*プライマリ*外部DNSプロバイダーへのDDOS攻撃が発生したときに、セカンダリマネージドDNSプロバイダーをすばやく委任することは可能ですか？

そのため、当社のDNSプロバイダーは、頻繁にシステムのDDOS攻撃を経験し、その結果、当社の前面のWebサイトがダウンします。

SINGLE外部マネージドDNSプロバイダーへの依存を減らすという点で、いくつかのオプションは何ですか？私の最初の考えは、より低い有効期限TTLと他のSOA TTLを使用することでしたが、これらは何よりもセカンダリDNSサーバーの動作に影響を与えるように感じます。

つまり、1時間以上続くDNSの停止（この例ではDDOSによる）が発生した場合、すべてをセカンダリプロバイダーに委任します。

外部DNSに関して、そして別の管理されたDNSプロバイダーをバックアップとして使用する場合、人々はそこで何をしますか

友好的なモデレーターへの注意：この質問は、「一般的なDDOS攻撃を緩和する」質問よりもはるかに具体的です。

編集：2016-05-18（数日後）：だから、まずはAndrewBにすばらしい回答をありがとう。ここに追加する情報がいくつかあります。

そこで、別のDNSサービスプロバイダーに連絡して、チャットをしました。考えてもう少し研究を行った後、実際には、2つのDNSプロバイダーを使用するよりもはるかに複雑です。これは新しい答えではなく、実際には質問に対するより多くの情報/情報です！ここに私の理解があります：

-これらのDNSプロバイダーの多くは、「インテリジェントDNS」などの独自の機能を提供します。たとえば、キープアライブによるDNSロードバランシング、応答の返送方法を構成するロジックチェーン（地理的位置、レコードへのさまざまな重みなど）。 。したがって、最初の課題は、2つの管理対象プロバイダーの同期を維持することです。また、2つのマネージドプロバイダーは、APIとの対話を自動化する必要のある顧客によって同期を維持する必要があります。ロケット科学ではなく、痛みを伴う継続的な運用コスト（機能とAPIの両面で変更が行われた）。

-しかし、ここに私の質問への追加があります。AndrewBの応答に従って、誰かが2つのマネージドプロバイダーを使用したとしましょう。仕様に従って、「プライマリ」および「セカンダリ」DNSが存在しないという点で正しいですか？つまり、4つのDNSサーバーIPをドメインレジストラーに登録します。そのうち2つはDNSプロバイダーの1つであり、2つは他のDNSサーバーです。したがって、基本的には、4つのNSレコードがすべて「プライマリ」である世界を表示することになります。だから、私の質問への答えは「いいえ」ですか？

まず、タイトルの質問に対処しましょう。

すぐに委任するセカンダリ管理されたDNSプロバイダーを持つことは可能ですか？

ドメインのトップの委任について話しているとき、「クイック」と「委任」は同じ文に属していません。トップレベルドメイン（TLD）レジストリが運用するネームサーバーは、通常、TTLが日単位で測定される紹介を提供します。NSサーバーに存在する信頼できるレコードのTTLが低くなり、TLDの紹介が置き換えられる場合がありますが、インターネット上の企業がキャッシュ全体を削除するか、サーバーを再起動することを選択する頻度を制御することはできません。

これを簡略化すると、インターネットがドメインのトップのネームサーバーの変更を検出するのに少なくとも24時間かかると想定するのが最善です。ドメインの最上部が最も弱いリンクであるため、これを最も計画する必要があります。

SINGLE外部マネージドDNSプロバイダーへの依存を減らすという点で、いくつかのオプションは何ですか？

この質問ははるかに解決可能であり、一般的な意見に反して、答えは常に「より良いプロバイダーを見つける」とは限りません。たとえ非常に優れた実績を持つ会社を使用していても、近年、誰もが間違いなく、Neustarでさえないことを証明しています。

• 評判の良い大規模で定評のあるDNSホスティング会社は、潰すことは難しくなりますが、ターゲットは大きくなります。誰かがあなたのドメインをオフラインにしようとしているため、暗くなる可能性は低くなりますが、より魅力的なターゲットであるドメインをホストしているため、オフラインになる可能性が高くなります。頻繁に発生することはありませんが、それでも発生します。
• 反対に、独自のネームサーバーを実行することは、あなたよりも魅力的なターゲットとネームサーバーを共有する可能性が低いことを意味しますが、誰かがあなたを明確にターゲットにすることに決めた場合、あなたははるかに簡単に倒すことができます。

