V2EX › johnjiang85 的所有回复 › 第 15 页 / 共 24 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 7 8 9 10 11 12 13 14 15 16 ... 24

❮

❯

2018-04-18 12:05:23 +08:00

回复了 holinhot 创建的主题 › DNS › 新的 dnspod 防 ddos 怎么计算的

4 层攻击，3 层流量，被绕晕了

2018-04-18 12:00:15 +08:00

回复了 holinhot 创建的主题 › DNS › 新的 dnspod 防 ddos 怎么计算的

1. 3G 带宽防护是个人版的标准，并不是企业版的
2. 企业版还分 3 个套餐，企业创业、企业标准、企业旗舰，对应的 ns 分别是 ns3/ns4.dnsv3/dnsv4/dnsv5.com
3. ns1/ns2.dnsv5.com 是 5 年以前就下线的老 qiye3 套餐的 ns 服务器，只能续费，不能新购，不是“新的 dnspod 防 ddos ”
4. 企业旗舰的套餐内防护标准是 15G 带宽

然后回答下攻击带宽的计算
1. 如果是纯 3 层的攻击，如 syn 大包、udp 大包，没有同时 dns flood 的话，当然也不会对客户收费，比如上周四晚上半夜大约有接近 1T 的 syn flood 攻击，也没跟任何客户收钱
2. 但是第一种攻击极少极少，黑客攻击也是要考虑成本的，dnspod 现在总带宽接近 5 个 T，想打死哪有那么容易，直接攻击 dnspod 的是极少情况，目前接近 10 年的历史也就只出现过 2 次。基本都是收钱（如竞争对手）攻击客户的域名，迫使客户网站无法解析，那么该怎么打的，肯定是要打 dns flood 的，这样我们才能知道是打的谁，才能跟客户沟通是否防护，如果客户不防护，我们会停止解析，黑客就可以已最低的成本达到实际停止域名解析的服务。当然客户防护的话就是我们和黑客的博弈了（当然我们给客户的防护价格肯定会高于正常的带宽价格，毕竟我们的防攻击是按量收费，不是包年的，而发生攻击的概率是很低的），所以我们总会知道客户要攻击的是谁的域名，然后按照攻击 qps 或带宽的防护费用，取费用高的一种为准。
3. 当然特殊的情况不是没有，比如几个域名同时受攻击，三层流量算谁的问题确实不太好区分（实际从攻击特征上大部分也是可以区分的），架构上是分套餐的，降低同套餐不用域名被攻击的概率；产品商务上这种一般是我们吃亏一些，一般只收 dns flood 的防护费用，不再计算带宽的费用。这种同套餐同时被攻击，历史上收费套餐也仅发生过有限的几次。

2018-04-18 11:40:55 +08:00

回复了 holinhot 创建的主题 › DNS › 新的 dnspod 防 ddos 怎么计算的

建议 LZ 好好看看产品介绍文档，先说 N 个错误吧

2018-04-17 19:52:43 +08:00

回复了 alect 创建的主题 › 分享发现 › Cloudflare 可以免费部署 DNSSEC 了

@chotow 后台服务程序都已经支持了的，控制台貌似正在开发中，预计很快就会上线了

2018-02-27 11:16:41 +08:00

回复了 iLiberty 创建的主题 › 全球工单系统 › 腾讯 Public DNS 部分域名无法解析？

@iLiberty 这个估计时间要比较久了，具体时间不能确定

@leobin 我用福建铁通的 IP 作为 subnet 测试，几个 dns 结果都是一样的，可以给下具体错误看下

2018-02-27 11:03:40 +08:00

回复了 liaoyaoheng 创建的主题 › DNS › 119.29.29.29 跪了

@bclerdx 119.28.28.28 ，182.254.118.118 182.254.116.116 也是，但是不推荐
119.29.29.29 的总体用户数还是太少，80%的运营商，第三方 114 和 360 是大头，并且发生在三更半夜。

2018-02-26 11:56:04 +08:00

回复了 liaoyaoheng 创建的主题 › DNS › 119.29.29.29 跪了

24 号 22：23 分左右，119.29.29.29 遭受大流量攻击，触发安全封堵策略，导致 IP 无法访问。25 号 00：10 分左右攻击停止，119.29.29.29 解封，目前服务已恢复。
最近 119.29.29.29 受到的攻击非常多，几乎每天都有攻击，正常可以进行防护，但是如果流量太大导致整个网络受影响，会触发使用运营商侧提供的黑洞安全策略，导致 IP 无法访问，备用 IP 因为没有被黑洞，可以正常访问。

