使用多DNS重新思考您的DNS策略
时间 : 2018-09-06 编辑 : DNS智能解析专家 来源 : DNS.COM
由于早前基于DNS的大规模DDoS攻击震撼了美国,也是因为甲骨文收购了全球最大的DNS服务提供商Dyn,有很多关于DNS安全问题的讨论。考虑到DDoS攻击的执行方式及其规模,许多组织开始审查他们的选择并重新考虑他们的整体DNS策略。多DNS迅速成为缓解此类威胁的最佳解决方案之一。在本文中,我们将简要介绍DNS服务的起源,简要介绍它们的运行方式,以及为什么多DNS变得越来越流行的原因。
一、DNS如何工作?
域名系统(DNS)服务器通常被称为“ 互联网电话簿”,用于将人类可读的主机名解析为机器可读的IP地址。它们还提供有关域名的其他有用信息,例如邮件服务。当你知道别人的名字但不知道他们的电话号码时,你会使用电话簿(好吧,不像过去那么多)来查找他们的电话号码。DNS服务使用相同的逻辑。当您为Web位置请求数据时,键入其名称,然后DNS服务器找到其IP地址。
例如,如果您请求www.dns.com等地址,DNS会将其转换为43.243.131.114。这些互联网电话簿极大地影响了Web位置的可访问性,这正是DNS对依赖Internet连接到客户、合作伙伴、供应商等任何组织至关重要的原因。
二、DNS的演变
但如果我们回到20年前,情况会有所不同。当时每个人都常常在DNS中运行他们自己的“权威服务器” 来提供他们的DNS记录。您必须为每个域名发布“域名服务器”记录,列出哪些DNS服务器对您的域具有“权威性”。然后,这些服务器成为可以回复人们需要向您访问DNS记录的服务器。拥有至少一个可以分发DNS记录的权威服务器非常重要。
早期的主要问题是,如果该服务器出现问题或由于某种原因而脱机,由于缺少DNS记录,人们将无法访问您的Web位置。这就是为什么当时的最佳做法是启用一个“辅助” DNS服务器,其中包含您域名的DNS记录副本,并且可能位于不同的地理位置和另一个网络上。
通常的做法是拥有2个,3个,4个或更多权威服务器。一个是主服务器,其中进行了所有更改,而其他服务器充当从主服务器复制DNS记录的“辅助”服务器。尽管它具有良好的地理和网络弹性,可确保DNS记录的可用性,但这种做法多年来变得不可持续。开发专有的DNS基础架构只需花费太多时间,知识和资源。公司需要有人为他们处理这些流程。
三、DNS托管提供商
网站所有者很快就变得过于昂贵和复杂,无法构建和运行自己的DNS基础架构。为了解决这些痛点,专业公司开始出现。他们是DNS托管服务提供商 - 在他们处理其他所有事情时,他们只需要注册和委派DNS操作。他们提供的好处是(现在仍然)巨大。DNS提供商不再需要构建和运行自己的DNS网络以及拥有几台服务器,而是可以访问数十甚至数千台DNS服务器,而无需复杂的流程。
随着任播技术的到位,DNS提供商负责数据中心程序,地理和网络多样性,同时提供全球范围内的功能。非常有限数量的公司可以自己提供的东西。除了最佳实践,他们还提供更多:
性能:地理位置分散的用户所经历的网络延迟很容易处理
安全性:欺骗和分布式拒绝服务(DDoS)攻击的漏洞大幅减少
可靠性:始终如一地正确解析Internet域查询
可用性:在任何给定时间,用户都可以访问Web位置
可扩展性:随着组织业务的增长,其流量增加可轻松管理
一切都运作完美,DNS提供商提供了出色的服务,演变为云,并致力于扩展他们的网络。有了所有必要的DNS多样性,性能和保护,每个组织只有一个DNS提供商绰绰有余。
四、为什么要用多个DNS提供商?
就像之前DNS托管服务提供商Dyn受到攻击(有史以来最严重的攻击)时,它摧毁了Netflix,GitHub,Reddit,Twitter,Airbnb,亚马逊等等。各大网络巨头的垮台引起了媒体的关注,而造成这些后果是因为他们所有的服务都依赖于Dyn的DNS基础设施。所以当Dyn倒下时,他们网络中的很大一部分也崩溃了。要知道当时可是数百万人无法访问运行这些服务的服务器数小时。此类相关事件,我们国内亦发生过多起。
乍一看,一个简单的补救措施是寻找多个DNS提供商来托管DNS记录,以确保在发生类似中断时的故障转移基础设施。所以现在你可能会问自己,但为什么每个人都没有使用多个DNS提供商?不幸的是,它并不像它看起来那么简单。
这些提供商中的每一家都已经拥有全球建立的DNS架构,这些架构可以覆盖任何非专业公司过去可能构建的任何内容。这种规模的基础设施,包含数十种持久性有机污染物(存在点)和任播,可以轻松应对所有可能的威胁,并且直到基于Mirai物联网的DDoS,它已经淹没了网络安全和性能社区。
现在,即使理论上听起来合乎逻辑,在大多数情况下处理多个DNS提供商也是昂贵且复杂的。随着内容交付网络和全局负载均衡器需要调整,不同的DNS功能,额外的IT复杂性和大量成本,选择多DNS提供商对于大多数站点来说是一个艰难的决定。
总结
没有适当的DNS基础设施,就无法在广阔的地理位置上实现效率和高性能。各大安全事件表明,DNS服务现在很脆弱,需要采用新方法。
新的和演变的恶意软件正在迫使组织重新考虑其DNS策略和相关的安全选项。多DNS方法解决了性能和安全问题,但价格昂贵,并增加了另一层IT复杂性。但是从长远来看,最好的选择是为所有连接的设备提供教育和设置安全标准,以降低僵尸网络的风险。目前,多DNS是迄今为止最安全的解决方案,如果您正在考虑它,可随时与我们帝恩思的专家交流,我们可以为您提供DNS,多DNS以及其他所有与性能和安全相关的帮助。