* 주요 * 외부 DNS 공급자에 대한 DDOS 공격이 발생할 때 보조 관리되는 DNS 공급자가 신속하게 위임 할 수 있습니까?

따라서 DNS 제공 업체는 시스템에 대한 DDOS 공격을 경험하여 전면 웹 사이트를 다운시킵니다.

SINGLE 외부 관리 형 DNS 공급자에 대한 종속성을 줄이려면 몇 가지 옵션이 있습니까? 내 첫 번째 생각은 더 낮은 만료 TTL 및 기타 SOA TTL을 사용하는 것이었지만 이것이 다른 것보다 보조 DNS 서버 동작에 영향을 미치는 것 같습니다.

즉, 1 시간 이상 지속되는 DNS 중단 (이 예에서는 DDOS로 인해)이 발생하면 모든 것을 보조 공급자에게 위임하십시오.

외부 DNS와 관련하여 다른 관리 형 DNS 공급자를 백업으로 사용하는 경우 사람들은 어떻게해야합니까?

친숙한 중재자에게 참고 :이 질문은 "일반적인 DDOS 공격 완화"질문보다 훨씬 구체적입니다.

편집 : 2016-05-18 (며칠 후) : 먼저 훌륭한 답변을 주신 AndrewB에게 감사드립니다. 여기에 추가 할 정보가 더 있습니다.

그래서 우리는 다른 DNS 서비스 제공 업체에 연락하여 그들과 대화를 나 had습니다. 생각하고 조금 더 많은 연구를 한 후에 실제로 두 DNS 공급자와 함께 생각했던 것보다 훨씬 더 복잡합니다. 이것은 새로운 대답이 아니며 실제로 질문에 대한 더 많은 고기 / 정보입니다! 여기 내 이해가 있습니다 :

-많은 DNS 제공 업체는 '지능형 DNS'와 같은 독점 기능을 제공합니다 (예 : 킵 얼라이브를 사용한 DNS로드 밸런싱, 응답이 전달되는 방식을 구성하는 로직 체인 (지리적 위치, 레코드에 대한 다양한 가중치 등)). . 따라서 첫 번째 과제는 두 관리 공급자를 동기화 상태 로 유지하는 것 입니다. 그리고 두 관리 공급자는 API와의 상호 작용을 자동화해야하는 고객과 동기화 상태를 유지해야합니다. 로켓 과학이 아니라 지속적인 운영 비용으로 인해 고통 스러울 수 있습니다 (기능 및 API 측면에서 양측에서 변경됨).

-그러나 여기 내 질문에 추가됩니다. AndrewB의 답변에 따라 누군가 두 개의 관리 공급자를 사용했다고 가정 해 봅시다. 사양에 따라 여기에 '기본'및 '보조'DNS가 없다는 것이 맞습니까? 즉, 도메인 등록 기관에 네 개의 DNS 서버 IP를 등록하고 그 중 두 개는 DNS 공급자 중 하나이고 두 개는 다른 DNS 서버입니다. 따라서 당신은 기본적으로 네 개의 NS 레코드를 세상에 보여줄 것입니다. 내 질문에 대한 답이 "아니오"입니까?

먼저 제목의 문제를 다루겠습니다.

보조 관리되는 DNS 공급자가 신속하게 위임 할 수 있습니까?

"빠른"과 "위임"은 도메인 상단의 위임에 대해 이야기 할 때 같은 문장에 속하지 않습니다. 최상위 도메인 (TLD) 레지스트리에서 운영하는 네임 서버는 일반적으로 TTL이 일 단위로 측정 된 조회를 제공합니다. NS서버에 있는 신뢰할 수있는 레코드는 TLD 조회를 낮추는 TTL이 낮을 수 있지만 인터넷상의 회사가 전체 캐시를 삭제하거나 서버를 다시 시작하는 빈도를 제어 할 수는 없습니다.

이 과정을 단순화하려면 인터넷에서 도메인 상단의 네임 서버 변경 사항을 가져 오는 데 최소 24 시간이 걸린다고 가정하는 것이 가장 좋습니다. 도메인의 최상위 링크가 가장 약한 링크이므로 가장 많이 계획해야합니다.

SINGLE 외부 관리 형 DNS 공급자에 대한 종속성을 줄이려면 몇 가지 옵션이 있습니까?

이 질문은 훨씬 더 해결 가능하며 대중의 의견과는 달리 항상 "더 나은 공급자를 찾는"것은 아닙니다. 실적이 매우 좋은 회사를 사용하더라도 최근 몇 년 동안 Neustar가 아닌 사람도 없다는 사실이 입증되었습니다.

• 평판이 좋은 대기업의 DNS 호스팅 회사는 짓밟 기가 더 어렵지만 더 큰 목표입니다. 누군가가 걸릴하려고 때문에 그들은 덜 어두운 갈 수 있습니다 귀하의 도메인 오프라인을하지만, 호스트 도메인을 더 목표를 호소하고 그 때문에 가능성이 오프라인 상태로. 자주 발생하지는 않지만 여전히 발생합니다.
• 반대로 자신의 네임 서버를 운영한다는 것은 당신보다 더 매력적인 타겟과 네임 서버를 공유 할 가능성이 적다는 것을 의미하지만, 누군가가 당신을 구체적으로 타겟팅하기로 결정하면 더 쉽게 중단 할 수 있음을 의미합니다 .

