如何减少DNS服务器的中断？

Question

假设我有一个"mysite.com“的根域。该域及其子域具有由外部服务提供的DNS服务--让我们称它们为SetworkN373。如果这家外部公司受到DDoS攻击，我在此域名下的托管网站将不再可以在"mysite.com“或"*.mysite.com”上访问，尽管该网站(S)已经/完全启动并投入运营。

我怎样才能减轻这样的问题，使最终用户满意呢？

我公司的其他人想出的唯一解决方案是创建第二个域名，即"mysite2.com"，并将其DNS托管在另一家公司，然后与所有终端用户沟通，这是他们应该使用的网站。我认为这是荒谬的，只会导致一些其他的问题。

我想找到一个解决方案，我们可以指向同一个网站与相同的URL，而没有原来的DNS主机运行。

有什么想法吗？

Answer 1

您可以在SN之外设置其他DNS服务器，然后将这些名称服务器注册为该域的权威服务器。

我强烈推荐的一个这样的DNS提供程序叫做UltraDNS。

这将解决所有的问题。而不是拥有：

mysite.com ns ns1.sn.com 
mysite.com ns ns2.sn.com

你会有：

mysite.com ns ns1.sn.com
mysite.com ns ns2.sn.com
mysite.com ns ns3.ultradns.com

如果您真正的问题只是内部托管的网站，您可以通过为您的域设置本地缓存名称服务器，然后将您的局域网机器指向这些缓存名称服务器，来部分缓解权威名称服务器的任何中断。

http://www.tldp.org/HOWTO/DNS-HOWTO-3.html

将其与稍长一些的TTL (例如，只要您想要生存* 2)结合起来，您应该能够在这种情况下生存下来。

最后，哦，废话，我们很失望，永远记住一个本地/etc/主机条目(或类似的)可以让你摆脱困境。

Answer 2

您将在服务器受到DDOS攻击的任何域上遇到此问题。让DDOS攻击您自己域的服务器更可能是可见的和可跟踪的。

在您自己的网络上设置一个或多个缓存名称服务器，并将您的计算机配置为使用这些服务器进行DNS解析，这将解决问题，除非DDOS非常长。我在linux服务器上使用德斯马斯克，并在OpenWRT路由器上运行它。它还将以相同格式从/etc/hosts和/或其他文件中读取值。

如果您的外部DNS主机支持它，则可以将本地绑定服务器作为隐藏的从服务器运行。这将提供最好的保护，您可以不托管DNS本地。或者，您可以将bind作为本地缓存名称服务器运行。