익명 공격으로 인한 DNS 다운


12

이 글을 쓰는 동안 회사 웹 사이트와 우리가 개발 한 웹 서비스는 익명 공격 (또는 트위터라고도 함)으로 인한 대규모 GoDaddy 중단으로 인해 다운되었습니다.
우리는 등록 기관으로 GoDaddy를 사용했으며 일부 도메인의 경우 DNS에이를 사용했습니다.

내일은 새로운 날입니다. 그러한 중단을 완화하기 위해 무엇을 할 수 있습니까?
DNS 용 Route 53으로 이동하는 것만으로는 충분하지 않을 수 있습니다.
이 단일 실패 지점을 제거 할 수있는 방법이 있습니까?


5
당신이해야 할 일을 알고있는 것처럼 들립니다. 예산과 배포 규모에 따라 서비스를 분산시킬 수있을뿐만 아니라 (DNS 제공 업체가 두 개 이상이고, TTL을 낮추고, DNS 라운드 로빈을 사용할 수도 있음), 규모 확장 (아마존과 같은 추가 웹 호스트, 호스트간에 콘텐츠 복제) CDN 및 애니 캐스트까지)
jwbensley September

1
tools.ietf.org/html/rfc2182 사람에게 도움이 될 수있다
jwbensley

3
일반적으로 제품 권장 사항을 제공하지는 않지만 dnsmadeeasy.com에 대해 충분히 말할 수는 없습니다. dnsmadeeasy.com 은 사업을 시작한 후 총 1.5 시간의 다운 타임 (5 년 전에 가입 한 경우 100 % 가동 시간을 자랑했으며 내가 아는 한 100 %는 여전히 SLA입니다), 오프라인으로 가져 오는 데 50Gbps의 DDoS가 필요했습니다. 49Gbps의 DDoS에서도 서버가 응답하고 있었지만 그 결과는 훌륭합니다.
Mark Henderson

@ MarkHenderson Hell, 500 % SLA가 보입니까? A 500% SLA for all DNS services, raising the bar industry wide. dnsmadeeasy.com/services/managed-dns
Brent Pabst

@BrentPabst-글쎄요, 흥미 롭습니다. 그래도 실제로 무엇을 의미합니까? 다운 타임 기간의 5 배를 크레딧으로 제공한다는 의미입니까?
Mark Henderson

답변:


10

두 개의 DNS 공급자를 사용하여이 단일 실패 지점을 제거 할 수 있습니다.
서버 중 하나에서 자체 DNS 서버를 실행하는 것이 가능할 수도 있습니다.
GoDaddy를 사용하면 서버에서 영역 전송을 수행 할 수 있습니다 (IIRC 프리미엄 DNS가 필요함).

슬레이브 서버를 운영하거나 직접 운영 할 수있는 두 번째 DNS 제공 업체를 확보하십시오.
NS / Nserver 레코드가 두 제공자 모두를 가리 키도록 조정하면 완료됩니다.


시원하지만, 트위터에서 Godaddy를 사용하는 도메인이 등록 기관과 마찬가지로 다운되었다는 주장이 있습니다. 어떻게 작동하는지 잘 모르겠습니다.
탈 바이스

4
제대로 완료되면 어떻게 보지 못합니다. 사람들은 레지스트라로만 사용한다고 주장하고 다른 곳에서 웹 사이트를 호스팅하지만 DNS가 여전히 GoDaddy에서 실행되고 있다고 언급하지는 않습니다.
faker

중요한 사이트의 경우 항상 등록 기관과 NS 제공 업체가 달라야한다고 생각했습니다. 더 높은 가용성을 제공하지 않더라도 전원을 분리하는 것이 좋습니다.
Bret Fisher

3

(1) 도메인 등록 기관의 서버 (도메인뿐만 아니라) 자체가 DDOS 된 경우 "영향을받지 않는"상태를 유지하는 방법.

레지스트라 서버는 DNS (또는 호스팅 또는 기타 서비스)에 사용하는 경우에만 중요합니다. 도메인이 등록되면 레코드가 루트 레지스트리로 이동하고 도메인이 작동하기 위해 등록자가 온라인 상태 일 필요는 없습니다. 이들이 유일한 DNS 공급자 인 경우 둘 이상의 추가를 고려할 수 있습니다.

(2) "도메인에 대해 둘 이상의 DNS 서비스 제공 업체를 갖는 방법?

(이 부분에서는 온라인으로 등록 기관이 필요하므로이를 통해 변경 사항을 입력 할 수 있습니다.) 도메인 레지스트리 계정에서 여러 제공자가 호스팅하는 여러 권한있는 DNS 서버를 추가하십시오. 타사 서버를 입력 할 수 있도록 레지스트라의 DNS 서비스를 사용하지 않아도됩니다. (예 : godaddy를 사용하면 타사 제공 업체 외에 "도메인 제어"를 사용할 수 없습니다. "내 도메인이 다른 곳에서 호스팅 됨"을 선택하여 DNS를 설정해야합니다.)


타사 DNS의 경우 ultradns와 dnsmadeeasy를 모두 사용했습니다. 제 경험상 두 가지 모두 똑같이 잘 작동하며 후자는 훨씬 저렴합니다.
user16081-JoeT

3

1) 모든 계란을 하나의 DNS 바구니에 보관하지 마십시오. 애니 캐스트와 CDN을 생각하기에 충분히 큰 경우 왜 GoDaddy와 같은 단일 공급자를 사용하고 있습니까? DNS 제공 업체를 다양 화하십시오.

2) 애니 캐스트. 공급자가 최대 65Gbps의 DDOS를 어떻게 완화했는지 보려면이 블로그를 확인하십시오. http://blog.cloudflare.com/65gbps-ddos-no-problem

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.