Что такое резервный DNS? Как защититься от DDoS-атак.
Резервный DNS — важная часть любого веб-сайта или инфраструктуры приложений. Это система резервных служб DNS, обеспечивающая доступность в случае сбоя любой основной службы DNS. Настройка надежной службы резервного копирования DNS необходима для предприятий, которые полагаются на свой веб-сайт и приложения для получения средств к существованию.
Содержание
Объяснение DNSDNS или система доменных имен является основой Интернета. Он соединяет всех пользователей с нужным им контентом. Это означает, что это служба каталогов, которая преобразует удобочитаемые доменные имена в числовые IP-адреса. Это постоянный обмен информацией, но иногда DNS дает сбой, что приводит к простоям. Период отключения, которого можно избежать, используя резервный DNS.
Резервный DNS
Резервный DNS, также известный как Вторичный DNS или альтернативный DNS, представляет собой систему из одного или нескольких DNS-серверов, у которых есть копия данных зоны (DNS-записей) главного (первичного) DNS-сервера.
Это повышает отказоустойчивость, сокращая периоды простоя, отвечая на запросы, даже если мастер не работает.
Службы резервного копирования DNS обеспечивают дополнительную защиту от перебоев в работе службы. Они позволяют веб-сайту оставаться в рабочем состоянии даже в случае сбоя основного DNS, часто за счет обслуживания DNS-запросов из другого места. Кроме того, резервные копии могут использовать те же протоколы, что и первичные серверы, или размещаться в распределенных облачных сетях, что повышает надежность и производительность.
Как это работает?Резервное копирование DNS выполняется в несколько простых шагов. Вот они:
- Во-первых, когда пользователь запрашивает веб-сайт или приложение, DNS-запрос отправляется на основной DNS-сервер.
- Затем основной DNS-сервер преобразует доменное имя в соответствующий IP-адрес. Но если главный DNS-сервер не работает, запрос перенаправляется на резервный DNS-сервер.
- Затем резервный сервер разрешает доменное имя и возвращает IP-адрес запрашивающему устройству, разрешая доступ к веб-сайту или приложению.
Резервное копирование DNS является важной частью любого веб-сайта или инфраструктуры приложений. Основным преимуществом его наличия является улучшенная доступность веб-сайта или приложения в случае сбоя любой основной службы DNS. Ваш веб-сайт или приложение будут продолжать работать даже в случае сбоя основного DNS, перенаправляя пользователей на другой DNS-сервер.
Благодаря надежной службе резервного копирования DNS компании лучше защищены от вредоносных атак, таких как атаки распределенного отказа в обслуживании (DDoS). Кроме того, для еще большей защиты от подобных киберугроз существуют защищенные от DDoS службы DNS, которые добавляют еще один уровень защиты.
Службы резервного копирования DNS также могут обеспечить более быстрое время поиска DNS, улучшенное представление вашего веб-сайта или приложения за счет предоставления идентичного контента по всему миру и плавное переключение в случае сбоев сервера.
Еще одним преимуществом является масштабируемость. Он предназначен для масштабирования при любом увеличении трафика, как с точки зрения количества обрабатываемых запросов, так и размера базы данных DNS. По мере роста вашего веб-сайта или приложения Backup DNS поможет вам не потерять трафик просто из-за нехватки емкости. Кроме того, эти службы часто поставляются со встроенными функциями, такими как возможности аварийного переключения, Anycast DNS и т. д., которые могут повысить общую производительность и надежность вашего веб-сайта или приложения.
Что самое худшее может случиться? Dyn DNS атака 2016 года
Просто спросите пользователей Dyn DNS, которые стали жертвами массовой DDoS-атаки 2016 года. Пострадали многие известные веб-сайты и сервисы: Airbnb, Amazon, Twitter, BBC, CNN, Etsy, Github, PayPal, Spotify и многое другое. Их пользователи довольно долго оставались без обслуживания. Злоумышленники создали огромный объем трафика, из-за чего система жертвы зависла и в конечном итоге вышла из строя.
Они сделали это, используя огромное количество ботнетов IoT-устройств (интернет вещей). Существует множество подключенных устройств с низкой степенью защиты, которые можно легко взломать. Количество таких IoT-устройств стремительно растет, но уровень их безопасности не улучшается. Это означает, что в будущем у нас будет много подобных DDoS-атак.
Backup DNS полезен для любой организации, чей веб-сайт или приложение имеет решающее значение для их успеха, поскольку добавляет дополнительный уровень защиты и надежности.
