La soluzione all'attacco Dyn DNS è probabilmente dotata di servizi DNS alternativi, giusto? Se i server DNS del nostro ISP vengono colpiti con DDOS, posso semplicemente attivare il mio DNS alternativo, che è ospitato da noi o da un altro provider ISP, e le persone saranno in grado di risolvere i nomi di dominio che possiedo?
The solution to the Dyn DNS attack is probably having alternate DNS services, right?
Avere più provider DNS che servono record DNS per te è un passo ragionevole da fare per evitare di essere influenzato da un DDoS. La teoria è che se più fornitori stanno servendo i tuoi record DNS, è meno probabile che un DDoS contro un singolo provider sia sufficiente per avere un impatto sul tuo dominio.
If our ISP's DNS servers are hit with DDOS, can I just fire up my alternate DNS, which is either hosted by us or another ISP provider, and everything will be fine?
Bene, non è così che funziona, esattamente.
I Name Server che le persone useranno per cercare i nomi nel tuo dominio sono elencati nel TLD root server (se sei "esempio.com", i server radice "com" hanno quell'informazione). Questi record vengono aggiornati regolarmente, ma non immediatamente; ci vuole 24-48 ore per gli aggiornamenti dei server dei nomi da propogare attraverso le radici.
Quindi non è possibile "attivare DNS alternativo" in risposta a un attacco, a causa del ritardo. I tuoi server DNS alternativi devono essere attivi, in esecuzione e operativi prima dell'attacco.
Dopo aver configurato più provider, se un DDoS colpisce uno di essi (come Dyn ), le probabilità sono un'altra (ad esempio < a href="https://www.neustar.biz/security/dns-services"> Neustar UltraDNS o Akamai Fast DNS ) non verrebbe colpito allo stesso tempo. Finché alcuni dei server che hai elencato come autorevoli sono reattivi, i tuoi clienti saranno in grado di cercare i tuoi nomi e raggiungere il tuo dominio.
Costerà di più per eseguire una configurazione ridondante come questa. Potrebbe costare meno di perdere diverse ore di attività, a seconda della tua attività.
Considera cosa ha fatto Akamai quando hanno osservato il diluvio di traffico sul sito di Brian Krebs. Hanno modificato i record DNS in modo che il dominio sia stato risolto su 127.0.0.1 (IP privato).
Nel contesto del problema DynDNS, tutti i dispositivi che attacca eseguono il ciclo del traffico verso le proprie interfacce. Questo ha lo svantaggio che il DDoS continui almeno fino a quando il record DNS viene memorizzato nella cache su tutti gli endpoint di attacco. Supponendo che oggigiorno la maggior parte dei siti web abbia un DNS TTL di 60, questo non sembra troppo male.
Leggi altre domande sui tag dns