जब हमारे * प्राथमिक * बाहरी DNS प्रदाता पर DDOS हमला होता है, तो क्या एक माध्यमिक प्रबंधित DNS प्रदाता को जल्दी से सौंपना संभव है?

13

इसलिए हमारा DNS प्रदाता, हर बार, अपने सिस्टम पर DDOS हमलों का अनुभव करता है जिसके कारण हमारी फ्रंट-फेसिंग वेब साइट्स नीचे चली जाती हैं।

SINGLE बाहरी प्रबंधित DNS प्रदाता पर निर्भरता कम करने के संदर्भ में कुछ विकल्प क्या हैं? मेरा पहला विचार कम एक्सपायर टीटीएल और अन्य एसओए टीटीएल का उपयोग कर रहा था, लेकिन ऐसा लगता है कि ये माध्यमिक DNS सर्वर व्यवहार को किसी भी चीज़ से अधिक प्रभावित करते हैं।

यानी यदि आप एक DNS आउटेज का अनुभव करते हैं (डीडीओएस के कारण, इस उदाहरण में) जो कि 1 घंटे से अधिक समय तक रहता है, तो सब कुछ एक माध्यमिक प्रदाता को सौंपें।

जब लोग अपने बाहरी DNS पर आते हैं और बैकअप के रूप में किसी अन्य प्रबंधित DNS प्रदाता का उपयोग करते हैं तो वे क्या करते हैं?

हमारे अनुकूल मध्यस्थों पर ध्यान दें: यह प्रश्न कहीं अधिक विशिष्ट है तो "सामान्य डीडीओएस हमले को कम करें" प्रश्न वहाँ से बाहर हैं।

संपादित करें: 2016-05-18 (कुछ दिनों बाद): तो, आपके उत्कृष्ट उत्तर के लिए पहले एंड्रयू को धन्यवाद दें। मुझे यहाँ जोड़ने के लिए कुछ और जानकारी है:

इसलिए हम दूसरे DNS सेवा प्रदाता के पास पहुँचे और उनसे बातचीत की। सोचने और थोड़ा अधिक शोध करने के बाद, यह वास्तव में बहुत अधिक जटिल है, जितना मैंने दो डीएनएस प्रदाताओं के साथ जाने के लिए सोचा था। यह एक नया जवाब नहीं है, यह वास्तव में सवाल के लिए अधिक मांस / जानकारी है! यहाँ मेरी समझ है:

- इनमें से बहुत सारे DNS प्रदाता 'इंटेलिजेंट DNS' जैसी मालिकाना सुविधाएँ प्रदान करते हैं, उदाहरण के लिए DNS लोड बैलेंसिंग के साथ बैलेंसिंग, लॉजिक चेन को कॉन्फ़िगर करने के लिए कि कैसे प्रतिक्रियाएँ दी जाती हैं (भू स्थान के आधार पर, रिकॉर्ड करने के लिए विभिन्न वज़न के आधार पर, आदि) । इसलिए पहली चुनौती दो प्रबंधित प्रदाताओं को सिंक में रखना है । और दो प्रबंधित प्रदाताओं को उन ग्राहकों द्वारा सिंक में रखा जाना है, जिन्हें अपने एपीआई के साथ बातचीत को स्वचालित करना है। रॉकेट साइंस नहीं, बल्कि एक चालू परिचालन लागत जो दर्दनाक हो सकती है (सुविधाओं और एपीआई के संदर्भ में दोनों तरफ बदलाव)।

- लेकिन यहाँ मेरे सवाल के लिए एक अतिरिक्त है। मान लीजिए कि किसी ने एंड्रयूबी की प्रतिक्रिया के अनुसार दो प्रबंधित प्रदाताओं का उपयोग किया। क्या मैं सही हूं कि कल्पना के अनुसार यहां कोई 'प्राथमिक' और 'माध्यमिक' डीएनएस नहीं है? यानी, आप अपने डोमेन रजिस्ट्रार के साथ अपने चार डीएनएस सर्वर आईपी को पंजीकृत करते हैं, उनमें से दो आपके डीएनएस प्रदाताओं में से एक हैं, उनमें से दो डीएनएस सर्वर हैं। इसलिए आप अनिवार्य रूप से दुनिया को अपने चार एनएस रिकॉर्ड दिखा रहे होंगे, जो सभी 'प्राथमिक' हैं। तो, मेरे सवाल का जवाब है, "नहीं"?

