Sí, tener más servidores de nombres autorizados para su dominio ayuda: hace que un ataque de denegación de servicio distribuido (DDoS) sea mucho más difícil al proporcionar más objetivos que deben eliminarse para negar completamente el servicio al dominio.
También tenga en cuenta que tener un Tiempo de vida (TTL) más largo en los Registros de recursos (RR) en su zona ayudará a que aquellos sitios clientes que hayan almacenado en caché los RR de su dominio en sus resolvers puedan resolverse con éxito nuevamente hasta que esos registros tiempo fuera de sus escondites. El efecto principal de un DDOS en sus servidores de nombres autorizados será negar que las consultas nuevas tengan éxito, hasta que se agote el tiempo de espera de todos los cachés de resolución que han consultado “recientemente” sus servidores de nombres autorizados.
Por último: no está del todo claro que padezca una idea errónea muy común sobre las funciones de los servidores DNS “primarios” y “secundarios”, pero la idea errónea es lo suficientemente común como para que quiera tratar de disiparla de todos modos: todos los servidores de nombres autorizados para su dominio son, desde el punto de vista de todos los resolvers, exactamente equivalentes : se supone que todos tienen exactamente los mismos datos, y por lo tanto no hay un orden establecido que un resolutor debe usar para consultarlos.
- ¿Cómo utiliza un enrutador la tabla de enrutamiento IP en Internet?
- ¿Por qué diferentes aplicaciones usan diferentes números de puerto?
- ¿Qué es NAT y PAT en los firewalls?
- ¿Cuál es la forma más económica de equilibrar la carga en cuatro conexiones de banda ancha?
- ¿Qué software de Windows es mejor para probar y diagnosticar problemas de red?
Los RFC de DNS (documentos IETF) sugieren encarecidamente que los solucionadores distribuyan cada consulta a un servidor de nombres autorizado diferente en algún orden, y midan el tiempo de respuesta para determinar la “respuesta más cercana” (o simplemente la “respuesta más rápida”) y, por lo tanto, cuál elegir. primero. Esto está pensado como una medida de optimización del tráfico de DNS: ¿por qué no deberían todos intentar consultar al servidor de nombres autorizado para un dominio dado que esté topológicamente más cerca de ellos, como un medio para minimizar el tráfico de DNS en las redes troncales?
La distinción de “primario” y “secundario” es completamente privada para los servidores de nombres autorizados para su dominio; esa es una declaración de qué servidor tiene la copia maestra del archivo de zona, que los secundarios luego obtienen para obtener sus copias. que responden consultas sobre ese dominio de los resolvers. No tiene nada que ver con el orden en que los resolutores los consultan.