Protezione DDoS per i provider DNS

4

Zerigo , il nostro provider DNS ha segnalato di essere stato sotto pesante Attacco DDOS nelle ultime 24 ore circa. Considerando la natura distribuita del DNS e la loro architettura composta da 5 server DNS principali, non abbiamo riscontrato un problema di risoluzione DNS diretto (detto anche il nostro DNS secondario esterno a zerigo). Tuttavia, non è stato possibile emettere alcuna modifica DNS e farla propagare.

È difficile lamentarsi con un provider DNS (o qualsiasi altro), quando vengono attaccati e chiaramente non è colpa loro. Tuttavia, il risultato finale è che noi, come clienti, siamo interessati.

Come vanno le cose in questi giorni, DDOS è probabilmente una domanda di quando , non se . E il DNS è un importante punto di errore potenziale per quasi tutte le società basate su Internet.

Quali misure potrebbero essere raccomandate a tali fornitori per gestire al meglio un DDOS? e in che modo, come clienti, valutare se le misure sono state effettivamente adottate dal fornitore in modo da poter prendere una decisione più consapevole sulla nostra scelta di un provider DNS?

    
posta Yoav Aner 24.07.2012 - 09:21
fonte

2 risposte

13

What measures could be recommended to such providers

È situazionale, dipende dal server esistente e dall'infrastruttura di rete, e da quale entità di attacco DDoS sta cercando di proteggere.

I provider DNS esistenti hanno pubblicizzato alcune delle loro soluzioni:

easyDNS ha subito gravi attacchi DDoS nel 2005 e da allora bloggato su ciò che hanno fatto per diventare più resilienti contro DDoS . La loro soluzione include l'uso di cluster DNS Anycast e la connettività da provider come Prolexic che forniscono servizi di mitigazione DDoS. Il loro post sul blog merita una lettura e include suggerimenti su come i clienti possono aiutarsi da soli.

Amazon Route 53 utilizza anche Anycast e serve DNS da oltre 30 sedi in tutto il mondo . La dimensione della loro infrastruttura aiuta.

Inoltre, Amazon Route 53 è intenzionalmente costruito con uno spazio di indirizzi ampio per la loro infrastruttura. Ad esempio, la ricerca di un server dei nomi per un cliente Route 53 potrebbe essere simile a questa:

ns-154.awsdns-19.com.
ns-997.awsdns-60.net.
ns-1334.awsdns-38.org.
ns-1660.awsdns-15.co.uk.

AFAIK ognuno dei precedenti nomi dei server dei nomi punta a un cluster di server Anycast. Questo può aiutare a contenere attacchi più semplici a un sottoinsieme dei clienti di Amazon e offre ad Amazon più opzioni per mitigare un attacco.

evaluate whether measures were effectively adopted by the provider

Questa è una buona domanda. I provider aziendali come UltraDNS (Neustar) sono presumibilmente disposti a fornire le NDA e quindi discutere specifiche della loro implementazione. Ma realisticamente, i fornitori meno costosi non passeranno molto tempo a spiegarti la loro infrastruttura. Puoi leggere i loro blog e magari chiedere loro alcune importanti domande pre-vendita sulla mitigazione di DDoS via email, ma questo è tutto.

Per piccole aziende basate su Internet, che non hanno molte risorse per il DNS, un piano ragionevole potrebbe essere:

  • Dato che si può avere un hosting DNS puro per pochi dollari al mese, usa due provider DNS insieme per essere resilienti contro un errore del provider. (NB: se hai bisogno di funzioni proprietarie come il routing basato sulla latenza di Route 53, allora questo non è possibile.)
  • Preferisci i provider DNS che hanno confermato pubblicamente la pianificazione della mitigazione DDoS, ad esempio bloggando su di esso o rispondendo ragionevolmente alle e-mail prevendita sull'argomento.
risposta data 24.07.2012 - 14:07
fonte
2

In linea con i temi gemelli di più provider DNS e rendendo Route53 più compatibile in quel tipo di configurazione, abbiamo easyRoute53 (da noi significa su easyDNS - Sono stato l'autore di quel precedente post sul blog citato sulle strategie per affrontare gli attacchi DDoS)

Quindi con il nostro livello di collegamento a Route53 di Amazon è possibile mantenere il DNS sincronizzato sul proprio sistema e sul nostro sistema. Tra i due che potrebbero metterti su oltre 50 nameserver in tutto il mondo.

    
risposta data 18.09.2012 - 04:34
fonte

Leggi altre domande sui tag