대부분의 사람들에게 옵션 # 1이 가장 안전한 옵션입니다. 정전은 몇 년에 한 번만 발생할 수 있으며 공격이 발생하면 문제를 해결할 수있는 더 많은 경험과 리소스를 가진 사람들이이를 처리합니다.

이를 통해 우리는 최종적으로 가장 신뢰할 수있는 옵션 인 두 회사를 사용한 혼합 접근 방식을 얻게됩니다. 이것은 모든 계란을 한 바구니에 담는 데 따르는 문제에 대한 탄력성을 제공합니다.

이 주장을 위해 현재 DNS 호스팅 회사에 두 개의 네임 서버가 있다고 가정 해 봅시다. 다른 회사에서 관리하는 두 개의 네임 서버를 믹스에 추가하면 두 회사에서 DDoS를 사용하여 오프라인 상태가됩니다. 이것은 Neustar와 같은 거인이 더러워 낮잠을 자지 않는 경우를 막아줍니다. 대신, 여러 영역에 DNS 영역에 대한 업데이트를 안정적이고 일관되게 제공하는 방법을 찾아야합니다. 일반적으로 이것은 원격 파트너가 키 기반 영역 전송을 수행 할 수 있도록 인터넷에 숨겨진 마스터를 사용하는 것을 의미합니다. 다른 솔루션도 가능하지만 개인적으로이 요구 사항을 충족하기 위해 DDNS를 사용하는 팬은 아닙니다.

안타깝게도 DNS 서버 가용성의 가장 안정적인 형태의 비용은 더 복잡합니다. 이제 서버가 동기화되지 않는 문제로 인해 문제가 발생했을 가능성이 높습니다. 영역 전송을 방해하는 방화벽 및 라우팅 변경이 가장 일반적인 문제입니다. 더구나, 영역 전송 문제가 오랫동안 눈에 띄지 않으면 SOA레코드에 의해 정의 된 만료 타이머에 도달 할 수 있으며 원격 서버가 영역을 완전히 삭제합니다. 광범위한 모니터링은 당신의 친구입니다.

이 모든 것을 마무리하기 위해 여러 가지 옵션이 있으며 각 옵션에는 단점이 있습니다. 각각의 트레이드 오프에 대한 신뢰성의 균형을 유지하는 것은 귀하의 책임입니다.

• 대부분의 경우 DDoS 공격을 처리하는 데 큰 명성을 가진 회사에서 DNS를 호스팅하는 것으로 충분합니다. 몇 년에 한 번 다운 될 위험은 단순성에 충분합니다.
• DDoS 공격에 대한 평판이 덜한 회사는 특히 무료 솔루션을 찾고있을 때 가장 일반적인 두 번째 옵션입니다. 무료는 일반적으로 SLA 보증을 의미하지 않는다는 것을 기억하십시오. 문제가 발생하면 해당 회사를 긴급하게 추진할 방법이 없습니다. (또는 법무 부서에서 그러한 종류의 것을 요구하는 경우 고소 할 사람)
• 아이러니하게도 가장 일반적인 옵션은 여러 DNS 호스팅 회사를 사용하는 가장 강력한 옵션입니다. 이는 비용, 운영상의 복잡성 및 장기적인 이점 때문입니다.
• 적어도 내 의견으로는 최악은 당신 자신의 호스팅을 결정하는 것입니다. DNS 관리자 (실수로 정전을 일으킬 가능성이 적은), DDoS 공격 처리 경험 및 리소스, BCP 16에 요약 된 기준을 충족하는 설계에 대한 투자 의향 , 대부분의 시나리오 에서이 세 가지를 모두 조합 한 경험이있는 회사는 거의 없습니다 . 회사 내부에만있는 권한있는 서버를 가지고 놀고 싶다면 이것이 한 가지이지만 인터넷에 대한 DNS는 완전히 다른 볼 게임입니다.

서비스를 최대한 안정적으로 유지하기 위해 DNS 서비스 공급자가해야 할 일과 그 밖의 많은 일이 분명히 있습니다.

서비스 제공 업체에 불합리한 문제가있는 것으로 보이면 교체를 고려하는 것이 합리적이지만 별도로 운영되는 서비스가 그 자체로 도움이되는 클래스 나 문제도 있습니다.

고객은 하나의 공급자에 의존하는 것 이상의 가장 확실한 옵션은 도메인을 여러 DNS 서비스 공급자의 네임 서버에 위임하여 베팅을 방지하는 것입니다 (사례를 변경하는 대신) 문제의).

그 작업을 위해 처리해야 할 것은 본질적으로 영역 데이터를 이러한 다른 공급자의 네임 서버에서 동기화하는 것입니다.

그에 대한 고전적인 솔루션은 단순히 DNS 프로토콜 자체의 일부인 마스터 / 슬레이브 영역 전송 기능을 사용하는 것입니다 (이것은 분명히 이러한 기능을 사용할 수있는 서비스가 필요합니다). 마스터 또는 자신의 마스터 서버를 실행할 수 있습니다.