当对我们的“主要”外部DNS提供者的DDOS攻击发生时，是否可能有一个辅助托管的DNS提供者来快速委派给？

因此，我们的DNS提供商经常在其系统上遭受DDOS攻击，从而导致我们的前端网站瘫痪。

在减少对单一外部托管DNS提供商的依赖方面有哪些选择？我的第一个想法是使用较低的到期TTL和其他SOA TTL，但感觉它们对辅助DNS服务器行为的影响比其他任何因素都大。

即，如果您遇到DNS中断（在本例中为DDOS导致），该中断持续了超过1个小时，请将所有内容委派给第二提供商。

人们在使用外部DNS并使用其他托管DNS提供程序作为备份时会做什么？

请注意我们友好的主持人：这个问题比那里的“通用缓解DDOS攻击”问题更为具体。

编辑：2016-05-18（几天后）：因此，首先感谢您AndrewB的出色回答。我要在此处添加更多信息：

因此，我们联系了另一个DNS服务提供商，并与他们聊天。经过思考并进行了更多研究后，实际上这比我认为与两家DNS提供商进行的合作要复杂得多。这不是一个新的答案，实际上是该问题的关键所在！这是我的理解：

-许多此类DNS提供商提供诸如“智能DNS”之类的专有功能，例如具有keepalive的DNS负载平衡，用于配置响应方式（基于地理位置，各种记录权重等）的逻辑链。 。因此，第一个挑战是使两个托管提供者保持同步。两个托管提供者将必须由必须与他们的API自动交互的客户保持同步。这不是火箭科学，而是持续不断的运营成本，这可能是痛苦的（考虑到功能和API双方的变化）。

-但是这是我的问题的补充。假设有人确实根据AndrewB的响应使用了两个托管提供程序。我是否正确，根据规格此处没有“主要”和“次要” DNS？即，您向域注册商注册了四个DNS服务器IP，其中两个是您的DNS提供者之一，其中两个是另一个的DNS服务器。因此，您基本上只需要向世界展示您的四个NS记录，所有这些都是“主要”记录。那么，我的问题的答案是“否”吗？

首先，让我们在标题中解决这个问题。

是否可以让辅助托管DNS提供程序快速委派给

当我们谈论域顶部的委托时，“ Quick”和“ delegation”不在同一句子中。由顶级域（TLD）注册表操作的名称服务器通常会提供具有以天为单位的TTL的引荐。NS服务器上存在的权威记录可能具有较低的TTL，最终取代了TLD引用，但是您无法控制Internet上的公司选择删除其整个缓存或重新启动服务器的频率。

为简化起见，最好假设互联网至少需要24小时才能为您的域顶部进行域名服务器更改。由于您的域名顶部是最薄弱的环节，因此，这是您最需要计划的。

在减少对单一外部托管DNS提供商的依赖方面有哪些选择？

这个问题更容易解决，与流行观点相反，答案并不总是“找到更好的提供者”。即使您使用一家拥有良好业绩的公司，最近几年也证明，没有人是绝对可靠的，甚至没有Neustar。

• 信誉卓著的大型，历史悠久的DNS托管公司更难以粉碎，但目标更大。由于有人试图使您的域脱机，它们不太可能消失，但是由于它们托管更具吸引力的域，因此它们更可能脱机。它可能不会经常发生，但仍然会发生。
• 相反，运行自己的名称服务器意味着与目标对象相比，您与他人共享名称服务器的可能性较小，但是如果有人决定专门针对您，那么这将使您更容易被淘汰。 。

对于大多数人来说，选项1是最安全的选择。中断可能仅每隔几年发生一次，并且如果确实发生了攻击，则将由拥有更多经验和资源来解决问题的人员来处理。

这给我们带来了最终，最可靠的选择：使用两家公司的混合方法。这样可以抵御所有鸡蛋都放在一个篮子里带来的问题。

为了便于讨论，我们假设您当前的DNS托管公司有两个名称服务器。如果将两个由另一家公司管理的名称服务器添加到组合中，则需要对两个不同的公司进行DDoS才能使您脱机。这将保护您免受即使像Neustar这样的巨人打taking睡的罕见事件。相反，挑战变成了寻找一种方法来可靠地，一致地向多个公司提供DNS区域的更新。通常，这意味着拥有面向互联网的隐藏主机，该主机允许远程伙伴执行基于密钥的区域传输。当然也可以使用其他解决方案，但是我个人并不喜欢使用DDNS来满足此要求。

不幸的是，最可靠形式的DNS服务器可用性的成本更高。现在，您的问题很可能是导致这些服务器不同步的问题的结果。防火墙和路由更改会中断区域传输，这是最常见的问题。更糟糕的是，如果长时间未注意到区域传输问题，则SOA可能会达到您的记录定义的到期计时器，并且远程服务器将完全删除该区域。广泛的监视是您的朋友。

总结一下，有很多选择，每个选择都有其缺点。由您来权衡可靠性与各个取舍之间。

• 对于大多数人来说，将DNS托管在一家在处理DDoS攻击方面享有盛誉的公司就足够了……为了简化操作，每隔几年发生一次故障的风险就足够了。
• 在处理DDoS攻击方面声誉欠佳的公司是第二常见的选择，尤其是在寻找免费解决方案时。请记住，免费通常意味着没有SLA保证，并且如果确实发生问题，您将无法提高对该公司的紧迫性。（如果您的法律部门有此类要求，则可以提起诉讼）
• 具有讽刺意味的是，最不常见的选择是使用多个DNS托管公司的最强大的选择。这是由于成本，操作复杂性和长期收益所致。
• 至少在我看来，最糟糕的情况是决定自己托管。很少有公司有经验丰富的DNS管理员（他们不太可能造成意外中断），有丰富的经验和资源来处理DDoS攻击，愿意投资进行符合BCP 16概述的标准的设计，并且在大多数情况下，这三者的结合。如果您想使用只面向公司内部的权威服务器，那是一回事，但是面向DNS的互联网则是另一回事。

显然，DNS服务提供商应该做一些事情，以及他们可以做的很多事情，以确保服务尽可能可靠。

如果服务提供商似乎有不合理的问题，则可以考虑将它们全部替换掉​​，但是在某些类别或问题中，单独运营服务本身也会有所帮助。

作为客户，我认为超越一个提供商的最明显选择可能是通过始终将您的域名委托给多个DNS服务提供商的名称服务器来对冲您的赌注（而不是更改委托以防万一）的麻烦）。

要使其正常工作，需要处理的只是使区域数据在这些不同提供程序的名称服务器之间保持同步。

经典的解决方案是简单地使用DNS协议本身一部分的主/从区域传输功能（这显然需要允许您使用这些功能的服务），或者让服务提供商之一成为主服务器或可能运行您自己的主服务器。