domain-name-system  ddos  redundancy 
EMMEL
स्रोत
2
आप अपने DNS प्रदाता के रूप में किसका उपयोग कर रहे हैं? ईमानदारी से, मैं एक अलग प्रदाता पर स्विच करूंगा यदि यह लगातार समस्या है, और यदि प्रदाता इन मुद्दों से बचने में सक्षम होने का कोई संकेत नहीं दिखाता है।
EEAA
मैं उन्हें यहाँ नहीं बुलाना चाहता। : - / वे इस मुद्दे से अलग हैं!
एमिल
10
खैर, एक उच्च-उपलब्ध समाधान प्रदान करना DNS विक्रेता के लिए एक मुख्य योग्यता है।
ईईएए
कुछ हार्डवेयर उत्पाद मौजूद हैं जो यदि आप अपने आप को होस्ट करने में मदद कर सकते हैं, लेकिन हम राय के आधार पर आते हैं, लेकिन आपको अपने विक्रेता को ईमानदारी से बताना चाहिए यदि आप उन्हें पसंद करते हैं, तो हो सकता है कि वे उन्हें अपने ढांचे में निवेश करने के लिए प्रेरित करें यदि वे अपने ग्राहकों की परवाह करते हैं, तो मैं हमेशा यह बताया, यह हमेशा है कि आप अपनी बात कैसे लाते हैं जो महत्वपूर्ण है।
yagmoth555
2
ध्यान दें कि सभी बड़े क्लाउड प्रदाता (amazon, google, microsoft) हर समय इससे निपटते हैं। उन में से किसी एक में प्रवास करना विकल्प 1 होना चाहिए
जिम बी

जवाबों:

25

सबसे पहले, शीर्षक में प्रश्न को संबोधित करते हैं।

क्या जल्दी से प्रतिनिधि करने के लिए एक माध्यमिक प्रबंधित DNS प्रदाता होना संभव है

"त्वरित" और "डेलिगेशन" एक ही वाक्य में एक साथ नहीं होते हैं जब हम डोमेन के शीर्ष के लिए प्रतिनिधिमंडल के बारे में बात कर रहे हैं। शीर्ष स्तर डोमेन (टीएलडी) रजिस्ट्रियों द्वारा संचालित नेमवेर्स आमतौर पर उन रेफरल की सेवा करते हैं जिनके पास टीटीएल दिनों में मापा जाता है। NSआपके सर्वर पर रहने वाले आधिकारिक रिकॉर्ड में टीटीएल रेफरल की जगह लेने वाले टीटीएल कम हो सकते हैं, लेकिन आप पर कोई नियंत्रण नहीं है कि इंटरनेट पर कंपनियां अपने पूरे कैश को छोड़ने या अपने सर्वर को पुनरारंभ करने का विकल्प कितनी बार चुनती हैं।

इसे सरल करते हुए, यह मान लेना सबसे अच्छा है कि इंटरनेट के लिए अपने डोमेन के शीर्ष के लिए नेमसर्वर परिवर्तन लेने में कम से कम 24 घंटे लगने वाले हैं। आपके डोमेन के शीर्ष पर सबसे कमजोर लिंक होने के साथ, आपको सबसे अधिक योजना बनानी होगी।

SINGLE बाहरी प्रबंधित DNS प्रदाता पर निर्भरता कम करने के संदर्भ में कुछ विकल्प क्या हैं?

यह प्रश्न बहुत अधिक हल करने योग्य है, और लोकप्रिय राय के विपरीत इसका उत्तर हमेशा "एक बेहतर प्रदाता ढूंढना" नहीं है। यहां तक ​​कि अगर आप एक कंपनी का उपयोग बहुत अच्छे ट्रैक रिकॉर्ड के साथ करते हैं, तो हाल के वर्षों में यह प्रदर्शित किया गया है कि कोई भी अचूक नहीं है, यहां तक ​​कि नेस्टार भी नहीं।

  • अच्छी प्रतिष्ठा वाली बड़ी, अच्छी तरह से स्थापित डीएनएस होस्टिंग कंपनियों को कुचलने के लिए कठिन है, लेकिन बड़े लक्ष्य। उनके अंधेरे में जाने की संभावना कम है क्योंकि कोई आपके डोमेन को ऑफ़लाइन लेने की कोशिश कर रहा है , लेकिन ऑफ़लाइन होने की अधिक संभावना है क्योंकि वे उन डोमेन को होस्ट करते हैं जो अधिक आकर्षक लक्ष्य हैं। यह अक्सर नहीं हो सकता है, लेकिन यह अभी भी होता है।
  • विपरीत छोर पर, अपने स्वयं के नेमसर्वर को चलाने का अर्थ है कि आप नेमसर्वरों को एक लक्ष्य के साथ साझा करने की संभावना कम है जो आपसे अधिक आकर्षक है, लेकिन इसका अर्थ यह भी है कि यदि कोई व्यक्ति आपको विशेष रूप से लक्षित करने का निर्णय लेता है, तो आपको नीचे ले जाना बहुत आसान है। ।