Это особенно важно для предприятий, которые обслуживают большие объемы онлайн-трафика, таких как интернет-магазины, СМИ и т. д. Это связано с тем, что наличие надежного резервного DNS предотвращает сбои в обслуживании и потерю доходов.
Кроме того, предприятия, которые подвергаются вредоносным атакам, например, правительства. банки, медицинские учреждения также получают выгоду от услуг резервного копирования DNS, поскольку эти услуги могут помочь предотвратить перегрузку основного DNS-сервера злоумышленниками.
Кроме того, малые предприятия, которые только начинают свою деятельность и могут не располагать бюджетом крупных компаний, также могут воспользоваться этой услугой резервного копирования. Почему? Потому что эта услуга доступна по цене, а ClouDNS предлагает 30-дневную бесплатную пробную версию для бесплатного тестирования. Воспользуйтесь нашим вторичным DNS-сервисом!
В конечном счете, Backup DNS — бесценный инструмент для организаций любого размера.
Заключение
Если у вас есть несколько DNS-серверов, работающих вместе в сетке, трафик, который исходит от такой DDoS-атаки, будет распределяться между ними. Некоторые из ваших серверов могут на какое-то время выйти из строя, даже ваш основной DNS может выйти из строя, но благодаря резервному копированию DNS остальные будут работать, и ваши клиенты не останутся без обслуживания.
(Посетили 5758 раз, 3 посещения сегодня)
Белослава Петрова
Привет, я Белла. Я специалист по цифровому маркетингу в ClouDNS.
У меня есть степень бакалавра экономики и финансов Лилльского университета, что помогает мне быть в курсе последних тенденций цифрового маркетинга. Я увлечен созданием полезного цифрового маркетингового контента, который обучает, увлекает и привлекает читателей. Когда я не создаю контент и не изучаю цифровые тренды, я путешествую, открываю новые места и запечатлеваю прекрасные моменты на фотографиях.
Понравилась эта статья? Не забудьте поделиться.
Теги: резервный DNS, ботнеты, кибератака, DDoS-атака, резервное копирование DNS, динамический DNS, устройства IoT, основной DNS, защищенный DNS, вторичный DNS Последнее изменение: 9 марта 2023 г.
Резервное копирование и восстановление DNS с помощью команды — ServerGuruNow
DNS является неотъемлемой частью доменных служб Active Directory (AD DS), поскольку он полностью отвечает за разрешение имен DNS.
Когда происходит сбой DNS-сервера, становится невозможным найти ресурсы в сети, и все операции AD резко останавливаются. Поэтому абсолютно необходимо восстановить DNS-серверы.
Один из способов установить это право — выполнить авторизационное восстановление AD DS, поскольку предпочтительный метод Microsoft для резервного копирования DNS-сервера — выполнение резервного копирования состояния системы. Однако это трудоемкий и сложный процесс, в котором необходимо перезапустить контроллеры домена, чтобы изменения вступили в силу, а также в конечном итоге вам потребуется восстановить реестр, базу данных Active Directory и ряд других компонентов. Это приводит к увеличению времени простоя, что отрицательно сказывается на производительности. К счастью, можно сделать резервную копию вашего DNS-сервера независимо, используя альтернативные методы. Однако вы должны выбрать метод, соответствующий типу зоны, для которой вы создаете резервную копию (т. е. зона, интегрированная с AD, или стандартная зона).
Microsoft не рекомендует этот метод, так как он вызывает ненужную репликацию и стирает всю информацию о безопасности в зоне. Если вы используете этот метод, не забудьте сбросить зону до Только безопасные обновления после ее перемещения обратно в Active Directory, если вы хотите, чтобы зона была безопасной. Однако, поскольку вся информация о безопасности будет удалена, клиентские компьютеры, которые не были первоначальными владельцами, могут стать владельцами записей в зоне. Это может быть проблемой безопасности и может привести к проблемам с разрешением имен, которые трудно устранить.
Примечание. Я всегда рекомендую делать состояние системы или делать полную резервную копию на случай, если ситуация ухудшится (лучше перестраховаться, чем потом сожалеть).
Резервное копирование с помощью инструмента командной строки DNSCMD.exe:
DNSCMD (Export-DnsServerZone в PowerShell) восстановление зоны занимает несколько минут, если в записи были внесены изменения, влияющие на среду , эту команду нельзя использовать для переноса зоны на новый сервер, так как команда не создает значения реестра и другие файлы конфигурации, необходимые для правильного функционирования DNS.
Примечание:
1. Команда создает файл, содержащий записи ресурсов для зоны, интегрированной с Active Directory, для устранения неполадок. Резервное копирование состояния системы должно выполняться через регулярные промежутки времени в качестве отказоустойчивого, чтобы избежать аварийного сценария.