ほとんどの場合、オプション＃1が最も安全なオプションです。停止は数年に1回しか発生しない可能性があり、攻撃が発生した場合は、問題に対処するためのより多くの経験とリソースを持っている人が対処します。

これにより、最終的な最も信頼性の高いオプション、つまり2つの企業を使用した混合アプローチが実現します。これにより、すべての卵を1つのバスケットに入れることに伴う問題に対する回復力が提供されます。

議論のために、現在のDNSホスティング会社が2つのネームサーバーを持っていると仮定しましょう。別の会社が管理する2つのネームサーバーをミックスに追加すると、2つの異なる会社に対してDDoSがかかり、オフラインになります。これにより、Neustarのような巨人が泥の昼寝をするというまれなイベントからも保護されます。代わりに、DNSゾーンの更新を複数の会社に確実かつ一貫して配信する方法を見つけることが課題になります。通常、これは、リモートパートナーがキーベースのゾーン転送を実行できるようにする、隠されたマスターに直面するインターネットを持つことを意味します。他のソリューションも確かに可能ですが、私は個人的にはこの要件を満たすためにDDNSを使用することは好きではありません。

DNSサーバーの可用性の最も信頼できる形式のコストは、残念ながら、より複雑です。問題は、これらのサーバーが同期しなくなる問題の結果である可能性がはるかに高くなりました。ゾーン転送を中断するファイアウォールとルーティングの変更は、最も一般的な問題です。さらに悪いことに、ゾーン転送の問題が長期間気付かれない場合、SOAレコードで定義された有効期限タイマーに到達し、リモートサーバーはゾーンを完全にドロップします。ここでは、広範な監視があなたの友人です。

これらをすべてまとめると、いくつかのオプションがあり、それぞれに欠点があります。信頼性とそれぞれのトレードオフのバランスを取るのはあなた次第です。

• ほとんどの場合、DDoS攻撃に対処することで高い評価を得ている企業でDNSをホストするだけで十分です。数年に1度低下するリスクは、単純さのためには十分です。
• 特に無料のソリューションを探している場合、DDoS攻撃に対処するための鉄壁の評判が低い会社が2番目に最も一般的なオプションです。通常、無料というのはSLA保証人ではないことを覚えておいてください。問題が発生した場合、その会社に緊急性をもたらす方法はありません。（または、法務部門がそのようなことを要求する場合は、訴える人）
• 皮肉なことに、最も一般的なオプションは、複数のDNSホスティング会社を使用する最も堅牢なオプションです。これは、コスト、運用の複雑さ、および長期的なメリットが認識されているためです。
• 最悪の場合、少なくとも私の意見では、自分のホストを決めることです。DNS管理者（偶発的な停止を引き起こす可能性が低い）、DDoS攻撃に対処するための経験とリソース、BCP 16で概説された基準を満たす設計への投資意欲、およびほとんどすべてのシナリオで3つすべての組み合わせを経験した企業はほとんどありません。会社の内部にしか面していない権限のあるサーバーをいじりたいのであれば、それは1つのことですが、DNSに直面しているインターネットはまったく別のゲームです。

サービスが可能な限り信頼できることを保証するために、DNSサービスプロバイダーが行うべきこと、およびできることは明らかにあります。

サービスプロバイダーに不当な問題があるように見える場合、それらを完全に交換することを検討することはおそらく理にかなっていますが、その後、個別に運用されるサービスを持つこと自体が役立つクラスまたは問題もあります。

顧客として、1つのプロバイダーに依存する以上の最も明白なオプションは、おそらくドメインを複数のDNSサービスプロバイダーからネームサーバーに常に委任することによって賭けをヘッジすることだと思います（場合に応じて委任を変更するのではなく）トラブルの）。

それが機能するために対処する必要があるのは、基本的にこれらの異なるプロバイダーのネームサーバー間でゾーンデータを同期させるだけです。

その古典的な解決策は、DNSプロトコル自体の一部であるマスター/スレーブゾーン転送機能を単純に使用することです（これには明らかにこれらの機能を使用できるサービスが必要です）。マスターまたは独自のマスターサーバーを実行している可能性があります。