dns 防攻击

2015-03-09 00:34:18 +08:00
 holinhot

http://i.imgur.com/S1MKO5L.png

这是我目前运行的dns方案,namaserver用的是powerdns ,如果遭到大量的查询攻击可能一下就死了所以想在nameserver上加一个cache server 由cache server对外提供服务,nameserver只向cache server提供查询服务是否可行。这样对查询攻击只用在cache server做限制就行了

另外nameserver用Bind-DLZ Nameserver PowerDNS Nameserver
和 DNS DynDNS 哪个比较好
我域名量比较大所以nameserver必须上数据库

5144 次点击
所在节点    DNS
32 条回复
bobopu
2015-03-09 01:10:20 +08:00
dlz性能下降30倍不止,最好还是内存跑。
futursolo
2015-03-09 08:48:40 +08:00
建议上一个内存型的数据库(例如Redis),在存储热数据方面比SQL好太多,抗D能力也更强一些。
另外,你可以去看看DnsPod的开源框架
https://github.com/DNSPod/dnspod-sr
bobopu
2015-03-09 09:29:35 +08:00
@futursolo dnspod-sr目前还是个半成品,有测试发现运行一段时间后会假死。
holinhot
2015-03-09 09:42:02 +08:00
@bobopu 内存跑域名存文件? 几十万域名不完蛋?
holinhot
2015-03-09 09:46:48 +08:00
@futursolo powerdns支持Redis吗。如果可以的话把nameserver的数据库换成redis会有什么问题?
目前nameserver通过api向主数据库同步数据
futursolo
2015-03-09 10:04:18 +08:00
https://github.com/pagekite/PyPdnsRedis
你可以看看这个,redis的坑的话主要就是要把内存搞大点,避免存不下热数据。另外,Redis需要预热,前几分钟会比较慢。还有突然宕机的话可能会导致最后几分钟的数据没有持久化而丢失(控制好dump时间差就行)。

建议MySQL或MongoDB做主数据库,在每个DNS服务器上安装Redis做缓存。
bobopu
2015-03-09 10:20:14 +08:00
@louishothot 几十万域名并不算多,看你内存多大了,我目前的方案是64G内存开启zram+ssd阵列
bobopu
2015-03-09 10:21:36 +08:00
目前的跑的情况来看zram的压缩比能达到50%
zhicheng
2015-03-09 10:23:19 +08:00
哥为了DNS还专门写了个存储引擎,单机扛到40万QPS,还能优化,目标是一千万笔记录能到100万QPS。有兴趣的等项目发布了可以借你们代码玩一玩。
bobopu
2015-03-09 10:42:37 +08:00
@zhicheng 非常有兴趣,可以节约大笔硬件开支。
invite
2015-03-09 10:52:53 +08:00
@zhicheng 求代码。

PS:只做授权服务器的话,千万个域名,轻松到千万QPS吧。
zhicheng
2015-03-09 11:05:43 +08:00
@invite 把 QPS 的单位搞错了?
invite
2015-03-09 11:46:34 +08:00
@zhicheng 没啊,我只做授权DNS啊。那应该还能提升10倍性能吧。
zhicheng
2015-03-09 12:03:20 +08:00
@Invite 我也只做权威 DNS ,我费老鼻子劲了现在也没做到100万QPS,您是神。
sopato
2015-03-09 12:12:00 +08:00
很想知道DNS应用到了100万QPS的时候,吃了多少带宽? @zhicheng
zhicheng
2015-03-09 12:18:25 +08:00
@sopato 我现在只跑到 40万 QPS ,我是用 loopback 跑的,估计照 1Gbps 的口来说,能跑到一半儿差不多。100万应该能跑满,不过问题是 DNS 数据都是小包,到时候网卡和路由会是瓶颈。
invite
2015-03-09 12:40:59 +08:00
@zhicheng 等你分享你的代码啊。
sopato
2015-03-09 12:59:01 +08:00
@zhicheng 收到,感谢。
zhicheng
2015-03-09 17:39:42 +08:00
@invite 别等我分享代码了,还是看看您的代码吧,整整高出我现在的两个数量级。
10M 的 QPS ,我就算写到内核里都到不了,基本上这个量级的需要用硬件辅助处理了。
invite
2015-03-09 18:43:38 +08:00
@zhicheng 哥,我从一开始就在等你的代码啊。难道我们处于两个中国?语文语义是不一样的?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/175424

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX