O que aconteceria se alguém descarregasse o host do DNS público do Google enquanto o servidor de nomes estivesse inoperante?

2

Durante o recente ataque DDoS em servidores Dyn, muitos sites não puderam ser alcançados por um bom tempo. No entanto, esses sites podem ser resolvidos por meio dos servidores DNS públicos do Google. Eu suponho que os endereços IP foram armazenados em cache por um período de tempo de TTL desde a última verificação que foi configurada pelo proprietário do domínio por meio da Dyn antes de cair, está correto? Em caso afirmativo, isso significa que se alguém usasse a ferramenta pública de cache do DNS do Google para liberar, por exemplo, o twitter.com, ela ficaria indisponível para todos que usassem o DNS público do Google como backup para resolver esse domínio durante o tempo de inatividade do Dyn? / p>     

por Sergey Lukin 25.10.2016 / 11:46

2 respostas

2

However, these websites were resolvable via Google's public DNS servers.

Não por muito tempo e quando o TTL do cache expiraria, esse DNS também teria que ir para o DNS autoritativo para resolver o registro.

is it correct?

Sim, com certeza.

If so, does it mean that if someone would use Google's public DNS flush cache tool to flush, say, twitter.com, it would become unavailable for everyone who used Google public DNS as a backup to resolve that domain during the Dyn's downtime?

Spot on, esses servidores se tornariam inutilizáveis nesse caso. Mas, em qualquer caso, há um TTL anexado, mesmo se você não limpá-lo (flush), então também pode ser usado por um período limitado de tempo (qualquer que seja o cache deixado).

Outra coisa a notar é que o DNS público do Google tem várias instâncias rodando atrás de um LB (load balancer) Eu acho que sim, se você tivesse notado, ou seja, se você fizer consultas rapidamente ao DNS público, ele fornecerá TTL diferente em cada resposta. O que significaria que a instância do servidor com o TTL mais baixo é o tempo máximo que você pode obter as respostas ao seu registro imediatamente depois disso, se você foi consultar o DNS no qual o TTL expirou, você não obterá uma resposta.

A maneira mais fácil de superar isso é ter uma entrada em / etc / hosts de qualquer site que você quer 100% de disponibilidade. (e isso é como voltar atrás;))

Espero que isso ajude!

    
por 25.10.2016 / 18:18
0

Sua hipótese está correta. Se o servidor de nomes de armazenamento em cache não tiver mais uma cópia válida do registro que você solicitou (ou seja, ele foi "esvaziado" ou o TTL foi atingido), ele deverá contatar um servidor upstream para poder manipular a resposta.

No caso de o servidor de cache consultar os servidores autoritativos diretamente, se os servidores autoritativos não puderem responder (como foi o caso com o ataque Dyn na semana passada), a única resposta que o servidor de cache pode fornecer ao cliente será falha.

    
por 25.10.2016 / 12:03