Protección DDoS para proveedores de DNS

4

Zerigo , nuestro proveedor de DNS ha reportado que ha estado bajo mucha carga Ataque DDOS en las últimas 24 horas aproximadamente. Teniendo en cuenta la naturaleza distribuida del DNS y su arquitectura que consta de 5 servidores DNS principales, no experimentamos un problema directo de resolución del DNS (dicho esto, también tenemos nuestro propio DNS secundario fuera del zérigo). Sin embargo, no pudimos emitir ningún cambio de DNS y hacer que se propague.

Es difícil quejarse con un proveedor de DNS (o cualquier otro), cuando están siendo atacados y claramente no es su culpa. Sin embargo, el resultado final es que nosotros, como clientes, estamos afectados.

Como van las cosas en estos días, DDOS es probablemente una cuestión de cuándo , no si . Y el DNS es un importante punto de falla potencial para casi cualquier empresa basada en Internet.

¿Qué medidas podrían recomendarse a dichos proveedores para tratar mejor con un DDOS? y ¿cómo podemos, como clientes, evaluar si las medidas fueron efectivamente adoptadas por el proveedor para que podamos tomar una decisión más informada sobre nuestra elección de un proveedor de DNS?

    
pregunta Yoav Aner 24.07.2012 - 09:21
fuente

2 respuestas

13
  

¿Qué medidas podrían recomendarse a dichos proveedores?

Es situacional, depende del servidor y la infraestructura de red existentes, y de la magnitud de los ataques DDoS contra los que quieren protegerse.

Los proveedores de DNS existentes han publicado algunas de sus soluciones:

easyDNS sufrió ataques DDoS importantes en 2005, y desde entonces blogueó sobre lo que han hecho para ser más resistentes contra DDoS . Su solución incluye el uso de clústeres de DNS de Anycast y la conectividad de proveedores como Prolexic que brindan servicios de mitigación DDoS. Vale la pena leer su publicación del blog e incluye consejos sobre cómo los clientes pueden ayudarse a sí mismos.

Amazon Route 53 también utiliza Anycast, y sirve DNS de más de 30 ubicaciones en todo el mundo . El gran tamaño de su infraestructura ayuda.

Además, Amazon Route 53 está construido intencionalmente con un gran espacio de direcciones para su infraestructura. Por ejemplo, una búsqueda del servidor de nombres para un cliente de Route 53 podría tener este aspecto:

ns-154.awsdns-19.com.
ns-997.awsdns-60.net.
ns-1334.awsdns-38.org.
ns-1660.awsdns-15.co.uk.

AFAIK cada uno de los nombres de servidor de nombres anteriores apunta a un clúster de servidores de Anycast'ed. Esto puede ayudar a contener ataques más simples a un subconjunto de clientes de Amazon, y le da a Amazon más opciones para mitigar un ataque.

  

evaluar si las medidas fueron efectivamente adoptadas por el proveedor

Esa es una buena pregunta. Proveedores de empresas como UltraDNS (Neustar) están supuestamente dispuestos a proporcionar NDA y luego discutir los detalles de su implementación. Pero, de manera realista, los proveedores más económicos no gastarán mucho tiempo en explicarle su infraestructura. Puede leer sus blogs y tal vez hacerles algunas preguntas relevantes antes de la venta sobre la mitigación de DDoS por correo electrónico, pero eso es todo.

Para empresas más pequeñas basadas en Internet, que no tienen muchos recursos para DNS, un plan razonable podría ser:

  • Dado que el hospedaje de DNS puro se puede obtener por unos pocos dólares al mes, use dos proveedores de DNS juntos para ser resistentes frente a una falla del proveedor. (NB: si necesita funciones exclusivas como el enrutamiento basado en la latencia de Route 53, esto no es posible.)
  • Prefiera a los proveedores de DNS que han confirmado públicamente que tienen una planificación de mitigación de DDoS, por ejemplo al publicar un blog al respecto, o que responden razonablemente a los correos de preventa sobre el tema.
respondido por el Jesper Mortensen 24.07.2012 - 14:07
fuente
2

En consonancia con los temas gemelos de múltiples proveedores de DNS y al hacer que Route53 sea más compatible en ese tipo de configuración, tenemos easyRoute53 (por mi parte significar más en easyDNS - yo fui el autor de esa publicación del blog anteriormente citada sobre estrategias para hacer frente a los ataques DDoS)

Entonces, con nuestra capa de enlace a Route53 de Amazon, puede mantener el DNS sincronizado en su sistema y en nuestro sistema. Entre los dos que podrían ponerte en más de 50 servidores de nombres en todo el mundo.

    
respondido por el Mark Jeftovic 18.09.2012 - 04:34
fuente

Lea otras preguntas en las etiquetas