Question Est-il possible de déléguer rapidement un fournisseur DNS géré secondaire lorsque des attaques DDOS sur notre fournisseur DNS externe * principal * se produisent?


Ainsi, notre fournisseur DNS subit de temps à autre des attaques DDOS sur ses systèmes, ce qui provoque la panne de nos sites Web frontaux.

Quelles sont les options en termes de réduction de la dépendance à un SEUL fournisseur de DNS géré externe? Ma première pensée concernait l'utilisation de durée de vie moins longue et d'autres types de durée de vie (SOL) SOA, mais j'ai l'impression qu'ils affectent plus que tout le comportement du serveur DNS secondaire.

En d'autres termes, si vous rencontrez une panne DNS (due à DDOS, dans cet exemple) qui dure plus d'une heure, disons, déléguez tout à un fournisseur secondaire.

Que font les gens en ce qui concerne leur DNS externe et l’utilisation d’un autre fournisseur de DNS géré comme solution de secours?

Note à nos modérateurs: cette question est bien plus spécifique que les questions "" Atténuation générique des attaques DDOS ".

EDIT: 2016-05-18 (Quelques jours plus tard): Merci d’abord, AndrewB pour votre excellente réponse. J'ai quelques informations supplémentaires à ajouter ici:

Nous avons donc contacté un autre fournisseur de services DNS et discuté avec eux. Après avoir réfléchi et fait un peu plus de recherche, c'est en réalité beaucoup plus compliqué que je ne le pensais avec deux fournisseurs de DNS. Ce n'est pas une nouvelle réponse, c'est en fait plus de viande / info à la question! Voici ma compréhension:

- Un grand nombre de ces fournisseurs DNS offrent des fonctionnalités propriétaires telles que le "DNS intelligent", par exemple l'équilibrage de charge DNS avec keepalives, des chaînes logiques pour configurer la manière dont les réponses sont restituées (en fonction de l'emplacement géographique, de la pondération des enregistrements, etc.). . Le premier défi consiste donc à garder les deux fournisseurs gérés synchronisés. Et les deux fournisseurs gérés vont devoir rester synchronisés par le client, qui doit automatiser l’interaction avec ses API. Ce n’est pas sorcier, mais un coût opérationnel permanent qui peut être douloureux (compte tenu des changements apportés des deux côtés en termes de fonctionnalités et d’API).

- Mais voici un ajout à ma question. Supposons que quelqu'un utilise effectivement deux fournisseurs gérés, conformément à la réponse d'AndrewB. Ai-je raison de dire qu'il n'y a pas de DNS "primaire" et "secondaire" dans les spécifications? C'est-à-dire que vous enregistrez vos quatre adresses IP de serveur DNS auprès de votre registraire de domaine. Deux d'entre eux sont l'un de vos fournisseurs DNS, deux d'entre eux sont des serveurs DNS de l'autre. Donc, vous ne feriez que montrer au monde vos quatre disques de NS, qui sont tous «primaires». La réponse à ma question est-elle "Non"?


12
2018-05-16 16:19


origine


Qui utilisez-vous comme fournisseur DNS? Honnêtement, je changerais de fournisseur s'il s'agissait d'un problème fréquent et si le fournisseur ne montrait aucun signe de capacité à éviter ces problèmes. - EEAA
Je ne veux pas les appeler ici. : - / Ils sont fantastiques en dehors de ce numéro! - Emmel
Eh bien, fournir une solution hautement disponible est une compétence essentielle pour un fournisseur de DNS. - EEAA
Il existe certains matériels pouvant vous aider si vous hébergez vous-même, mais nous tombons dans l'opinion, mais vous devez dire honnêtement à votre fournisseur si vous les aimez, peut-être que cela les poussera à investir dans leur structure s'ils se soucient de leurs clients. dit, c’est toujours la façon dont vous apportez votre point qui est important. - yagmoth555♦
Notez que tous les grands fournisseurs de cloud (amazon, google, microsoft) traitent de cela tout le temps. Migration vers l'un de ceux-ci devrait être l'option 1 - Jim B


Réponses:


Tout d'abord, abordons la question dans le titre.

