Názory k článku Druhý český 100GE DNS stack zvyšuje odolnost domény proti DDoS
-
„Závisí na“ a „není důvod zbytečně to zveřejňovat“ je rozdíl. Vyšší zabezpečení vždy něco stojí – zvlášť když se bavíme o DDoS, kde prakticky jedinou obranou je mít „tlustší linku“ než útočník. Takže tím nezveřejněním můžete třeba ušetřit na tom, že tu „tlustší linku“ (a odpovídající výkon serverů) pořídíte až později, až se ty informace ven dostanou.
-
z pohledu utocnika je moznost odtestovat si dostupnou kapacitu kratkym utokem za par $, tudiz nezverejneni kapacity linky neni obrana.
Jak? Podle mne by tím zjistil akorát „tohle je málo“, musel by to testovat znova, s větším provozem a tudíž dráž, a takhle by se postupně dostal až na hranici, kdy už to cílová infrastruktura nezvládne. A nebo to zkusit rovnou s podstatně dražším útokem, s tím, že možná zbytečně přestřelí a bude platit zbytečně moc. -
Petr Neni (neregistrovaný)
Danny, ta informace je dostupna ale jenom castecne (ruzne zdroje, ruzne cisla), NIC oficialne neuvadi podrobnejsi popis sve infrastruktury (ve smyslu tady mame 100GE, tady 200GE atd). S neochotou to myslim nema nic spolecne, spise je to neochota NIC.cz tyhle informace uvadet. ;)
-
Dobrý den,
tento údaj Vám bohužel nesdělím, navíc záleží, o jaký útok by se jednalo. Ale můžete si udělat alespoň představu na základě kapacity linek.
Tento druhý DNS stack je připojen 100GE do uzlu NIX.CZ a 10GE do tranzitu. V horizontu měsíce až dvou bude proveden upgrade na 100GE do tranzitu. Servery za routerem jsou koncipovány tak (zde Vás odkáži na první díl seriálu o upgrade DNS), aby tyto linky dokázaly bez problémů naplnit provozem.
Co se týká prvního DNS stacku, ten je připojen 100GE do uzlu NIX.CZ a zatím 10GE do tranzitu.
-
Dobrý den,
děkuji za všímavý dotaz.
Serverové zdroje nebyly v době pořízení fotografie u některých serverů skutečně zapojeny. Finální stav je samozřejmě takový, že zdroje jsou zapojeny redundantně, do dvou PDU.
Síťově je každý server připojen dvěma UTP patchordy do obou switchů Nexus 3048 (modrá a bílá barva). Pro DNS provoz je pak jedna polovina serverů připojena optickým patchcordem do prvního switche Nexus 3232C, druhá polovina do druhého. Zde redundance není skutečně a zatím ji neplánujeme. V takovém počtu serverů si ji totiž můžeme dovolit.
Servery běží všechny a vždy.
VS
-
tomfi (neregistrovaný)
by mě zajmalo pár věci:
1. proč jste použili BIND, když rovnou uvádíte, že jej kvůli nedostatku výkonu budete v blízké době nahrazovat jiným.
S tím souvisí další otázka:
2. Testovali jste před živým spuštěním výkonnost a stabilitu řešení?
S tím souvisí další otázka:
3. Na čem budete testovat nasazení nového, když hádám druhý takový rack k dispozici nemáte?Ptám se protože mi přijde zvláštní rozjet něco když už vím že to není dobré proto se zeptám ještě na další otázku....
4. to máte jako hračku? -
S Ad 1) bych ještě chvíli počkal. Pro BIND 9.14 chystáme citelné zvýšení výkonu síťové vrstvy a s volitelným kešujícím modulem je docela možné, že se dostaneme rovnou na úroveň Knot DNS a NSD.
V BIND 9.15/9.16 bude pokračovat refaktoring vnitřností a měli bychom se dostat s výkonem na úroveň, kde nebude rozdíl v tom, co nasadíte.
Tak mi držte palce ;)
ČLÁNKY DO MAILU