É possível ter um provedor de DNS gerenciado secundário para delegar rapidamente quando ocorre um ataque DDOS no nosso provedor de DNS externo * primário *?

Portanto, nosso provedor de DNS, de vez em quando, sofre ataques de DDOS em seus sistemas, o que faz com que nossos sites de frente sejam desativados.

Quais são algumas opções em termos de redução de dependência em um único provedor de DNS gerenciado externo? Meu primeiro pensamento foi usar TTL com vencimento mais baixo e outros TTA SOA, mas parece que eles afetam o comportamento do servidor DNS secundário mais do que qualquer outra coisa.

ou seja, se você tiver uma interrupção no DNS (devido ao DDOS, neste exemplo) que dura mais de, digamos, 1 hora, delegar tudo a um provedor secundário.

O que as pessoas fazem por aí quando se trata de seu DNS externo e usando outro provedor de DNS gerenciado como backup?

Nota aos nossos moderadores amigáveis: esta pergunta é muito mais específica do que as perguntas genéricas "" atenuam o ataque DDOS "por aí.

EDIT: 18-05-2016 (alguns dias depois): primeiro, obrigado AndrewB por sua excelente resposta. Tenho mais algumas informações para adicionar aqui:

Por isso, procuramos outro provedor de serviços DNS e conversamos com eles. Depois de pensar e fazer um pouco mais de pesquisa, na verdade é MUITO mais complicado do que eu pensava em dois provedores de DNS. Esta não é uma resposta nova, na verdade é mais carne / informação para a pergunta! Aqui está o meu entendimento:

- Muitos desses provedores de DNS oferecem recursos proprietários como 'DNS inteligente', por exemplo, balanceamento de carga de DNS com keepalives, cadeias lógicas para configurar como as respostas são devolvidas (com base na localização geográfica, vários pesos nos registros etc.) . Portanto, o primeiro desafio é manter os dois provedores gerenciados sincronizados . E os dois provedores gerenciados precisarão ser mantidos em sincronia pelo cliente, que precisará automatizar a interação com suas APIs. Não é ciência de foguetes, mas um custo operacional contínuo que pode ser doloroso (com as alterações de ambos os lados em termos de recursos e APIs).

- Mas aqui está uma adição à minha pergunta. Digamos que alguém usou dois provedores gerenciados conforme a resposta de AndrewB. Estou certo de que não há DNS 'primário' e 'secundário' aqui, conforme as especificações? Ou seja, você registra seus quatro IPs de servidor DNS no seu registrador de domínio, dois deles são um dos seus provedores DNS, dois deles são servidores DNS do outro. Então, você basicamente mostraria ao mundo seus quatro registros NS, todos eles 'primários'. Então, a resposta para minha pergunta é "Não"?

Primeiro, vamos abordar a questão no título.

É possível ter um provedor DNS gerenciado secundário para delegar rapidamente

"Rápido" e "delegação" não pertencem à mesma frase quando falamos sobre a delegação para a parte superior do domínio. Os servidores de nomes operados pelos registros de domínio de nível superior (TLD) geralmente oferecem referências que têm TTLs medidos em dias. Os NSregistros oficiais que residem em seus servidores podem ter TTLs mais baixos que acabam substituindo as referências de TLDs, mas você não tem controle sobre a frequência com que as empresas na Internet optam por descartar todo o cache ou reiniciar seus servidores.

Simplificando isso, é melhor supor que levará pelo menos 24 horas para a Internet receber uma alteração no servidor de nomes na parte superior do seu domínio. Com a parte superior do seu domínio sendo o elo mais fraco, é isso que você precisa planejar mais.

Quais são algumas opções em termos de redução de dependência em um único provedor de DNS gerenciado externo?

Essa questão é muito mais solucionável e, ao contrário da opinião popular, a resposta nem sempre é "encontre um fornecedor melhor". Mesmo se você usar uma empresa com um histórico muito bom, os últimos anos demonstraram que ninguém é infalível, nem mesmo a Neustar.

• Empresas de hospedagem de DNS grandes e bem estabelecidas, com boa reputação, são mais difíceis de esmagar, mas são alvos maiores. É menos provável que oculte porque alguém está tentando colocar seu domínio offline, mas é mais provável que fique offline porque hospeda domínios que são destinos mais atraentes. Pode não acontecer com frequência, mas ainda acontece.
• No extremo oposto, executar seus próprios servidores de nomes significa que é menos provável que você compartilhe servidores de nomes com um destino mais atraente do que você, mas também significa que você é muito mais fácil de derrubar se alguém decidir direcioná-lo especificamente .