Est-il possible d'avoir un fournisseur DNS géré secondaire à déléguer rapidement à

"Rapide" et "délégation" n'appartiennent pas à la même phrase lorsque l'on parle de délégation pour le sommet du domaine. Les serveurs de noms exploités par les registres de domaine de premier niveau (TLD) font généralement office de référence pour les renvois dont la durée de vie est mesurée en jours. L'autorité NS Les enregistrements stockés sur vos serveurs peuvent avoir des valeurs de durée de vie moins élevées qui finissent par remplacer les références TLD, mais vous n'avez aucun contrôle sur la fréquence à laquelle les entreprises Internet décident de supprimer l'ensemble de leur cache ou de redémarrer leurs serveurs.

Pour simplifier, supposons qu'il faut au moins 24 heures à Internet pour obtenir un changement de serveur de noms pour le sommet de votre domaine. Le sommet de votre domaine étant le maillon le plus faible, vous devez planifier au mieux.

Quelles sont les options en termes de réduction de la dépendance à un SEUL fournisseur de DNS géré externe?

Cette question est beaucoup plus facile à résoudre et, contrairement à l'opinion populaire, la réponse n'est pas toujours "trouver un meilleur fournisseur". Même si vous utilisez une entreprise qui a de très bons antécédents, les dernières années ont montré que personne n’est infaillible, pas même Neustar.

  • Les grandes entreprises d’hébergement DNS bien établies et réputées sont plus difficiles à écraser, mais des cibles plus grandes. Ils sont moins susceptibles de devenir sombres parce que quelqu'un essaie de prendre votre domaine hors connexion, mais plus susceptible d'être déconnecté car ils hébergent des domaines qui sont des cibles plus attrayantes. Cela peut ne pas arriver souvent, mais cela arrive quand même.
  • À l'opposé, faire fonctionner vos propres serveurs de noms signifie que vous êtes moins susceptible de partager des serveurs de noms avec une cible plus attrayante que vous, mais cela signifie également que vous êtes beaucoup plus facile à supprimer si quelqu'un décide de vous cibler spécifiquement. .

Pour la plupart des gens, l'option n ° 1 est l'option la plus sûre. Une panne ne peut se produire que toutes les quelques années, et si une attaque se produit, elle sera traitée par des personnes plus expérimentées et disposant de plus de ressources pour traiter le problème.

Cela nous amène à l’option finale la plus fiable: une approche mixte utilisant deux sociétés. Cela permet de résister aux problèmes liés à la présence de tous vos œufs dans le même panier.

Par souci d'argumentation, supposons que votre société d'hébergement DNS actuelle possède deux serveurs de noms. Si vous ajoutez deux serveurs de noms gérés par une autre société, il faut un DDoS contre deux sociétés différentes pour vous mettre hors ligne. Cela vous protégera même du rare événement d'un géant comme Neustar faisant une sieste en terre battue. Le défi consiste plutôt à trouver un moyen de fournir de manière fiable et cohérente les mises à jour de vos zones DNS à plusieurs entreprises. Cela signifie généralement que le maître caché face à Internet permet à un partenaire distant d’effectuer des transferts de zone par clé. D'autres solutions sont certes possibles, mais personnellement, je ne suis pas partisan d'utiliser DDNS pour répondre à cette exigence.

Le coût de la forme la plus fiable de disponibilité du serveur DNS est, malheureusement, plus complexe. Vos problèmes sont maintenant beaucoup plus susceptibles de résulter de problèmes qui entraînent une désynchronisation de ces serveurs. Les modifications les plus courantes du pare-feu et du routage qui interrompent les transferts de zone. Pire, si un problème de transfert de zone passe inaperçu pendant une longue période, le délai d’expiration défini par votre SOA l’enregistrement peut être atteint et les serveurs distants abandonneront complètement la zone. Une surveillance étendue est votre ami ici.


