What measures could be recommended to such providers
È situazionale, dipende dal server esistente e dall'infrastruttura di rete, e da quale entità di attacco DDoS sta cercando di proteggere.
I provider DNS esistenti hanno pubblicizzato alcune delle loro soluzioni:
easyDNS ha subito gravi attacchi DDoS nel 2005 e da allora bloggato su ciò che hanno fatto per diventare più resilienti contro DDoS . La loro soluzione include l'uso di cluster DNS Anycast e la connettività da provider come Prolexic che forniscono servizi di mitigazione DDoS. Il loro post sul blog merita una lettura e include suggerimenti su come i clienti possono aiutarsi da soli.
Amazon Route 53 utilizza anche Anycast e serve DNS da oltre 30 sedi in tutto il mondo . La dimensione della loro infrastruttura aiuta.
Inoltre, Amazon Route 53 è intenzionalmente costruito con uno spazio di indirizzi ampio per la loro infrastruttura. Ad esempio, la ricerca di un server dei nomi per un cliente Route 53 potrebbe essere simile a questa:
ns-154.awsdns-19.com.
ns-997.awsdns-60.net.
ns-1334.awsdns-38.org.
ns-1660.awsdns-15.co.uk.
AFAIK ognuno dei precedenti nomi dei server dei nomi punta a un cluster di server Anycast. Questo può aiutare a contenere attacchi più semplici a un sottoinsieme dei clienti di Amazon e offre ad Amazon più opzioni per mitigare un attacco.
evaluate whether measures were effectively adopted by the provider
Questa è una buona domanda. I provider aziendali come UltraDNS (Neustar) sono presumibilmente disposti a fornire le NDA e quindi discutere specifiche della loro implementazione. Ma realisticamente, i fornitori meno costosi non passeranno molto tempo a spiegarti la loro infrastruttura. Puoi leggere i loro blog e magari chiedere loro alcune importanti domande pre-vendita sulla mitigazione di DDoS via email, ma questo è tutto.
Per piccole aziende basate su Internet, che non hanno molte risorse per il DNS, un piano ragionevole potrebbe essere:
- Dato che si può avere un hosting DNS puro per pochi dollari al mese, usa due provider DNS insieme per essere resilienti contro un errore del provider. (NB: se hai bisogno di funzioni proprietarie come il routing basato sulla latenza di Route 53, allora questo non è possibile.)
- Preferisci i provider DNS che hanno confermato pubblicamente la pianificazione della mitigazione DDoS, ad esempio bloggando su di esso o rispondendo ragionevolmente alle e-mail prevendita sull'argomento.