Para a maioria das pessoas, a opção 1 é a opção mais segura. Uma interrupção pode ocorrer apenas uma vez a cada poucos anos e, se ocorrer um ataque, será tratada por pessoas com mais experiência e recursos para lidar com o problema.

Isso nos leva à opção final e mais confiável: uma abordagem mista usando duas empresas. Isso fornece resiliência contra os problemas que surgem com todos os seus ovos em uma cesta.

Para o argumento, vamos supor que sua empresa de hospedagem DNS atual tenha dois servidores de nomes. Se você adicionar dois servidores de nomes gerenciados por outra empresa ao mix, será necessário um DDoS em duas empresas diferentes para deixá-lo offline. Isso irá protegê-lo até do evento raro de um gigante como Neustar tirar uma soneca. Em vez disso, o desafio é encontrar uma maneira de fornecer atualizações confiáveis ​​e consistentes para suas zonas DNS para mais de uma empresa. Normalmente, isso significa ter um mestre oculto na Internet que permite que um parceiro remoto realize transferências de zona com base em chaves. Outras soluções são certamente possíveis, mas pessoalmente não sou fã do uso do DDNS para atender a esse requisito.

O custo da forma mais confiável de disponibilidade do servidor DNS é, infelizmente, mais complexidade. Agora, é muito mais provável que seus problemas sejam o resultado de problemas que fazem com que esses servidores fiquem fora de sincronia. As alterações de firewall e roteamento que interrompem as transferências de zona são os problemas mais comuns. Pior, se um problema de transferência de zona passar despercebido por um longo período de tempo, o timer de expiração definido pelo seu SOAregistro poderá ser atingido e os servidores remotos eliminarão a zona completamente. Monitoramento extenso é seu amigo aqui.

Para encerrar tudo isso, há várias opções e cada uma tem suas desvantagens. Cabe a você equilibrar a confiabilidade com as respectivas compensações.

• Para a maioria, basta hospedar seu DNS em uma empresa com ótima reputação em lidar com ataques DDoS ... o risco de cair uma vez a cada poucos anos é bom o suficiente para simplificar.
• Uma empresa com uma reputação menos enérgica por lidar com ataques DDoS é a segunda opção mais comum, especialmente quando se procura soluções gratuitas. Lembre-se de que grátis normalmente significa que não há garantia de SLA e, se ocorrer um problema, você não terá como aumentar a urgência dessa empresa. (ou uma pessoa para processar, se seu departamento jurídico exigir esse tipo de coisa)
• A opção menos comum é, ironicamente, a opção mais robusta do uso de várias empresas de hospedagem DNS. Isso se deve ao custo, à complexidade operacional e aos benefícios percebidos a longo prazo.
• O pior, pelo menos na minha opinião, é decidir hospedar o seu. Poucas empresas experimentaram administradores de DNS (com menor probabilidade de criar interrupções acidentais), experiência e recursos para lidar com ataques DDoS, disposição para investir em um design que atenda aos critérios descritos no BCP 16 e, na maioria dos cenários, uma combinação dos três. Se você quiser brincar com servidores autorizados que apenas enfrentam o interior da sua empresa, isso é uma coisa, mas o DNS voltado para a Internet é um jogo totalmente diferente.

Há claramente coisas que um provedor de serviços DNS deve fazer e muito mais que eles poderiam fazer para garantir que o serviço seja o mais confiável possível.

Se parecer que o provedor de serviços tem problemas não razoáveis, provavelmente faria sentido considerar substituí-los completamente, mas também existem classes ou problemas em que ter serviços operados separadamente é útil por si só.

Como cliente, acho que a opção mais óbvia para ir além de contar com um provedor provavelmente seria proteger suas apostas, delegando seus domínios a servidores de nomes de vários provedores de serviços DNS em todos os momentos (em vez de alterar a delegação, caso de problemas).

O que precisa ser tratado para que isso funcione é essencialmente apenas manter os dados da zona sincronizados entre os servidores de nomes desses diferentes provedores.

A solução clássica para isso seria simplesmente usar a funcionalidade de transferência de zona mestre / escravo que faz parte do próprio protocolo DNS (isso obviamente requer serviços que permitem que você faça uso desses recursos), ou seja, um dos provedores de serviços é o mestre ou possivelmente executando seu próprio servidor mestre.