....有关最近电信，网通dns 故障分析

jake8

先看sina新闻：
   
中国电信表示,由于暴风影音网站自身域名解析故障,导致中国电信DNS服务器访问量突增,网络处理性能下降.5月19日21:50开始,有江苏、安徽、广西、海南、甘肃、浙江等六省用户申告访问网站速度变慢或无法访问.

据介绍,中国电信收到用户申告之后,立即屏蔽受影响省份存在解析故障的网络地址,至5月19日22:40,中国电信各省DNS服务全部恢复正常,网络已完全通畅.

中国电信表示,今后将进一步做好网络监控工作,发现异常情况及时处理,尽量减少对用户的影响,保障用户享受到通畅的网络服务.

-------------------------------------------------------------------------------

我理解是：暴风影音解析故障，然后晚上在线人数很多，暴风域名解析出问题，然后客户端要去打开暴风影音网站，dns服务器cache没记录，向上一级dns请求，大量询量非常巨大并且重试时间间隔极短导致DNS服务器系统资源耗尽down掉，跟ddos cc 攻击dns一个原理，跟上次迅雷被利用ddos一样，装了客户端的用户暂时变成肉机，估计暴风客户端可能写得很疯狂，一秒n次请求等。。。

想讨论下ddos cc 等攻击dns 服务器，大家有什么好的方案，08年开始  攻击dns的案例越来越多了，本人所在公司都遇到过，dns比较集中，不像网站可以做大量群集顶着。。
dns 感觉是软肋。。。大家都讨论讨论对策、

jake8

呼唤  abel 网中人 等大大们。。

chenglin4636931

是吗！！企业中一定要架设dns服务器吗？？？

jake8

原帖由 chenglin4636931 于 2009-5-20 22:00 发表
是吗！！企业中一定要架设dns服务器吗？？？

当然不一定，很多小公司都是用万网的，或者新网的，ps;万网，新网也经常受到攻击，导致无法正常解析。一般大量二级解析或者要做智能dns，cdn 等网站，比如sina 163等。。门户类，每天上亿的流量，当然要自己建了。大大们还不现身。。。

jake8

米人理。。。

veyron

原帖由 jake8 于 2009-5-21 13:35 发表
想讨论下ddos cc 等攻击dns 服务器，大家有什么好的方案，08年开始  攻击dns的案例越来越多了，本人所在公司都遇到过，dns比较集中，不像网站可以做大量群集顶着。。

DNS集群还是比较好弄的，同一域名多对应几台NS就OK了，DNS本身还是有一定分布式能力的，本次问题是dnspod服务器貌似都是别人赞助的（性能应该不怎么样），同时DNS集群机器太少

freett

当年的流氓软件是明目张胆的干
现在的流氓软件是偷偷摸摸的干

llzqq

在DDOS面前，没钱的话一切都是白搭。这个话题都讨论10几年了，答案还是一样。

1.增加服务器处理能力，要能处理攻击流量。
2.增加足够的带宽，足够容纳攻击流量。

实际上谁有那么多钱呢，新网，万网，美国白宫网不一样趴下了吗？


从另一个层面讲，现阶段，法律也许是解决问题的最佳途径

[ 本帖最后由 llzqq 于 2009-5-21 18:16 编辑 ]

jake8

原帖由 veyron 于 2009-5-21 16:30 发表



DNS集群还是比较好弄的，同一域名多对应几台NS就OK了，DNS本身还是有一定分布式能力的，本次问题是dnspod服务器貌似都是别人赞助的（性能应该不怎么样），同时DNS集群机器太少

我搞过， 3台ns 其中两台所在机房挂了，还是会出现部分用户无法解析，尽管ns3是正常的，百度老兄解释下。

jake8

资金是个最大问题。。确实。。。我觉得ddos还是要在源头解决才行，看来只有等下一代网络了。

[ 本帖最后由 jake8 于 2009-5-21 18:26 编辑 ]