ज्यादातर लोगों के लिए, विकल्प # 1 सबसे सुरक्षित विकल्प है। आउटेज केवल कुछ वर्षों में एक बार हो सकता है, और यदि कोई हमला होता है, तो यह उन लोगों द्वारा निपटा जाएगा जिनके पास समस्या से निपटने के लिए अधिक अनुभव और संसाधन हैं।

यह हमें अंतिम, सबसे विश्वसनीय विकल्प में लाता है: दो कंपनियों का उपयोग करके एक मिश्रित दृष्टिकोण। यह उन समस्याओं के खिलाफ समाधान प्रदान करता है जो आपके सभी अंडों को एक टोकरी में रखने के साथ आती हैं।

तर्क के लिए, मान लेते हैं कि आपकी वर्तमान DNS होस्टिंग कंपनी के दो नेमसर्वर हैं। यदि आप किसी अन्य कंपनी द्वारा प्रबंधित दो नेमवेरर्स को मिश्रण में जोड़ते हैं, तो आपको ऑफ़लाइन लाने के लिए दो अलग-अलग कंपनियों के खिलाफ DDoS लेता है। यह आपको एक विशालकाय घटना जैसे नेस्टार की गंदगी झपकी लेने से भी बचाएगा। इसके बजाय चुनौती एक मज़बूती से और लगातार अपने DNS ज़ोन के अपडेट को एक से अधिक कंपनियों तक पहुँचाने की राह खोजने की हो जाती है। आमतौर पर इसका मतलब होता है एक इंटरनेट में छिपे हुए मास्टर का सामना करना, जो एक दूरस्थ साझेदार को कुंजी आधारित ज़ोन स्थानांतरण करने की अनुमति देता है। अन्य समाधान निश्चित रूप से संभव हैं, लेकिन मैं व्यक्तिगत रूप से इस आवश्यकता को पूरा करने के लिए डीडीएनएस का उपयोग करने का प्रशंसक नहीं हूं।

DNS सर्वर उपलब्धता के सबसे विश्वसनीय रूप की लागत, दुर्भाग्य से, अधिक जटिलता है। आपकी समस्याएं अब उन समस्याओं के परिणामस्वरूप होने की संभावना है जो इन सर्वरों को सिंक से बाहर होने का कारण बनती हैं। ज़ोन स्थानांतरण को तोड़ने वाले फ़ायरवॉल और रूटिंग परिवर्तन सबसे आम समस्याएं हैं। इससे भी बदतर, अगर एक ज़ोन स्थानांतरण समस्या लंबे समय तक किसी का ध्यान नहीं जाती है, तो आपके SOAरिकॉर्ड द्वारा परिभाषित समाप्ति टाइमर तक पहुंचा जा सकता है और दूरस्थ सर्वर ज़ोन को पूरी तरह से छोड़ देगा। व्यापक निगरानी यहाँ आपका मित्र है।

इस सब को लपेटने के लिए, कई विकल्प हैं, और प्रत्येक में अपनी कमियां हैं। संबंधित ट्रेडऑफ़ के खिलाफ विश्वसनीयता को संतुलित करना आपके ऊपर है।

