The solution to the Dyn DNS attack is probably having alternate DNS
services, right?
Avere più provider DNS che servono record DNS per te è un passo ragionevole da fare per evitare di essere influenzato da un DDoS. La teoria è che se più fornitori stanno servendo i tuoi record DNS, è meno probabile che un DDoS contro un singolo provider sia sufficiente per avere un impatto sul tuo dominio.
If our ISP's DNS servers are hit with DDOS, can I just fire up my
alternate DNS, which is either hosted by us or another ISP provider,
and everything will be fine?
Bene, non è così che funziona, esattamente.
I Name Server che le persone useranno per cercare i nomi nel tuo dominio sono elencati nel TLD root server (se sei "esempio.com", i server radice "com" hanno quell'informazione). Questi record vengono aggiornati regolarmente, ma non immediatamente; ci vuole 24-48 ore per gli aggiornamenti dei server dei nomi da propogare attraverso le radici.
Quindi non è possibile "attivare DNS alternativo" in risposta a un attacco, a causa del ritardo. I tuoi server DNS alternativi devono essere attivi, in esecuzione e operativi prima dell'attacco.
Dopo aver configurato più provider, se un DDoS colpisce uno di essi (come Dyn ), le probabilità sono un'altra (ad esempio < a href="https://www.neustar.biz/security/dns-services"> Neustar UltraDNS o Akamai Fast DNS ) non verrebbe colpito allo stesso tempo. Finché alcuni dei server che hai elencato come autorevoli sono reattivi, i tuoi clienti saranno in grado di cercare i tuoi nomi e raggiungere il tuo dominio.
Costerà di più per eseguire una configurazione ridondante come questa. Potrebbe costare meno di perdere diverse ore di attività, a seconda della tua attività.