La solución al ataque Dyn DNS es probablemente tener servicios DNS alternativos, ¿verdad? Si los servidores DNS de nuestro ISP se ven afectados con DDOS, ¿puedo simplemente activar mi DNS alternativo, el cual es alojado por nosotros u otro proveedor de ISP, y las personas podrán resolver los nombres de dominio que poseo?
La solución al ataque Dyn DNS es probablemente tener DNS alternativo servicios, ¿verdad?
Tener varios proveedores de DNS sirviendo registros de DNS para usted es un paso razonable para evitar ser afectado por un DDoS. La teoría es que si varios proveedores están sirviendo sus registros de DNS, es menos probable que una DDoS contra un solo proveedor sea suficiente para impactar su dominio.
Si los servidores DNS de nuestro ISP se ven afectados con DDOS, ¿puedo simplemente encender mi DNS alternativo, alojado por nosotros u otro proveedor de ISP, y todo estará bien?
Bueno, no es así exactamente como funciona.
Los servidores de nombres que las personas usarán para buscar nombres en su dominio se enumeran en los TLD servidores raíz (si usted es "example.com", los servidores raíz "com" tienen esa información). Esos registros se actualizan regularmente, pero no inmediatamente; toma 24-48 horas para que las actualizaciones del servidor de nombres propaguen a través de las raíces.
Por lo tanto, no puede "activar DNS alternativo" en respuesta a un ataque, debido a la demora involucrada. Sus servidores DNS alternativos deben estar activos, en funcionamiento y operativos antes del ataque.
Una vez que haya configurado varios proveedores, si un DDoS golpea a uno de ellos (como Dyn ), es probable que haya otro (por ejemplo, < a href="https://www.neustar.biz/security/dns-services"> Neustar UltraDNS o Akamai Fast DNS ) no se vería afectado al mismo tiempo. Siempre y cuando algunos de los servidores que has enumerado como autoritativos sean receptivos, tus clientes podrán buscar tus nombres y llegar a tu dominio.
Costará más ejecutar una configuración redundante como esta. Podría costar menos que perder varias horas de negocio, dependiendo de su negocio.
Considere lo que hizo Akamai cuando observó el diluvio de tráfico en el sitio de Brian Krebs. Cambiaron los registros DNS para que el dominio se resolviera a 127.0.0.1 (IP privada).
En el contexto del problema DynDNS, todos los dispositivos atacantes envían el tráfico a sus propias interfaces. Esto tiene el inconveniente de que la DDoS continuará al menos mientras el registro de DNS se almacene en caché en todos los puntos finales atacantes. Suponiendo que la mayoría de los sitios web tienen un DNS TTL de los 60 en la actualidad, esto no suena tan mal.
Lea otras preguntas en las etiquetas dns