Pour résumer tout cela, il existe un certain nombre d'options et chacune a ses inconvénients. C'est à vous de trouver un équilibre entre fiabilité et compromis.

  • Pour la plupart d'entre eux, il suffit que votre DNS soit hébergé par une entreprise réputée pour son traitement des attaques par DDoS ... le risque de tomber en panne toutes les quelques années suffit à la simplicité.
  • Une entreprise moins réputée pour ses attaques DDoS est la deuxième option la plus courante, en particulier lorsque l’on recherche des solutions gratuites. Rappelez-vous simplement que libre signifie généralement qu’aucun contrat de niveau de service n’est garanti, et qu’en cas de problème, vous ne disposerez d’aucun moyen de renforcer l’urgence avec cette société. (ou une personne à poursuivre, si votre service juridique exige ce genre de chose)
  • Ironiquement, l'option la moins commune est l'option la plus robuste consistant à utiliser plusieurs sociétés d'hébergement DNS. Cela est dû aux coûts, à la complexité opérationnelle et aux avantages perçus à long terme.
  • Le pire, du moins à mon avis, décide d’accueillir le vôtre. Peu de sociétés ont des administrateurs DNS (moins susceptibles de créer des pannes accidentelles), de l’expérience et des ressources pour faire face aux attaques DDoS, disposés à investir dans une conception répondant aux critères énoncés par BCP 16et, dans la plupart des scénarios, une combinaison des trois. Si vous voulez jouer avec des serveurs faisant autorité qui ne font face qu'à l'intérieur de votre entreprise, c'est une chose, mais le DNS face à Internet est un jeu de balle complètement différent.

24
2018-05-16 17:30



Raisonnement par opposition, s'il vous plaît? - Andrew B
Le coût du fournisseur de services DNS le plus fiable ... est de 0;). Au moins, je n'ai jamais rencontré de problème avec DNS CloudFlare. - TomTom
@TomTom Ce n'est pas il y a quelques années. La plupart des grands noms ont au moins une panne à ce stade. (Cloudflare) (Neustar) - Andrew B
Supposons que quelqu'un utilise effectivement deux fournisseurs gérés, conformément à la réponse d'AndrewB. Ai-je raison de dire qu'il n'y a pas de DNS "primaire" et "secondaire" dans les spécifications? C'est-à-dire que vous enregistrez vos quatre adresses IP de serveur DNS auprès de votre registraire de domaine. Deux d'entre eux sont l'un de vos fournisseurs DNS, deux d'entre eux sont des serveurs DNS de l'autre. Donc, vous ne feriez que montrer au monde vos quatre disques de NS, qui sont tous «primaires». - Le concept de primaire et secondaire n'existe qu'entre les serveurs d'authentification eux-mêmes. Pour le monde extérieur, il n'y a pas de distinction. Il est courant que le maître n’ait pas de NS. - Andrew B


Il est clair qu'un fournisseur de services DNS doit faire, et beaucoup plus, ce qu'il pourrait faire pour s'assurer que le service est aussi fiable que possible.

S'il semble que le fournisseur de services rencontre des problèmes déraisonnables, il serait probablement logique d'envisager de les remplacer, mais il existe également des classes ou des problèmes pour lesquels le fait de disposer de services gérés séparément est utile en soi.

En tant que client, je pense que l'option la plus évidente d'aller au-delà du recours à un fournisseur serait probablement de protéger vos paris en faisant déléguer votre (vos) domaine (s) à des serveurs de noms provenant de plusieurs fournisseurs de services DNS à tout moment (plutôt que de modifier la délégation au cas par cas). de problème).

Pour que cela fonctionne, il faut simplement que les données de zone soient synchronisées entre les serveurs de noms de ces différents fournisseurs.

La solution classique consiste simplement à utiliser la fonctionnalité de transfert de zone maître / esclave qui fait partie du protocole DNS lui-même (cela nécessite évidemment des services vous permettant d’utiliser ces fonctionnalités), soit en ayant l’un des fournisseurs de services à la place. maître ou éventuellement votre propre serveur maître.


3
2018-05-16 17:33