar de um host de DNS para outro não pode realmente ser feito em tempo real. Spammers e outros criadores de bot fazem isso (isso é chamado de "fluxo rápido") para evitar a detecção, mas eles hospedam seu domínio, eles podem definir o TTL à vontade. (Eles ainda têm o limite do TTL no registro.)

    
por 10.10.2012 / 22:16
1

A troca de servidores de nomes com autoridade para sua zona não é realmente algo que você queira fazer "em caso de emergência", já que é uma alteração que precisa de pelo menos 48 horas para se propagar pela Internet.

Você não poderá fazer nada sobre isso, já que os servidores de nomes tld não acham divertido responder a perguntas sobre qual servidor de nomes você escolhe usar com frequência, então eles controlam o TTL e você terá que viver com isso.

Pelo que aprendi, o cenário habitual é assim:

  • Tenha um mestre oculto. Esse é responsável pela edição da zona. Isso pode até ser hospedado por você mesmo em seu escritório, isso não precisa estar ativo o tempo todo.
  • Ter pelo menos dois escravos abertos. Estes são os que são definidos como autoritativos para sua zona.

Isso requer que você cuide dos seus servidores DNS, mas confiar em um serviço sempre estará sujeito a possíveis ataques e, se eles não tiverem redundância suficiente, você ainda estará sem sorte. A menos que você possa encontrar um provedor que configure zonas escravas. Não está muito claro para mim se você usa o Zenigo como um VPS simples e executa seu próprio DNS, ou se eles têm um serviço de DNS.

No entanto, não posso deixar de me perguntar em que tipo de empresa você está se precisar alterar os registros de DNS diariamente. Eu tenho cerca de 50 clientes com vários sites, mas ainda só faço alterações de DNS, talvez uma vez por mês ..?

    
por 10.10.2012 / 23:19
1

Parece que você tem uma boa infraestrutura, com Zerigo atuando como mestre e hospedando seus próprios escravos.

Supondo que você esteja usando o BIND (e isso deve ser verdade para outro software DNS), você pode alterar uma zona escrava para um mestre. Como mestre, você pode alterar a zona.

Isso é apenas uma simples alteração na configuração, mas aqui está um exemplo de um processo automatizado: link

Se você fizesse isso, uma vez que Zerigo voltasse, você poderia:

  • Duplique as alterações feitas e converta suas zonas hospedadas novamente em escravos ou
  • exclua as zonas do Zerigo e as recrie, importando os registros da zona.

Mas também observe que enquanto a Zerigo estava experimentando o DDOS no ano passado, a interface de gerenciamento não estava disponível, mas os hosts DNS continuavam a atender às solicitações. Então, se você fez uma alteração nas zonas hospedadas em seus servidores, os registros incorretos ainda seriam servidos pelo Zerigo, mesmo que eles estivessem quase inativos.

    
por 26.01.2013 / 00:56

Tags

Windows Server 2008 R2, como definir o administrador local em cada máquina? IP Bridge para KVM com várias sub-redes