應急方案二
操作:修改/etc/named.conf文件��,增加如下配置,然后重載named�����。
zone "." {
type forward;
forwarders { 114.114.114.114;114.114.115.115; };
};
效果:能有效應對前述A��、B���、C三種攻擊,大部分網(wǎng)絡資源可以正常訪問�����,但是個人用戶訪問這些網(wǎng)絡資源的速度可能下降,小部分的網(wǎng)絡資源不可訪問�����。
原理:114DNS具有28個遞歸點���,對相同域名的解析請求����,能根據(jù)DNS請求包的IP源地址的不同而給出不同的應答�,從而讓互聯(lián)網(wǎng)公司的CDN能正常工作。
DNS應急可引發(fā)的后果及規(guī)避方法
DNS應急處理不當可引發(fā)如下后果:(1)DNS應急備份中心所在地區(qū)的網(wǎng)絡被堵塞���,它又反過來影響DNS應急備份中心提供正常服務;(2)大中型互聯(lián)網(wǎng)公司的CDN調(diào)度嚴重受損��,造成大部分網(wǎng)絡資源無法訪問����。如果DNS應急備份中心僅在同一個地點做DNS遞歸�,則大部分CDN公司的域名都被解析到該地(或鄰近該地)的IP地址段,導致該地骨干網(wǎng)流量暴漲��、CDN公司的服務器過載,而其他地區(qū)卻沒有流量���。因而DNS應急備份系統(tǒng)的基本要求��,就是在多個地區(qū)具備輔助DNS遞歸點����、備份中心能按DNS請求的源IP進行不同的應答�。114DNS目前在國內(nèi)有28個DNS遞歸點,但是國內(nèi)大型互聯(lián)網(wǎng)公司的分區(qū)高于28個��,因而會對其CDN調(diào)度造成一定的損傷����,但可以肯定的是:僅有1個遞歸點的DNS應急備份方案是不可用的。
其他說明
上述DNS應急方案的有效性�����,僅在BIND 9上測試過;
由于一些不可控的原因����,114DNS暫時僅能保證在AS4134�、AS4837及其信任聯(lián)盟范圍內(nèi)的遞歸DNS應急有效;
114DNS會盡最大的努力嘗試讓國內(nèi)互聯(lián)網(wǎng)正常運轉,但DNS乃互聯(lián)網(wǎng)基石�,該基石如受損我們無法確保每個互聯(lián)網(wǎng)企業(yè)和個人用戶不受絲毫影響;
無論是方案一還是方案二�,114DNS都有嚴格的限流策略�����,事先發(fā)郵件到dnsadmin#114dns.com(#換成@)注明你的遞歸DNS服務器的服務IP地址��、遞歸用IP地址�����、單位�、姓名和聯(lián)系電話,可確保DNS應急功能正常��。
114DNS已投入大量的精力應對3月31日潛在的DNS故障��,相關的應急方案已被基礎電信運營商所采納����。由于內(nèi)存資源的限制,114DNS無法將全球幾億個域名的NS記錄都注入到114DNS的應急單元���,信風已通過程序自動將排名在前300萬的域名的NS記錄注入到114DNS的應急單元����。為保證3月31的DNS應急行之有效,信風將對部分訪問量較大的站點做人工測試�����,必要時會與其NS維護人員做EMAIL或電話勾通�����?�;ヂ?lián)網(wǎng)企業(yè)也可直接發(fā)郵件到dnsadmin#114dns.com���,注明企業(yè)的所有域名(域名本身而非DNS記錄)以確保它們都被注入到114DNS的應急單元�����。歡迎DNS業(yè)內(nèi)的同行專家提出更好的建議�����,共同渡過3月31日這一潛在的網(wǎng)絡難關。