  • अधिकांश के लिए, यह आपके DNS को एक कंपनी के साथ होस्ट करने के लिए पर्याप्त है जो DDoS हमलों से निपटने के लिए एक महान प्रतिष्ठा है ... हर कुछ वर्षों में एक बार नीचे जाने का जोखिम सादगी के लिए पर्याप्त है।
  • डीडीओएस के हमलों से निपटने के लिए कम लोहे की एक प्रतिष्ठा वाली कंपनी दूसरा सबसे आम विकल्प है, खासकर जब कोई मुफ्त समाधान की तलाश में है। बस याद रखें कि आम तौर पर मुफ्त का मतलब कोई SLA ग्वारनेटी नहीं है, और अगर कोई समस्या होती है तो आपके पास उस कंपनी के साथ तात्कालिकता चलाने का कोई रास्ता नहीं होगा। (या किसी व्यक्ति पर मुकदमा करने के लिए, यदि आपके कानूनी विभाग को उस प्रकार की आवश्यकता है)
  • विडंबना यह है कि कम से कम सामान्य विकल्प, कई DNS होस्टिंग कंपनियों का उपयोग करने का सबसे मजबूत विकल्प है। यह लागत, परिचालन जटिलता और कथित दीर्घकालिक लाभों के कारण है।
  • सबसे खराब, कम से कम मेरी राय में, अपनी खुद की मेजबानी करने का फैसला कर रहा है। कुछ कंपनियों ने डीएनएसओ के हमलों से निपटने के लिए डीएनएस एडमींस (जो आकस्मिक आकस्मिक रूप से उत्पन्न होने की संभावना कम है), अनुभव और संसाधनों का अनुभव किया है, बीसीपी 16 द्वारा उल्लिखित मानदंडों की डिजाइन बैठक में निवेश करने की इच्छा , और अधिकांश स्थितियों में तीनों का संयोजन। यदि आप आधिकारिक सर्वर के साथ खेलना चाहते हैं जो केवल आपकी कंपनी के अंदर का सामना करते हैं, तो यह एक बात है, लेकिन डीएनएस का सामना करना पड़ रहा इंटरनेट पूरी तरह से मोबाइल गेम है।
एंड्रयू बी
स्रोत
नीचे तर्क, कृपया?
एंड्रयू बी
सबसे विश्वसनीय DNS प्रोवाइसर की लागत ... 0 है;) कम से कम मैंने CloudFlare DNS के साथ किसी भी समस्या का अनुभव नहीं किया है।
टॉमटॉम
4
@TomTom यह कुछ साल पहले की बात नहीं है। अधिकांश बड़े नाम इस बिंदु पर कम से कम एक आउटेज के मालिक हैं। (CloudFlare) ( Neustar )
एंड्रयू बी
मान लीजिए कि किसी ने एंड्रयूबी की प्रतिक्रिया के अनुसार दो प्रबंधित प्रदाताओं का उपयोग किया है। क्या मैं सही हूं कि कल्पना के अनुसार यहां कोई 'प्राथमिक' और 'माध्यमिक' डीएनएस नहीं है? यानी, आप अपने डोमेन रजिस्ट्रार के साथ अपने चार डीएनएस सर्वर आईपी को पंजीकृत करते हैं, उनमें से दो आपके डीएनएस प्रदाताओं में से एक हैं, उनमें से दो डीएनएस सर्वर हैं। इसलिए आप अनिवार्य रूप से दुनिया को अपने चार एनएस रिकॉर्ड दिखा रहे होंगे, जो सभी 'प्राथमिक' हैं। - प्राथमिक और माध्यमिक की अवधारणा केवल स्वयं सर्वर सर्वर के बीच मौजूद है। बाहर की दुनिया के लिए कोई भेद नहीं है। गुरु के पास न होना आम बात है NS
एंड्रयू बी
3

एक डीएनएस सेवा प्रदाता को स्पष्ट रूप से ऐसी चीजें करनी चाहिए, और बहुत कुछ जो वे कर सकते हैं, यह सुनिश्चित करने के लिए कि सेवा यथासंभव विश्वसनीय है।

यदि ऐसा प्रतीत होता है कि सेवा प्रदाता के पास अनुचित समस्याएं हैं, तो संभवत: उन्हें पूरी तरह से बदलने पर विचार करना संभव होगा, लेकिन फिर ऐसी कक्षाएं या समस्याएं भी हैं जहां अलग-अलग संचालित सेवाएं स्वयं में सहायक होती हैं।

एक ग्राहक के रूप में, मुझे लगता है कि एक प्रदाता पर निर्भर होने से परे जाने के लिए सबसे स्पष्ट विकल्प संभवतः आपके डोमेन (ओं) को कई DNS सेवा प्रदाताओं से नेमसर्वरों को सौंपने के बजाय आपके दांव को हेज करने के लिए होगा (मामले में प्रतिनिधिमंडल को बदलने के बजाय) मुसीबत का)।

इससे निपटने के लिए क्या आवश्यक है कि काम करने के लिए अनिवार्य रूप से ज़ोन डेटा को इन विभेदकों प्रदाताओं के नेमसर्वरों के साथ सिंक में रखना आवश्यक है।

इसका क्लासिक समाधान केवल मास्टर / स्लेव ज़ोन ट्रांसफ़र फ़ंक्शनलिटी का उपयोग करना होगा जो DNS प्रोटोकॉल का ही हिस्सा है (यह स्पष्ट रूप से उन सेवाओं की आवश्यकता है जो आपको इन सुविधाओं का उपयोग करने की अनुमति देते हैं), या तो सेवा प्रदाताओं में से एक होना मास्टर या संभवतः अपना स्वयं का मास्टर सर्वर चला रहा है।

हाकन लिंडक्विस्ट
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.