Устойчивый DNS

DNS (англ. Domain Name System — система доменных имён) — распределённая компьютерная  система серверов для получения информации о доменах.

DDoS-атаки на DNS

Вместо атаки на сам сайт, можно атаковать сервер DNS, отвечающий за хранение информации о домене этого сайта. В этом случае браузеры пользователей не смогут определить его IP-адрес, и сайт для них окажется недоступен.

Злоумышленник может постоянно генерировать запросы DNS для сервера DNS с целью исчерпания его ресурсов. Это несложно, так как на каждый запрос сервер тратит в тысячи раз больше процессорного времени, чем клиент на создание этого запроса. В протоколе UDP не проверяется легитимность соединения, и это упрощает процесс подделки исходящего адреса запросов. Так как пакеты выглядят совершенно легитимными, NS-сервер должен ответить на все. Без наличия специальной защиты единственными способами нейтрализовать атаку является повышение мощности NS-серверов.

Кроме того что постоянное наращивание мощности сервера DNS проблематично, такой сервер сам может использоваться злоумышленниками для организации дальнейших DDoS-атак на других жертв.

Описание услуги 

Защита от атак этого типа обеспечивается предоставлением дополнительного сервера DNS Qrator. В нем реализованы передовые методы нейтрализации подобных атак и разработана специальная логика обработки запросов «ботов», отличная от обработки легитимных пользовательских запросов.

Чтобы воспользоваться нашей услугой защиты, необходимо выбрать один из возможных вариантов её реализации:

1. Qrator Secondary DNS (защита с раскрытием зоны). Клиент разрешает передачу зоны со своего текущего основного (Primary) NS-сервера нашему серверу ns.qrator.net,после чего указывает IP-адрес, выделенный Qrator Labs, как адрес авторитативного сервера для своей зоны (заменяя или дополняя существующие). Со стороны Qrator Labs настраивается передача  файла зоны с основного NS-сервера клиента, адрес которого теперь неизвестен злоумышленникам (такая конфигурация носит название Hidden Primary).

2. Qrator DNS Reverse Proxy (защита без раскрытия зоны). В некоторых случаях у клиента нет возможности (например, из соображений безопасности) передавать нашему серверу управление своей доменной зоной. В этом случае достаточно сообщить нам IP-адрес(а) авторитативных серверов (а лучше всего, такого же Hidden Primary NS-сервера, данных о котором нет в публичной сети) и указать IP адрес, выделенный Qrator Labs, как адрес авторитативного сервера для свой зоны (заменяя или дополняя существующие). При таком подключении NS-сервер Qrator Labs будет выступать сервером-рекурсором с кэшэм данных о подключенной зоне клиента. В случае отсутствия у нашего сервера информации о какой-либо записи, он пошлет запрос к upstream-серверу, и сохранит ответ у себя. При этом будут также учитываться все возможные варианты развития вектора атаки.

Преимущества Устойчивого DNS Qrator Labs:

  • облачное решение на сети Qrator Labs – клиент не устанавливает дополнительное ПО и не покупает дополнительное оборудование;
  • в случае атаки на DNS хотя бы один сервер остается функционирующим всегда;
  • простота подключения;
  • улучшение стабильности работы защищаемого ресурса даже без атаки.