Резервное копирование интегрированной зоны DNS без AD.
Резервное копирование основных и дополнительных зон независимо от состояния системы — довольно простой процесс. Вы можете использовать команду xcopy для резервного копирования всех текстовых файлов зоны на DNS-сервере. Эта команда создаст резервную копию содержимого папки DNS по умолчанию в папке «D:\backups\dns»:
xcopy %systemroot%\system32\dns d:\backups\dns /y
Примечание:
Вы также можете просто скопировать файлы зоны (например, Zone.com.dns) с существующего сервера (C:\WINDOWS\system32\dns) и поместить эти файлы .
dns в другое место.Восстановление интегрированной зоны DNS NON-AD аналогично процессу, описанному в разделе Восстановление интегрированной зоны DNS AD:,
. Выполните следующие шаги этой статьи .Резервное копирование зоны DNS, интегрированной в AD
К сожалению, для зон DNS, интегрированных в Active Directory, этот процесс не так прост. Для этих зон средство поддержки dnscmd.exe может выполнить свою работу. Чтобы создать резервную копию любой зоны DNS с помощью dnscmd.exe, вам просто нужно использовать переключатель /zoneexport с командой. Чтобы создать резервную копию зоны Zone1.com локально на DNS-сервере, выполните на DNS-сервере следующую команду:
dnscmd DC1 /zoneexport Zone1.com backup\zone1.com.dns.bak
, где DC1 — имя DNS-сервера, Эта команда записывает копию зоны Zone1.
com в файл %systemroot%\system32\dns\backup\Zone1.com.dns.bak.
AD интегрированная зона DNS Восстановление:
Восстановление может быть выполнено как графически, так и командно. Мы обсудим оба метода, чтобы иметь более четкое представление. Убедитесь, что зона не существует в диспетчере DNS, так как это выдаст ошибку.
A) Графический:
1. Открыть Диспетчер DNS Консоль.
2. Разверните сервер, затем щелкните правой кнопкой мыши Зона прямого просмотра и выберите Новая зона.
3 . На Новой Зоне Мастер, нажмите Далее.
4 . В Zone Type Wizard выберите Основная зона и Снимите флажок Сохранить зону в Active Directory (доступно, только если DNS-сервер является контроллером домена с возможностью записи)
3 90. Имя зоны Мастер, введите имя восстанавливаемой зоны Zone1.com и нажмите Далее.
6. В мастере Zone File выберите параметр Использовать этот существующий файл и укажите путь к файлу (наш файл хранится в %systemroot%\system32\dns\backup, поэтому мы предоставили резервную копию\ zone1.com.dns)
Примечание. Убедитесь, что текущая резервная копия Zone1.com присутствует по следующему пути: C:\Windows\930 09\dns\0backup Копирование
zone1.com.dns.bkp файл в родительскую папку (C:\Windows\System32\dns). Переименуйте файл с zone1.
com.dns.bkp на zone1.com.dns (удалив расширение .bkp ).8. На странице мастера динамического обновления выберите Не делать Разрешить динамические обновления и нажмите Далее.
9. На странице Завершение мастера создания новой зоны нажмите Готово.
10. Убедитесь, что Zone1.com создан. Затем Щелкните правой кнопкой мыши Зона Zone1.com и выберите Свойства.
11. На странице диалога Zone1.com Properties нажмите Изменить. кнопка в поле Тип: Основное
поле. 12. На странице Изменить тип зоны убедитесь, что выбрана Основная зона , и выберите вариант Сохраните зону в Active Directory (доступно, только если DNS-сервер является контроллером домена) и нажмите ОК.
13. В диалоговом окне DNS нажмите Да , чтобы принять изменение.
14. На странице свойств зоны Zone1 .com выберите Только безопасные в поле Динамические обновления .
15 . Наконец-то мы должны настроить и запустить нашу DNS-зону..
B) На основе команды:
Если вам нужно повторно создать новую зону из файла экспорта, вы обнаружите, что это можно сделать с помощью dnscmd.exe с параметром /zoneadd. Единственная загвоздка в этом подходе заключается в том, что если вы хотите восстановить зону, интегрированную с AD, вам нужно сначала добавить зону в качестве основной, а затем преобразовать ее в зону, интегрированную с AD. Например, чтобы восстановить мою зону
dnscmd DC1 /zoneadd Zone1.
com /primary /file Zone1 .com .dns /loadОбратите внимание, что файл резервной копии должен находиться в папке %systemroot%\system32\dns, чтобы он должным образом обнаружены.
