[GTER] RES: Dúvidas sobre DNS

diegocanton at ensite.com.br diegocanton at ensite.com.br
Wed Mar 18 16:09:26 -03 2015 

Boa tarde galera,

Vou compartilhar minha experiência pessoal.

Amplificação: Quem pensou nisso deve ter feito pacto com o capeta, tive que travar as portas 53 e 123 UDP com destino a toda a rede e liberar apenas para quem realmente precisa, além disso, meus servidores também foram atacados, nunca vou esquecer dos +3Gbps. Solucionamos isso tudo definindo regras para acesso aos servidores DNS recursivos apenas a nossos blocos, mas temos muitos clientes ISP e trânsito que usam nossa infra como DNS, e nesses eu não pude fazer nada, resultado, ataques constantes, dias e dias solicitando para bloquearem e nada, enquanto isso meus servidores mergulhando e voltando após restart dos daemons. Não teve solução, acabamos por subir uma infra para rodar isso em Anycast, seguindo um ideia apresentada por um rapaz da Registro.Br em um dos encontros GTER, com algumas adaptações.

Hoje possuo 2 servidores rodando os IPs em Anycast, ligados por BGP diretamente com os Roteadores de Acesso, esses servidores mantém os clientes finais apenas. Há outros 2 servidores também em Anycast para um cliente de trânsito com trafego muito expressivo, esses porém foram montados pelo próprio cliente, seguindo as instruções e explicações de nosso caso. E os antigos servidores ficaram rodando os outros clientes que não possuem servidores próprios e que preferem deixar isso conosco, como a carga geral foi reduzida, não tenho quase reclamações.

O resultado final é muito bom, divisão de toda a carga entre vários servidores, um custo para testes um pouco maior, mantenho um PRTG testando todos e centralizando os gráficos gerados pelo Munin, isso me ajuda a ter um panorama geral de como esta tudo.

Diante da experiência, a ideia parece ser boa, porém temos um porém, qual será o IP utilizado? Não seria ético "sequestrar" de um provedor qualquer. Tudo tem que ser muito bem pensado, planejado, filtrado para evitar problemas. O resultado final não seria um divisor de cargas, pois a visibilidade desses anycast seriam apenas no server local e se falhar iriam para o central.

Uma ideia a ser avaliada é utilizar servidores espalhados para distribuir o processamento central, mas não sei se isso iria gerar um ganho real.

Abaixo segue de onde tirei a ideia para montar nosso anycast
Autor: Marcelo Gardini
PDF: ftp://ftp.registro.br/pub/gter/gter23/05-DNSrecEstavelEscalavel.pdf
Video: http://video.rnp.br/portal/video.action;jsessionid=833E5826E5CA3B9D3F37E199EADE1DED?idItem=10037

Aproveito para agradecer o Srº Marcelo, seu trabalho foi primordial para o sucesso da  solução usada.

Att,
_______________________________________________________________________


-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de Giovane Heleno
Enviada em: quarta-feira, 18 de março de 2015 12:23
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Dúvidas sobre DNS

Mas a ideia não é deixar aberto a todo mundo.
E sim somente aos participantes do projeto.



Giovane Heleno
www.giovane.pro.br
www.isptools.com.br


Em 18 de março de 2015 11:26, Danton Nunes <danton.nunes at inexo.com.br>
escreveu:

> On Wed, 18 Mar 2015, Giovane Heleno wrote:
>
>  Senhores,
>>
>> Vendo os problemas, soluções, reclamações, idéias e afins nesta 
>> thread, pergunto-lhes...
>>
>> Um servidor DNS com modelo de distribuição e apoio dos participantes 
>> do ISP Tools... o que acham?
>> Como alternativa ao 8.8.8.8 e afins... seria uma boa pra todos nós? 
>> Ou seria uma utopia?
>>
>
> considerando que há root servers aos montes, não vejo qual é a 
> dificuldade de cada provedor e cada rede corporativa prover serviço de 
> DNS recursivo aos seus clientes. o gerenciamento do 8.8.8.8 é 
> complicado. ele já foi (não duvido que ainda seja) usado como 
> amplificador de ataques baseados em UDP com remetente falso.
>
>  Basicamente uma VM com um DNS server (Unbound por exemplo) e BGP
>> anunciando
>> ip em anycast.
>> Podemos centralizar o gerenciamento no ISP Tools.
>>
>
> e está pronta uma máquina de amplificar ataques. Unbound só deve ser 
> usado por um conjunto pequeno e bem administrado de usuários, 
> tipicamente seus clientes ou os clientes de tua rede local. e 
> COMPLETAMENTE BLOQUEADO (sim,
> gritando) para qualquer outro.
>
> -- Danton
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list