悬浮最近经历了一个DDoS，使我的服务不可用。今后我可以采取哪些措施来减少这种风险呢？

Question

我一直在研究如何管理DNS记录，但我有点不知所措。我正在寻找一个低成本(脑力，时间，金钱)解决方案，以减轻风险，我的域名注册-也承载我的DNS记录-将再次扣在一个DDoS下，我的业务成本。我读过的选项包括：

• Google公共DNS
• 亚马逊53号公路

在评估这些(和其他)选项时，我应该问哪些问题？

Answer 1

Google公共DNS

正如Gaurav所说，Google公共DNS是一种缓存(递归) DNS，对您帮助不大。

亚马逊53号公路

你可以去它和许多其他，但我想指出一些事情，你应该寻找当你选择你的DNS提供者。

• 选择多个:如果可能，在其中一个提供程序上放置一个主名称服务器，在其他提供程序中放置一个主名称服务器。如果在不同的地理位置，那就更好了。因此，如果对一个提供程序进行任何攻击，其他提供程序仍可用于服务器您的记录。
• Anycasting:提供者应该在地理位置不同的位置运行多个名称服务器实例。这可以通过在不同的地理位置使用相同的IP地址的任意广播来完成，以便在一个位置遭受攻击时提供更高的可用性。
• 多个从服务器:有多个从服务器，以便在多个NS崩溃时(主从或从服务器)能够为您的记录提供服务。
• TTL:是的，TTL可能很重要，如果您不经常更改记录，供应商可以提供超过15分钟的记录。
• 保持与gTLD经理的联系，并将您的区域文件保存在手边:在紧急情况下，准备好应急计划是很好的。

希望这能有所帮助！

Answer 2

作为客户，您不能真正做任何事情来防止供应商的停机，尽管只要您不是DDOS的实际目标，您就可以通过拥有多个供应商(这种额外的复杂性可能会增加您/您的团队出错的风险)，或者通过切换到更好的供应商，从而减少中断的影响。

对于DNS来说，一种可以轻松采取的零成本降低措施就是简单地增加DNS记录的TTL值。

TTL of 5 minutes意味着持续时间超过5分钟的所有权威DNS服务器(同时)的中断可能会影响100%的用户，而TTL of 1 week 24小时的中断仍然只会大致影响到1/7或15%的用户。

Answer 3

假设您的域注册员只承载您的dns服务器，您可以在许多地方找到辅助dns服务。此外，请记住，您通常不会被迫使用您的域名注册程序的dns服务器。

为了使这些辅助dns服务高效工作，您(主要) dns服务提供程序的管理接口应该允许您：

1. 添加、更改和删除dns服务器，以及
2. 添加、更改和删除授权的辅助服务器。

辅助dns服务器将定期从主服务器下载dns记录的副本。

通常，您会听到主服务器的主服务器和辅助服务器的从服务器。

谷歌快速搜索“dns辅助服务”，就会返回几家提供该服务的公司。

请记住，如果DDoS的目标是您的web服务器，并且您的web服务器托管在单个提供程序中，那么具有弹性的dns服务器根本没有帮助。