Во время недавней DDoS-атаки на серверы Dyn, многие веб-сайты долгое время были недоступны. Однако эти веб-сайты можно было разрешить через общедоступные DNS-серверы Google. Я предполагаю, что IP-адреса кэшировались в течение времени TTL с момента последней проверки, которая была настроена владельцем домена через Dyn до его отключения, это правильно? Если да, то означает ли это, что если кто-то воспользуется инструментом очистки общедоступного DNS-кеша Google для очистки, скажем, twitter.com, он станет недоступен для всех, кто использовал общедоступный DNS Google в качестве резервного для разрешения этого домена во время Dyn? s простоя?
Однако эти веб-сайты можно было разрешить через общедоступные DNS-серверы Google.
Недолго и когда истечет TTL кеша, этот DNS тоже должен будет перейти к официальному DNS для разрешения записи .
это правильно?
Да, конечно.
Если да, то означает ли это, что если кто-то воспользуется инструментом очистки общедоступного DNS-кеша Google для очистки, скажем, twitter.com, он станет недоступен для всех, кто использует общедоступный DNS-сервер Google в качестве резервной копии для разрешить этот домен во время простоя Dyn?
В этом случае эти серверы станут непригодными для использования. Но в любом случае к нему прикреплен TTL, даже если вы не очистите его (очистите его), тогда его также можно использовать в течение ограниченного времени (независимо от того, какой кеш остается).
Также следует отметить, что у общедоступного DNS Google есть несколько экземпляров, работающих за LB (балансировщиком нагрузки), я бы предположил, что да, если бы вы заметили, т.е. если вы быстро выполняете запросы к общедоступному DNS, он дает разный TTL в каждом ответе.Это будет означать, что экземпляр сервера с наименьшим TTL - это максимальное время, в течение которого вы можете легко получить ответы на свою запись после этого, если вы отправитесь запросить тот DNS, на котором истек TTL, вы не получите ответа.
способ преодолеть это - иметь запись в / etc / hosts того веб-сайта, на котором вы хотите получить 100% доступность. (и это как вернуться назад;))
Надеюсь, это поможет!
Ваша гипотеза верна. Если кэширующий сервер имен больше не имеет действительной копии запрошенной записи (т. Е. Он был «сброшен» или был достигнут TTL), то он должен связаться с вышестоящим сервером, чтобы иметь возможность обработать ответ.
В случае, если кэширующий сервер запрашивает авторитетные серверы напрямую, если авторитетные серверы не могут ответить (как это было в случае с Dyn-атакой на прошлой неделе), то единственный ответ, который кэширующий сервер может дать клиенту, - это отказ.