DNS под DDoS: защищается не «сервер», а весь путь запроса до авторитативов
DDoS по DNS редко выглядит как один поток. Обычно это смесь UDP-flood, NXDOMAIN-amplification, random-subdomain и попыток забить stateful-слой. Если авторитатив стоит за одним входом, атака быстро превращает отказ в норму. Давайте разберем флоу запроса: где режется шум, где остается полезный трафик, и где начинается деградация RTT.
Базовый набор выглядит скучно, зато работает:
— Anycast для распределения нагрузки и локализации отказа
— отдельные ACL на recursion и authoritative, без «универсального» listen-on
— RRL для сдерживания ответа на всплески однотипных запросов
— жесткий контроль zone transfer, чтобы не кормить атакующего лишними данными
— минимизация лишних features на публичном контуре: никакого chaos-by-default
Отдельно проверяйте отказоустойчивость переднего края: BGP-политику, health-check'и, MTU, фильтрацию spoofed source и capacity upstream. Если upstream не умеет быстро отрезать мусор, DNS-узел превращается в дорогой генератор packet loss. Стабильность DNS — это фундамент, а не опция.
Исключаем Human Error через автоматизацию: шаблоны конфигураций, контроль drift, регулярные тесты отказа и отдельный план для деградации, а не только для «полного падения». Хорошая защита от DDoS начинается не с героизма, а с того, что серверу не дают принимать лишнее.
Управление DNS инфраструктурой
@dns_management_flow_arb
DNS под DDoS: защищается не «сервер», а весь путь запроса до авторитативов
Этот пост опубликован в Telegram-канале Управление DNS инфраструктурой. Подписаться можно по ссылке: @dns_management_flow_arb.