....有關(guān)最近電信，網(wǎng)通dns 故障分析

jake8

先看sina新聞：
   
中國電信表示,由于暴風(fēng)影音網(wǎng)站自身域名解析故障,導(dǎo)致中國電信DNS服務(wù)器訪問量突增,網(wǎng)絡(luò)處理性能下降.5月19日21:50開始,有江蘇、安徽、廣西、海南、甘肅、浙江等六省用戶申告訪問網(wǎng)站速度變慢或無法訪問.

據(jù)介紹,中國電信收到用戶申告之后,立即屏蔽受影響省份存在解析故障的網(wǎng)絡(luò)地址,至5月19日22:40,中國電信各省DNS服務(wù)全部恢復(fù)正常,網(wǎng)絡(luò)已完全通暢.

中國電信表示,今后將進(jìn)一步做好網(wǎng)絡(luò)監(jiān)控工作,發(fā)現(xiàn)異常情況及時(shí)處理,盡量減少對(duì)用戶的影響,保障用戶享受到通暢的網(wǎng)絡(luò)服務(wù).

-------------------------------------------------------------------------------

我理解是：暴風(fēng)影音解析故障，然后晚上在線人數(shù)很多，暴風(fēng)域名解析出問題，然后客戶端要去打開暴風(fēng)影音網(wǎng)站，dns服務(wù)器cache沒記錄，向上一級(jí)dns請(qǐng)求，大量詢量非常巨大并且重試時(shí)間間隔極短導(dǎo)致DNS服務(wù)器系統(tǒng)資源耗盡down掉，跟ddos cc 攻擊dns一個(gè)原理，跟上次迅雷被利用ddos一樣，裝了客戶端的用戶暫時(shí)變成肉機(jī)，估計(jì)暴風(fēng)客戶端可能寫得很瘋狂，一秒n次請(qǐng)求等。。。

想討論下ddos cc 等攻擊dns 服務(wù)器，大家有什么好的方案，08年開始  攻擊dns的案例越來越多了，本人所在公司都遇到過，dns比較集中，不像網(wǎng)站可以做大量群集頂著。。
dns 感覺是軟肋。。。大家都討論討論對(duì)策、

jake8

呼喚  abel 網(wǎng)中人 等大大們。。

chenglin4636931

是嗎！！企業(yè)中一定要架設(shè)dns服務(wù)器嗎？？？

jake8

原帖由 chenglin4636931 于 2009-5-20 22:00 發(fā)表
是嗎！！企業(yè)中一定要架設(shè)dns服務(wù)器嗎？？？

當(dāng)然不一定，很多小公司都是用萬網(wǎng)的，或者新網(wǎng)的，ps;萬網(wǎng)，新網(wǎng)也經(jīng)常受到攻擊，導(dǎo)致無法正常解析。一般大量二級(jí)解析或者要做智能dns，cdn 等網(wǎng)站，比如sina 163等。。門戶類，每天上億的流量，當(dāng)然要自己建了。大大們還不現(xiàn)身。。。

jake8

米人理。。。

veyron

原帖由 jake8 于 2009-5-21 13:35 發(fā)表
想討論下ddos cc 等攻擊dns 服務(wù)器，大家有什么好的方案，08年開始  攻擊dns的案例越來越多了，本人所在公司都遇到過，dns比較集中，不像網(wǎng)站可以做大量群集頂著。。

DNS集群還是比較好弄的，同一域名多對(duì)應(yīng)幾臺(tái)NS就OK了，DNS本身還是有一定分布式能力的，本次問題是dnspod服務(wù)器貌似都是別人贊助的（性能應(yīng)該不怎么樣），同時(shí)DNS集群機(jī)器太少

freett

當(dāng)年的流氓軟件是明目張膽的干
現(xiàn)在的流氓軟件是偷偷摸摸的干

llzqq

在DDOS面前，沒錢的話一切都是白搭。這個(gè)話題都討論10幾年了，答案還是一樣。

1.增加服務(wù)器處理能力，要能處理攻擊流量。
2.增加足夠的帶寬，足夠容納攻擊流量。

實(shí)際上誰有那么多錢呢，新網(wǎng)，萬網(wǎng)，美國白宮網(wǎng)不一樣趴下了嗎？


從另一個(gè)層面講，現(xiàn)階段，法律也許是解決問題的最佳途徑

[ 本帖最后由 llzqq 于 2009-5-21 18:16 編輯 ]

jake8

原帖由 veyron 于 2009-5-21 16:30 發(fā)表



DNS集群還是比較好弄的，同一域名多對(duì)應(yīng)幾臺(tái)NS就OK了，DNS本身還是有一定分布式能力的，本次問題是dnspod服務(wù)器貌似都是別人贊助的（性能應(yīng)該不怎么樣），同時(shí)DNS集群機(jī)器太少

我搞過， 3臺(tái)ns 其中兩臺(tái)所在機(jī)房掛了，還是會(huì)出現(xiàn)部分用戶無法解析，盡管ns3是正常的，百度老兄解釋下。

jake8

資金是個(gè)最大問題。。確實(shí)。。。我覺得ddos還是要在源頭解決才行，看來只有等下一代網(wǎng)絡(luò)了。

[ 本帖最后由 jake8 于 2009-5-21 18:26 編輯 ]