domain-name-system – 当我们的* primary *外部DNS提供商发生DDOS攻击时,是否可以让二级托管DNS提供商快速委托？

Is it possible to have a secondary managed DNS provider to quickly delegate to

当我们谈论领域的顶级授权时,“快速”和“授权”不属于同一句话.由顶级域名(TLD)注册管理机构运营的域名服务器通常提供以天为单位测量TTL的推荐.存在于服务器上的权威NS记录可能具有较低的TTL,最终取代了TLD引用,但您无法控制互联网上的公司选择放弃整个缓存或重新启动其服务器的频率.

简化这一点,最好假设互联网需要至少24小时才能获得域名顶部的域名服务器更改.由于您的域名顶部是最薄弱的环节,因此您必须最大限度地计划.

What are some options in terms of reducing dependency on a SINGLE external managed DNS provider?

这个问题更容易解决,与流行的观点相反,答案并不总是“找到更好的提供者”.即使你使用一家拥有良好记录的公司,近年来也证明了没有人是绝对可靠的,甚至连Neustar都没有.

>拥有良好声誉的大型,完善的DNS托管公司更难以粉碎,但更大的目标.他们不太可能变黑,因为有人试图让您的域脱机,但更有可能因为他们托管更具吸引力的目标域而脱机.它可能不会经常发生,但它仍然会发生.
>在相反的极端,运行自己的名称服务器意味着你不太可能与一个比你更有吸引力的目标共享域名服务器,但这也意味着如果有人决定瞄准你,你就更容易被删除特别.

对于大多数人来说,选项#1是最安全的选择.中断可能每隔几年才会发生一次,如果发生攻击,将由具有更多经验和资源来处理问题的人员处理.

这为我们带来了最终,最可靠的选择：使用两家公司的混合方法.这样可以抵御将所有鸡蛋放在一个篮子里所带来的问题.

为了论证,让我们假设您当前的DNS托管公司有两个名称服务器.如果您将另一家公司管理的两个名称服务器添加到组合中,则需要针对两个不同公司的DDoS才能使您脱机.这样可以保护你免受像Neustar这样的巨人打瞌睡的罕见事件.相反,挑战在于找到一种方法,可以可靠,一致地将DNS区域的更新交付给多家公司.通常,这意味着具有面向隐藏主服务器的互联网,允许远程合作伙伴执行基于密钥的区域传输.其他解决方案当然是可行的,但我个人并不喜欢使用DDNS来满足这一要求.

遗憾的是,最可靠的DNS服务器可用性的成本更加复杂.您的问题现在更有可能是导致这些服务器不同步的问题的结果.防止区域传输的防火墙和路由更改是最常见的问题.更糟糕的是,如果很长一段时间没有注意到区域传输问题,则可能会到达您的SOA记录定义的到期计时器,远程服务器将完全删除该区域.广泛的监控是你的朋友.

为了完成所有这些,有许多选项,每个都有它们的缺点.由您来平衡可靠性与各自的权衡取决于您.

>对于大多数人来说,只需将您的DNS托管在一家在处理DDoS攻击方面享有盛誉的公司就足够了……每隔几年就会降低一次的风险,这对于简单起见来说已经足够了.
>处理DDoS攻击的声誉较低的公司是第二常见的选择,特别是在寻找免费解决方案时.请记住,免费通常意味着没有SLA保证,如果问题确实发生,你将无法推动该公司的紧迫感. (或者,如果您的法律部门要求那种事情,可以提起诉讼)
>具有讽刺意味的是,最不常见的选择是使用多个DNS托管公司的最强大的选择.这是由于成本,操作复杂性和感知的长期效益.
>至少在我看来,最糟糕的是决定托管你自己的.很少有公司经历过DNS管理员(不太可能造成意外中断),处理DDoS攻击的经验和资源,愿意投资符合BCP 16所列标准的设计,并且在大多数情况下都是三者的组合.如果您想要使用仅面向公司内部的权威服务器,这是一回事,但面向互联网的DNS是一个完全不同的球赛.