Параметр /load указывает команде загрузить конфигурацию из существующего файла. Без него команда создаст новый файл данных зоны, который перезапишет содержимое файла резервной копии.
После добавления зоны на DNS-сервер вы можете преобразовать ее в зону, интегрированную в AD, выполнив:
dnscmd /zoneresettype Zone1.com /dsprimary
На этом этапе вы можете включить безопасные динамические обновления для зоны, выполнив:
dnscmd /config Zone1.com /allowupdate 2
зону, чтобы принимать только безопасные динамические обновления, как указано значением allowupdate, равным 2 (используйте 0, чтобы указать отсутствие динамических обновлений, 1 для небезопасных и безопасных динамических обновлений).
Сценарий резервного копирования и восстановления:
Скрипт, созданный Griffon, может быть очень полезен для резервного копирования большого количества зон.
A) Power-Shell Script : Как сделать резервную копию зон DNS
Ссылка: http://c-nergy.be/blog/?p=1837
#——————— ———————————————————————# # Имя_сценария : DNS_Backup.ps1 # Описание: резервное копирование всех зон DNS, определенных на DNS-сервере Windows 2008. # Требования: Windows 2008/R2 + Установлена консоль управления DNS # Версия : 0.4 – интегрированные комментарии Джеффри Хикса. # Дата: октябрь 2011 г. # Создано Грифоном #——————————————————————————————# #– ОПРЕДЕЛИТЬ ПЕРЕМЕННУЮ——# # Получить имя сервера с переменной env $ DNSSERVER = среда получения содержимого: имя_компьютера #—Определить папку для хранения резервной копии —–# $BkfFolder="c:\windows\system32\dns\backup" #—Укажите имя файла, в котором будут храниться настройки DNS.$StrFile=Join-Path $BkfFolder «input.csv» #—-Проверить, существует ли папка. если существует, удалить содержимое–# если (-не(тест-путь $BkfFolder)) { новый элемент $BkfFolder -Type Directory | Out-Null } еще { Remove-Item $BkfFolder”\*” -recurse } #—- ПОЛУЧИТЬ ПАРАМЕТРЫ DNS С ИСПОЛЬЗОВАНИЕМ ОБЪЕКТА WMI ——–# #– Перенос строки должен быть только одной строкой –# $List = get-WmiObject -ComputerName $DNSSERVER -корень пространства имен\MicrosoftDNS -класс MicrosoftDNS_Zone #—-Экспортировать информацию в файл input.csv —# #– Перенос строки должен быть только одной строкой –# $ список | Выберите Name, ZoneType, AllowUpdate, @{Name="MasterServers";Expression={$_.MasterServers}}, DsИнтегрированный | Экспорт-csv $strFile-NoTypeInformation #— Вызвать Dnscmd.exe для экспорта DNS-зон $ список | для каждого { $path="резервная копия\"+$_.name $cmd="dnscmd {0} /ZoneExport {1} {2}" -f $DNSSERVER,$_.Name,$path Вызов-выражение $cmd } # Конец скрипта #——————————————————————————————#
B) Powershell Script – Как восстановить зоны DNS
Ссылка: http://c-nergy.
be/blog/?p=1858
#——————————— —————————————#
# Имя_сценария : RestoreDNS.ps1
# Описание: Выполнение восстановления зон DNS DNS-сервера Windows 2008.
# Требования: Windows 2008/R2 + Установлена консоль управления DNS
# Версия: 0.4
# Дата: октябрь 2011 г.
# Создано Грифоном
#———————————————————————#
#– ОПРЕДЕЛИТЬ ПЕРЕМЕННУЮ——#
#———————————#
# Получить имя сервера с переменной env
$DNSSERVER=gc env:имя_компьютера
#—ОПРЕДЕЛИТЕ, ГДЕ ИСКАТЬ ФАЙЛЫ РЕЗЕРВНЫХ КОПИЙ DNS —–#
$BkfFolder="c:\windows\system32\dns\backup"
#—Укажите имя файла, в котором хранятся настройки DNS.
