Ainsi, notre fournisseur DNS, de temps en temps, subit des attaques DDOS sur leurs systèmes, ce qui provoque la panne de nos sites Web frontaux.
Quelles sont les options en termes de réduction de la dépendance à l'égard d'un seul fournisseur DNS géré externe? Ma première pensée a été d'utiliser un TTL à expiration inférieure et d'autres TTL SOA, mais il semble que ceux-ci affectent le comportement du serveur DNS secondaire plus que toute autre chose.
Par exemple, si vous rencontrez une panne DNS (due à DDOS, dans cet exemple) qui dure plus de, disons, 1 heure, déléguez tout à un fournisseur secondaire.
Que font les gens en ce qui concerne leur DNS externe et l'utilisation d'un autre fournisseur DNS géré comme sauvegarde?
Note à nos modérateurs amicaux: cette question est beaucoup plus spécifique que les questions "" Atténuation générique de l'attaque DDOS ".
EDIT: 2016-05-18 (Quelques jours plus tard): Donc, tout d'abord merci AndrewB pour votre excellente réponse. J'ai plus d'informations à ajouter ici:
Nous avons donc contacté un autre fournisseur de services DNS et discuté avec eux. Après avoir réfléchi et fait un peu plus de recherche, c'est en fait beaucoup plus compliqué que je ne le pensais avec deux fournisseurs DNS. Ce n'est pas une nouvelle réponse, c'est en fait plus de viande / info à la question! Voici ma compréhension:
- Beaucoup de ces fournisseurs DNS offrent des fonctionnalités propriétaires comme le `` DNS intelligent '', par exemple, l'équilibrage de la charge DNS avec Keepalives, des chaînes logiques pour configurer la façon dont les réponses sont renvoyées (en fonction de la géolocalisation, des différents poids des enregistrements, etc., etc.) . Le premier défi consiste donc à synchroniser les deux fournisseurs gérés . Et les deux fournisseurs gérés vont devoir être synchronisés par le client qui doit automatiser l'interaction avec ses API. Pas sorcier, mais un coût opérationnel continu qui peut être douloureux (compte tenu des changements des deux côtés en termes de fonctionnalités et d'API).
- Mais voici un ajout à ma question. Disons que quelqu'un a effectivement utilisé deux fournisseurs gérés selon la réponse d'AndrewB. Ai-je raison de dire qu'il n'y a pas de DNS «principal» et «secondaire» ici selon les spécifications? C'est-à-dire que vous enregistrez vos quatre adresses IP de serveur DNS auprès de votre registraire de domaine, deux d'entre eux sont l'un de vos fournisseurs DNS, deux d'entre eux sont des serveurs DNS de l'autre. Donc, vous ne feriez que montrer au monde vos quatre records NS, qui sont tous «primaires». Alors, la réponse à ma question est-elle «non»?