多个基础电信运营商的权威DNS解析服务(一)(图)

日期: 栏目:文章分享 浏览:887 评论:0

问:我的组织是否需要权威的 DNS 服务?

答:凡有网站的企事业单位均可申请..

的权威DNS解析服务。

问:支持哪些 DNS 记录类型?

答:支持A、AAAA、CNAME、NS、MX、TXT、SOA、SRV、PTR等常见的DNS记录类型

Q:如何使用权威的DNS解析服务?

回答:去域名注册商修改NS服务器为:和或为:114.114.118.118 and 114.11< @4.119.119(可以“表现”为企业自己的 NS 服务器)。企业也可以继续保留原有的NS服务器,在域名注册商NS中添加114.114.118.118或114.11<@的链接4.119.119 个记录。

Q:使用2个IP地址对外提供NS服务,是否只有2台服务器?

答案:使用BGP技术:在多个基础电信运营商的多个位置广播同一个IP地址,在多个基础电信运营商的多个核心机房中分布有多个具有相同IP地址的NS设备。 DNS根节点采用BGP技术部署,每个DNS根节点只需要一个IP地址,但是NS设备很多。 BGP具有高容错性和隔离DDoS攻击的能力(2002年10月21日,13台DNS根服务器遇到DDoS后,开始部署采用BGP技术的DNS根节点,加强抵御DDoS攻击的能力),但基础电信运营商配置核心路由器成本高,国内基本没人用。

它是多个基础电信运营商保障互联网基础安全的产物,所以它使用与DNS根节点相同且最可靠的BGP技术,所以只需要1个IP,实际使用2个。 DNS使用8.8.8.8和8.8.4.4,使用可靠的BGP部署递归DNS服务,使用114.114.114.114 和 114.114.115.115 也使用相同的部署技术,而是使用大量递归设备2 台设备。

Q:如何部分使用权威的DNS透明保护服务

回答:CDN服务公司、自建CDN公司、大型互联网公司可以到域名注册商处将原来的NS服务地址改为114.114.116.116 或 114.114.117.117。比如企业有4组NS服务器,包括NS1、NS2、NS3、NS4,你可以去域名注册商,将NS4指向114.@ >114. 116.116 or 114.114.117.117,实际上第4组NS服务器使用另一个IP地址,只允许访问,因此公众无法直接访问 Group 4 NS 服务器。通常它只在没有攻击的情况下充当桥梁,将ISP的递归DNS请求透传给NS4。当有DNS攻击时,它会清洗攻击流量并发送到NS4服务器。

可以将ISP的递归源IP地址透传到NS4服务器,保证原来的NS1、NS2、NS3、NS4工作不变。当企业的所有NS都被攻击时,即使NS1、NS2、NS3被攻击瘫痪,仍然可以保证NS4的正常运行,如下图所示:

Q:如何充分利用权威的DNS透明保护服务

答:CDN服务公司、自建CDN公司、大型互联网公司可以到域名注册商处将NS服务器改成and,或者改成:114.114.11 6.116 和 114.114.117.117(可以“表现”为企业自己的 NS 服务器)。通常浏览器怎么修改dns,它只在没有攻击的情况下充当桥梁,将ISP的递归DNS请求透明传输到公众无法访问的NS服务器。

可以将ISP的递归源IP地址透传到企业对外无法访问的NS服务器,保证企业原有的NS工作不变。

问:它有多可靠?

:多家基础电信运营商提供的多条10GE专线直接接入其核心路由器。它们采用远程多点接入技术进行部署,为电信运营商和社会企业机构提供DNS服务。权威的DNS解析服务。通过硬件自动切换、OSPF Local和BGP的结合,可以自动绕过故障设备或节点,提供可靠性高达9<​​@9.999%的电信级服务。

Q:与新网、万网等域名注册商的权威DNS服务相比,权威DNS服务有哪些特点?

:权威服务采用BGP技术进行多点部署。多家电信运营商提供多个直接连接到其核心路由器的 10GE。多个节点使用同一个IP地址,大大提高了权威服务的可靠性;商业上,只为依法经营的正规企事业单位提供付费的权威DNS解析服务。

Q:与其他智能DNS解析系统相比,智能DNS解析有哪些特点?

答:将智能DNS解析的分区数增加到65536个,可以按省、区来解析不同的电信运营商,而不是单纯按电信和联通;拥有准确的IP地址位置信息浏览器怎么修改dns,可以避免智能DNS解析系统中IP地址位置信息不准确导致的其他解析错误。

Q:与其他DNS系统相比,权威解析系统的抗攻击能力有哪些特点?

答:(1)多家基础电信运营商投入10GE专用DNS带宽直连核心路由器,可抵御数千万QPS的各种暴力DNS攻击,抗攻击能力远超国内其他现有的权威DNS解析系统;(2)的多点部署与DNS根节点相同:同一个DNS服务地址通过BGP协议在多个位置广播,IP地址可以直接对外服务使用,但是其他DNS服务公司对外服务只能使用域名,所以存在以下隐患:比如域名权威服务商DNS会要求公司填写NS记录为,当解析记录的服务器受到攻击或故障时,其服务的大量域名将无法解析。

Q:与其他DNS反攻击方式相比,权威解析系统的反攻击方式有哪些特点?

答:其他DNS反攻击通常采用“准白名单”方式:提前收集国内外各大ISP递归服务器的IP地址列表,在DNS攻击发生时启动白名单机制——只有这些 ISP 才允许递归服务器访问 DNS 系统。这种方法可以对付早期、低级的DNS攻击者,但现在很多DNS攻击者发起的DNS攻击都是以ISP递归服务器为跳板。这些攻击者还收集国内外主要ISP递归服务器的IP地址列表,例如在攻击域名时,伪造源IP并发送大量通用域名*。向 ISP 递归服务器列表中的所有 IP 地址请求,每个伪造的 DNS 数据包将由 ISP 的递归服务器发送到 NS 服务器。递归从而使其瘫痪。这种反攻击方式也很难抵抗DNS攻击者直接伪造ISP递归服务器IP的源IP地址,IP头的TTL合理随机,IP头的IPID随机,UDP头随机, DNS ID 是随机的。 DNS 请求攻击。此外,这种方法的另一个缺点是误伤,很多企业使用的递归服务器往往不在白名单上。

通过其他方式抵御DNS攻击,结合超强的服务能力,无论是DNS攻击者以ISP的递归服务器为跳板,还是将源IP地址伪造为ISP的递归服务器IP发起DNS攻击,都可以保证。权威的DNS解析系统运行正常。

Q:TS的权威DNS解析能力与其他DNS系统相比有什么特点?

答:已建成系统的权威DNS解析能力是DNS根节点全球.com和.net域名总和的30倍,是全球最强大的权威DNS解析平台。

Q:在异地部署多个NS服务节点能否提高权威DNS服务系统的抗攻击能力?

答:在异地部署多个NS服务节点可以更好的防止单点故障,包括软硬件故障和通信线路故障,但是抗攻击能力与部署的NS服务节点数量无关,且抗攻击能力仅与权威DNS服务系统的总服务能力有关。例如,一个服务能力1000万QPS的NS服务节点有20多个NS服务节点,服务能力只有40万QPS。

问:权限服务的对象有哪些?

答:只有依法经营的合法企业和机构,才会提供付费的权威DNS解析服务。申请服务的单位必须提供有效证件,并与服务提供者签订书面合同,方可使用权威服务。

问:你们提供域名注册服务吗?

回答:不可以。您可以联系万网、新网或类似的域名注册商。

标签:

评论留言

我要留言

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。发布前请先查看评论规则:点我查看