Protección DDoS para proveedores de DNS

  

¿Qué medidas podrían recomendarse a dichos proveedores?

Es situacional, depende del servidor y la infraestructura de red existentes, y de la magnitud de los ataques DDoS contra los que quieren protegerse.

Los proveedores de DNS existentes han publicado algunas de sus soluciones:

easyDNS sufrió ataques DDoS importantes en 2005, y desde entonces blogueó sobre lo que han hecho para ser más resistentes contra DDoS . Su solución incluye el uso de clústeres de DNS de Anycast y la conectividad de proveedores como Prolexic que brindan servicios de mitigación DDoS. Vale la pena leer su publicación del blog e incluye consejos sobre cómo los clientes pueden ayudarse a sí mismos.

Amazon Route 53 también utiliza Anycast, y sirve DNS de más de 30 ubicaciones en todo el mundo . El gran tamaño de su infraestructura ayuda.

Además, Amazon Route 53 está construido intencionalmente con un gran espacio de direcciones para su infraestructura. Por ejemplo, una búsqueda del servidor de nombres para un cliente de Route 53 podría tener este aspecto:

ns-154.awsdns-19.com.
ns-997.awsdns-60.net.
ns-1334.awsdns-38.org.
ns-1660.awsdns-15.co.uk.

AFAIK cada uno de los nombres de servidor de nombres anteriores apunta a un clúster de servidores de Anycast'ed. Esto puede ayudar a contener ataques más simples a un subconjunto de clientes de Amazon, y le da a Amazon más opciones para mitigar un ataque.

  

evaluar si las medidas fueron efectivamente adoptadas por el proveedor

Esa es una buena pregunta. Proveedores de empresas como UltraDNS (Neustar) están supuestamente dispuestos a proporcionar NDA y luego discutir los detalles de su implementación. Pero, de manera realista, los proveedores más económicos no gastarán mucho tiempo en explicarle su infraestructura. Puede leer sus blogs y tal vez hacerles algunas preguntas relevantes antes de la venta sobre la mitigación de DDoS por correo electrónico, pero eso es todo.

Para empresas más pequeñas basadas en Internet, que no tienen muchos recursos para DNS, un plan razonable podría ser:

• Dado que el hospedaje de DNS puro se puede obtener por unos pocos dólares al mes, use dos proveedores de DNS juntos para ser resistentes frente a una falla del proveedor. (NB: si necesita funciones exclusivas como el enrutamiento basado en la latencia de Route 53, esto no es posible.)
• Prefiera a los proveedores de DNS que han confirmado públicamente que tienen una planificación de mitigación de DDoS, por ejemplo al publicar un blog al respecto, o que responden razonablemente a los correos de preventa sobre el tema.

En consonancia con los temas gemelos de múltiples proveedores de DNS y al hacer que Route53 sea más compatible en ese tipo de configuración, tenemos easyRoute53 (por mi parte significar más en easyDNS - yo fui el autor de esa publicación del blog anteriormente citada sobre estrategias para hacer frente a los ataques DDoS)

Entonces, con nuestra capa de enlace a Route53 de Amazon, puede mantener el DNS sincronizado en su sistema y en nuestro sistema. Entre los dos que podrían ponerte en más de 50 servidores de nombres en todo el mundo.