ドメインDNS:問題と保護
古き良き時代、私たちのプロジェクトはさまざまな種類、容量、期間のDDoS攻撃に繰り返しさらされていました。 ホスティングとサーバーの場所の一部に関して、サービス自体の構造を最適化するだけでなく、さまざまな保護方法を考案しました。 学んだ教訓の重要な部分は、適切なDNS設定でした。 Habrに対する最新の攻撃および私たちの問題に類似した問題に関するコメントが示したように、誰もがDNS保護に適切な注意を払っていませんが、非常に無駄です。
問題が発生した場合に間違ったDNS構成が判明する可能性のあるものの整理を開始します。
1.「ずっと幸せに暮らしました」-これはDNSゾーンのレコードに関するものではありません。 これは、緊急IPの変更中に発生する最初の問題です(緊急ではありません)。 顧客が低いttlを無視し、特定の値以下でttlを使用することを単に許可していなかった時代はもはや過ぎ去りました。 現在、5〜10分の録音寿命を使用するのは非常に普通です。 はい、これは追加のトラフィックで表現されますが、後続のhttp要求によって生成される通常のトラフィックの背景に対しては重要でないことを認める必要があります。
これは、最も理解可能で直感的なアイテムです。 攻撃が発生した場合、他のサーバーにすばやく切り替えることができます(攻撃が特定のIPに対して行われている場合)。 また、 ラウンドロビンを使用するときに、落ちたノードをすばやく無効にするのに役立ちます。
特定のIPが攻撃された場合、攻撃者と猫とマウスを使い始めますが、この職業は率直に言って恩知らずであり、役に立たないことがよくあります。 まず、サイトを別のサイトに転送して、古いサイトをどこにも送信しないようにするには、十分なIPプールが必要です。 第二に、攻撃者は退屈するだけで、すぐに問題を解決します。ドメイン解決を担当するネームサーバーが攻撃されます。
2. NSをサイト自体と同じサーバーでホストしていますか? その後、問題があなたにやってくる。 サーバーを攻撃することで、攻撃者は二重の利点を得ることができます。つまり、サイトを停止し、ゾーンに関する最新情報へのアクセスをクライアントにブロックします。 したがって、ttlが60であっても、バックアップIPに切り替えると、この情報を取得できないため、サイトにアクセスできなくなります。 同じサイトにサイトとネームサーバーを保持することは有害であり、最初の問題で最悪の側面から即座に現れます。
3. DNSホスティングは、ロシアの民主主義の父を救いません! より正確には、すべてのDNSホスティングではありません。 外部、有料、または無料のDNSホスティングサービスを使用しても、100%保護されません。 このサービスが2つ、3つ、さらには4つの地理的に離れたサーバー上にある場合、100%の信頼性を保証するはずですが、実際には10 mbps unlimのチャネルを持つ4つのサーバーは何も提供しません。 それらは小さなボットネットによって正常に詰まります。これは、攻撃者(顧客)にとって、ギガビットチャネルと既に確立された保護スキームを使用してスーパーセキュアサイトを攻撃するよりもはるかに安価です。 DNSホスティングを使用する場合、サービスプロバイダーが横になるので、サービスプロバイダー自体が十分な保護を持っていることを確認することが重要です。あなたも同様に落ちます。
ボーナスとして、Googleの最初のページの結果に基づいて概説したDNSホスティングの料金表を提供します。
ご覧のとおり、関税で許可されているリクエストの数が非常に少ないため、トラフィックが多くてttlが低いと、dnsmadeeasyを除くすべてのサービスでかなりの費用がかかります。 多くのサービスは、特に低すぎるttlの使用を許可していません-無料です。 最後の行で説明したdyndnsソリューションは非常に良いように見えましたが、高価です。
この問題には個々のサービスのより詳細な調査が必要なため、表にはサービスの「保護」のインジケータはありません。 質の高いサービスにはかなりの費用がかかることを理解することが重要です。 しかし、リソースのインフラストラクチャに投資する準備ができている場合は、ホスティングコストとともに、ネームサーバーの信頼性に対してかなりの費用を支払うことを忘れないでください。これはリソースを訪れる最初のステップです。 それは価値があります。
要約すると:
-ttlは論理的に設定するほうが適切です。実際、各リソースに対して個別です。 高すぎると危険で、低すぎると費用がかかります。
-ネームサーバーは外部を使用する方が適切であり、サイトと同じサイトには絶対に配置しないでください
-ネームサーバーをサイトと同じように保護し、サイトをホストするのと同じくらい真剣にDNSホスティングを選択します。
上記の推奨事項に加えて、ラウンドロビン、ロードバランシング、さらにはDNSファイアウォールなどの優れたDNSコンピテンシーについても議論できます。これにより、多くの管理者の生活がより簡単で素晴らしいものになりますが、これは別の記事のトピックです。
問題が発生した場合に間違ったDNS構成が判明する可能性のあるものの整理を開始します。
1.「ずっと幸せに暮らしました」-これはDNSゾーンのレコードに関するものではありません。 これは、緊急IPの変更中に発生する最初の問題です(緊急ではありません)。 顧客が低いttlを無視し、特定の値以下でttlを使用することを単に許可していなかった時代はもはや過ぎ去りました。 現在、5〜10分の録音寿命を使用するのは非常に普通です。 はい、これは追加のトラフィックで表現されますが、後続のhttp要求によって生成される通常のトラフィックの背景に対しては重要でないことを認める必要があります。