$StrFile=Join-Path $BkfFolder «input.csv»
#—- ВОССТАНОВИТЬ ЗОНЫ НА ОСНОВЕ НАСТРОЕК В INPUT.CSV —— #
$ Zone = импорт-csv $ StrFile
$ Зона | для каждого {
$path="резервная копия\"+$_.name
$Зона=$_.имя
$IP=$_.Главные серверы
$Обновление=$_.РазрешитьОбновление
#—— Проверяем, интегрирована ли AD или нет ——-#
если ($_.DsIntegrated -eq $True) {
Переключатель ($_.ZoneType)
{
1 {
#—– Необходимо создать зону как основную, чтобы импортировать все записи ——-#
$cmd0="dnscmd {0} /ZoneAdd {1} /primary /file {2} /load" -f $DNSSERVER,$Zone,$path
Вызов-выражение $cmd0
$cmd1="dnscmd {0} /ZoneResetType {1} /dsprimary" -f $DNSSERVER,$Zone
}
3 { $cmd1="dnscmd {0} /ZoneAdd {1} /dsstub {2} /load" -f $DNSSERVER,$Zone,$IP }
4 { $cmd1="dnscmd {0} /ZoneAdd {1} /dsforwarder {2} /load" -f $DNSSERVER,$Zone,$IP }
}
} еще {
Переключатель ($_. ZoneType)
{
1 {$cmd1="dnscmd {0} /ZoneAdd {1} /primary /file {2} /load" -f $DNSSERVER,$Zone,$path}
2 {$cmd1="dnscmd {0} /ZoneAdd {1} /secondary {2}" -f $DNSSERVER,$Zone,$IP }
3 {$cmd1="dnscmd {0} /ZoneAdd {1} /stub {2}" -f $DNSSERVER,$Zone,$IP }
4 {$cmd1="dnscmd {0} /ZoneAdd {1} /forwarder {2}" -f $DNSSERVER,$Zone,$IP }
}
}
#Восстановить зоны DNS
Вызов-выражение $cmd1
Переключатель ($_.AllowUpdate)
{
#Нет обновления
0 {$cmd2="dnscmd /Config {0} /allowupdate {1}" -f $Zone,$Update}
#Безопасно и небезопасно
1 {$cmd2="dnscmd /Config {0} /allowupdate {1}" -f $Zone,$Update}
#Только безопасные обновления
2 {$cmd2="dnscmd /Config {0} /allowupdate {1}" -f $Zone,$Update}
}
#Сбросить настройки обновления DNS
Вызов-выражение $cmd2
}
# Конец скрипта
#———————————————————————# 
ZoneType)
{
1 {$cmd1="dnscmd {0} /ZoneAdd {1} /primary /file {2} /load" -f $DNSSERVER,$Zone,$path}
2 {$cmd1="dnscmd {0} /ZoneAdd {1} /secondary {2}" -f $DNSSERVER,$Zone,$IP }
3 {$cmd1="dnscmd {0} /ZoneAdd {1} /stub {2}" -f $DNSSERVER,$Zone,$IP }
4 {$cmd1="dnscmd {0} /ZoneAdd {1} /forwarder {2}" -f $DNSSERVER,$Zone,$IP }
}
}
#Восстановить зоны DNS
Вызов-выражение $cmd1
Переключатель ($_.AllowUpdate)
{
#Нет обновления
0 {$cmd2="dnscmd /Config {0} /allowupdate {1}" -f $Zone,$Update}
#Безопасно и небезопасно
1 {$cmd2="dnscmd /Config {0} /allowupdate {1}" -f $Zone,$Update}
#Только безопасные обновления
2 {$cmd2="dnscmd /Config {0} /allowupdate {1}" -f $Zone,$Update}
}
#Сбросить настройки обновления DNS
Вызов-выражение $cmd2
}
# Конец скрипта
#———————————————————————#
Небольшое пояснение к Restoration:
Первая часть скрипта используется для определения некоторых переменных. Мы просто определяем, где скрипт должен искать файлы резервных копий и «специальный» текстовый файл с именем input.
csv. Этот файл содержит ценную информацию о DNS-зонах, которые вы собираетесь восстановить. Он сообщит сценарию, нужно ли вам восстановить интегрированную зону AD или дополнительную зону….
В средней части мы просто используем команду import-csv для сбора информации, содержащейся в файле input.csv
Заключительная часть сценария будет анализировать файл input.csv и в зависимости от типа зоны (интегрированная с AD или нет) процедура сценария запустит утилиту командной строки dnscmd с использованием различных параметров в зависимости от формата зоны, который вам нужен. восстановление (первичная, вторичная, заглушка или зоны пересылки)
Заключительные комментарии
Сценарий должен быть довольно простым и самодокументированным. Обратите внимание, что этот сценарий будет работать для «воссоздания» зоны DNS. Если зона, которую вы пытаетесь восстановить, все еще присутствует на DNS-сервере, утилита dnscmd.exe вернет предупреждающую информацию о том, что зона уже существует.