最近的域名系统中断:更新、根本原因分析和行动计划

2025-01-23 23:12:01 46
  • 收藏
  • 管理

    上周早些时候,我们的DNS服务器遭到拒绝服务攻击,导致几家经销商的服务中断。我们对此事造成的不便和干扰表示诚挚的歉意,并如承诺的那样,向您汇报情况。在这一不幸事件发生后,我们进行了全面的根本原因分析。以下是发生的情况和我们正在做的事情,以应对未来可能发生的袭击。

    更新、根本原因分析和行动计划:

    在过去的几天里,我们花时间分析了我们的DNS服务器架构以及数据中心(DC)的分布式拒绝服务(DDOS)缓解过程和容量。下面的帖子涵盖了问题的各个方面,以及我们正在做些什么来修复它。

    托管的域名系统架构

    我们的DNS服务器分布在美国的4个数据中心。他们在物理和网络层面上都是孤立的,有自己的带宽容量、网络设备等。他们都由Softlayer托管,他们总是在任何情况下为我们提供最好的服务。

    对于在我们注册的每个域名,您的域名将免费获得托管的域名服务,并配置4个域名服务器。下面是一个例子,说明了这一点-

    向我们注册的Domain.com获得4个名称服务器(NS)dns1.orderbox-dns.com、dns2.orderbox-dns.com、dns3.orderbox-dns.com和dns4.orderbox-dns.com。Dns1有4个IP地址,并使用2个物理服务器托管在dc1,dns2有4个IP地址,使用2个物理服务器托管在dc2,依此类推。

    因此,我们总共使用4个DC为我们的DNS流量提供服务,每个DC有2个物理服务器,这为我们提供了16 Gbps的网络吞吐量。

    在每台这些域名服务器上,我们都运行了容量为50000 QPS的优化版本的PowerDNS。我们的DNS集群的总理论容量约为40万QPS。

    DDoS缓解能力:

    如前所述,我们的DNS服务器托管在Softlayer上,Softlayer的网络在类似的DDOS攻击中进行了多次战斗测试。Softlayer的每个DC都配备了多个10Gbps或40Gbps的互联网传输链路,并使用高端网络设备。SoftLayer还使用Arbor Peakflow进行DDOS检测,并使用Arbor TMS进行DDOS缓解。每个Arbor TMS系统都能够缓解10+Gbps的攻击流量。

    您可以在http://www.softlayer.com/network.上阅读有关SoftLayers网络和架构的更多信息

    哪里出了问题?

    通常,我们会看到一个或几个DNS服务器IP地址受到攻击,并且它们在TMS系统上要么被空路由,要么被缓解。这种活动相当常见,我们每周都会看到两三起这样的事件。在所有此类事件中,我们始终保持我们的服务水平。

    在最近的攻击中,我们收到了分布在我们所有DNS服务器IP地址上的40+Gbps流量。攻击流量从一个IP地址快速连续地移动到另一个IP地址。SoftLayer,为了防止他们的网络不稳定,空路由了我们的IP地址。空路由是一条规则,它会丢弃发往Softlayer上游运营商网络中我们的IP地址的所有流量。这意味着在空路由就位后,即使Softlayer也无法了解攻击流量是什么。

    正如在上一篇文章中所解释的,我们开始删除每个空路由,发现并缓解对每个IP的攻击。

    我们的设置有什么问题?

    问题1:完全依赖Softlayer数据中心和DDOS缓解功能。

    问题2:我们绑定到DC提供的/32静态IP地址。我们没有使用自己的/24子网来托管DNS服务器。通过使用我们自己的/24子网,我们可以将流量切换到我们的第三方DDOS缓解合作伙伴Neustar。

    问题3:所有客户NS指向相同的IP地址。因此,当攻击发生并导致中断时,所有客户都会受到影响。

    为了解决这些问题,我们在上个季度规划了新的DNS架构,并在部署相同架构方面取得了一些进展。

    关于新架构的更多信息如下:

    我们新的托管域名系统架构:

    新的托管DNS基础设施架构如下所示:

    在第1阶段中,我们将把当前的DNS服务器IP地址移动到我们自己的IP子网。这确保了我们有能力在需要时使用Neustar来缓解DDOS。我们所有的数据中心都已经受到NeuStar的保护。有关Neustar DDOS缓解服务的更多信息,请访问https://www.neustar….ddos-保护。

    在第二阶段,我们将开始对跨不同IP地址的客户进行分组,以便对set1中的某个域的攻击不会中断对其他集中客户的DNS服务。

    在阶段3中,我们将开始在我们有DC存在并使用Anycast的其他地理区域引入DNS服务器。使用Anycast,来自特定区域的攻击将只影响该区域,而其他区域将继续正常工作。受影响地区将使用Neustar DDOS缓解来缓解攻击。

    下一步:

    我们目前的目标是在接下来的两周内完成第一阶段。这将确保我们能够抵御任何攻击,还将消除Softlayer的单点故障。它还将使我们能够使用Neustar的Anycast‘d DDOS缓解系统来承受任何流量。

    我们将在需要时传达您和您的客户所需的更改,以确保您和您的客户都能使用新的设置。

    我们对给您带来的不便深表歉意和歉意。我们理解您对我们的依赖,为此,我们将继续尽我们所能提供服务,帮助您建立和发展您的业务,使其充分发挥潜力。

    上一页:最适合Web开发人员的7个Chrome扩展 下一页:排名靠前的CMS对比:WordPress与Joomla对比Drupal
    全部评论(0)