これは、最も理解可能で直感的なアイテムです。 攻撃が発生した場合、他のサーバーにすばやく切り替えることができます(攻撃が特定のIPに対して行われている場合)。 また、 ラウンドロビンを使用するときに、落ちたノードをすばやく無効にするのに役立ちます。
特定のIPが攻撃された場合、攻撃者と猫とマウスを使い始めますが、この職業は率直に言って恩知らずであり、役に立たないことがよくあります。 まず、サイトを別のサイトに転送して、古いサイトをどこにも送信しないようにするには、十分なIPプールが必要です。 第二に、攻撃者は退屈するだけで、すぐに問題を解決します。ドメイン解決を担当するネームサーバーが攻撃されます。
2. NSをサイト自体と同じサーバーでホストしていますか? その後、問題があなたにやってくる。 サーバーを攻撃することで、攻撃者は二重の利点を得ることができます。つまり、サイトを停止し、ゾーンに関する最新情報へのアクセスをクライアントにブロックします。 したがって、ttlが60であっても、バックアップIPに切り替えると、この情報を取得できないため、サイトにアクセスできなくなります。 同じサイトにサイトとネームサーバーを保持することは有害であり、最初の問題で最悪の側面から即座に現れます。
3. DNSホスティングは、ロシアの民主主義の父を救いません! より正確には、すべてのDNSホスティングではありません。 外部、有料、または無料のDNSホスティングサービスを使用しても、100%保護されません。 このサービスが2つ、3つ、さらには4つの地理的に離れたサーバー上にある場合、100%の信頼性を保証するはずですが、実際には10 mbps unlimのチャネルを持つ4つのサーバーは何も提供しません。 それらは小さなボットネットによって正常に詰まります。これは、攻撃者(顧客)にとって、ギガビットチャネルと既に確立された保護スキームを使用してスーパーセキュアサイトを攻撃するよりもはるかに安価です。 DNSホスティングを使用する場合、サービスプロバイダーが横になるので、サービスプロバイダー自体が十分な保護を持っていることを確認することが重要です。あなたも同様に落ちます。
ボーナスとして、Googleの最初のページの結果に基づいて概説したDNSホスティングの料金表を提供します。
| プロバイダー
| ドメイン数
| レコード数
| クエリ数
| 最小ttl
| 費用/月
| 費用/年
|
| ノイスター
| 10
| 1,000
| 100,000
|
| 50
|
|
| ノイスター
| 100
| 5,000
| 250,000
|
| 110
|
|
| ノイスター
| 100
| 5,000
| 400,000
|
| 160
|
|
|
|
|
|
|
|
|
|
| ゾノミ
| 1
| 10
|
|
| 0
| 0
|
| ゾノミ
| 10
| 100
|
|
|
| 10
|
| ゾノミ
| 15
| 150
|
|
|
| 10
|
|
|
|
|
|
|
|
|
| dnsmax
|
| 25
| 20,000
| 300
| 3
| 36
|
| dnsmax
|
| 100
| 50,000
| 60
| 12
| 144
|
| dnsmax
|
| 500
| 100,000
| 1
| 25
| 300
|
|
|
|
|
|
|
|
|
| ダインズ
|
| 75
| 600,000
|
|
| 30
|
| dyndns SMB
| 10
| 100
| 600,000
|
| 30
|
|
| dyndns SMB
| 25
| 250
| 600,000
|
| 60
|
|
| dyndns (カスタム)
|
|
|
|
| > 195
|
|
|
|
|
|
|
|
|
|
| dnsmadeeasy
| 10
| 400
| 5,000,000
|
|
| 30
|
| dnsmadeeasy
| 25
| 1,000
| 10,000,000
|
|
| 60
|
| dnsmadeeasy
| 50
| 2,000
| 50,000,000
|
|
| 150
|
ご覧のとおり、関税で許可されているリクエストの数が非常に少ないため、トラフィックが多くてttlが低いと、dnsmadeeasyを除くすべてのサービスでかなりの費用がかかります。 多くのサービスは、特に低すぎるttlの使用を許可していません-無料です。 最後の行で説明したdyndnsソリューションは非常に良いように見えましたが、高価です。
この問題には個々のサービスのより詳細な調査が必要なため、表にはサービスの「保護」のインジケータはありません。 質の高いサービスにはかなりの費用がかかることを理解することが重要です。 しかし、リソースのインフラストラクチャに投資する準備ができている場合は、ホスティングコストとともに、ネームサーバーの信頼性に対してかなりの費用を支払うことを忘れないでください。これはリソースを訪れる最初のステップです。 それは価値があります。
要約すると:
-ttlは論理的に設定するほうが適切です。実際、各リソースに対して個別です。 高すぎると危険で、低すぎると費用がかかります。
-ネームサーバーは外部を使用する方が適切であり、サイトと同じサイトには絶対に配置しないでください
-ネームサーバーをサイトと同じように保護し、サイトをホストするのと同じくらい真剣にDNSホスティングを選択します。
上記の推奨事項に加えて、ラウンドロビン、ロードバランシング、さらにはDNSファイアウォールなどの優れたDNSコンピテンシーについても議論できます。これにより、多くの管理者の生活がより簡単で素晴らしいものになりますが、これは別の記事のトピックです。
All Articles