2018-02-01 11:38:10 +08:00

回复了 jamiroquai 创建的主题 › DNS › 如何调优 Bind9.10 的性能？

看楼主有没有二次开发能力，有的话就自己优化，有很多地方是可以优化的
不然的话就是用 3.9 以上内核，开 reuseport

2018-01-17 14:45:42 +08:00

回复了 HalloCQ 创建的主题 › DNS › 我 Pcap_DNSProxy 上游使用 dnspod dns 出现的问题

@HalloCQ 如果是用的 bind9.11 或者其他默认开启 cookie 的话可能是 cookie 的问题，需要显示关闭或换用 9.10

2018-01-15 16:42:11 +08:00

回复了 HalloCQ 创建的主题 › DNS › 我 Pcap_DNSProxy 上游使用 dnspod dns 出现的问题

@HalloCQ 119.29.29.29 的 tcp 不建议使用，限速阈值很低

2017-12-30 13:54:19 +08:00

回复了 iLiberty 创建的主题 › 全球工单系统 › 腾讯 Public DNS 部分域名无法解析？

@iLiberty 河北联通到 119.28.28.28 的路由看上去确实有问题，先绕到四川又回了广东，应该是直接去天津的，我找网络的人问下。不过这个不应该影响解析结果的。在四川联通测试和携带河北联通的 ecs ip 都能解析到北京去，这个日本的 IP 不知道怎么出现

2017-12-29 17:55:56 +08:00

回复了 iLiberty 创建的主题 › 全球工单系统 › 腾讯 Public DNS 部分域名无法解析？

@iLiberty 你的出口 IP 是多少，发来我们测试下

2017-12-29 11:13:20 +08:00

回复了 iLiberty 创建的主题 › 全球工单系统 › 腾讯 Public DNS 部分域名无法解析？

再就是个别特殊域名在特定运营商可能有问题，这些大部分是递归到权威的线路和兼容性问题，后端节点太多，某些线路就可能被搞，或者权威对 ecs 的支持特别乱，自动判断是否支持 ecs 判断不出来，就得手工拉黑名单。都是需要人工验证操作的。具体就是需要提供域名、地区、运营商和截图了。

2017-12-29 11:11:32 +08:00

回复了 iLiberty 创建的主题 › 全球工单系统 › 腾讯 Public DNS 部分域名无法解析？

@skylancer
@miaomiao888
@lhx2008
@laoyuan
@lniwn
几个问题吧，1.今年 119.29.29.29 遇到的攻击特别多，就不说了，奇怪的是 114 竟然从最早到现在基本没遇到过攻击，个人可以先用 119.28.28.28 ，用户比较少，路由和 119.29.29.29 基本是一样的,节点完全一样。182.254.116.116,182.254.118.118 不推荐使用。

2017-12-29 11:07:36 +08:00

回复了 iLiberty 创建的主题 › 全球工单系统 › 腾讯 Public DNS 部分域名无法解析？

@iLiberty bind9.11 之后的版本默认开启了 cookie，DNSPod 的公共 DNS 和权威 DNS 都还没有支持 cookie，需要显示指定+nocookie 或使用 9.10 版本，之前已经转给相关开发同事了，会慢慢灰度，权威已经少量灰度。

2017-12-26 21:41:57 +08:00

回复了 tom82232 创建的主题 › DNS › DNS 查询死循环

@HalloCQ +nocookie

2017-12-26 14:55:49 +08:00

回复了 tom82232 创建的主题 › DNS › DNS 查询死循环

2. 会检测 cname 循环报错

2017-12-26 14:55:32 +08:00

回复了 tom82232 创建的主题 › DNS › DNS 查询死循环

1. 会限制递归深度

2017-12-14 20:43:59 +08:00

回复了 nkcfc 创建的主题 › DNS › 扯淡的 6DNS

ipv6DNS 短期内没有实际应用价值，不考虑内容，单纯从 DNS 考虑来说，IPv6 的地址库没有基本完善之前会很难用，但是 ipv6 的地址库完善要几年呢？

1 ... 7 8 9 10 11 12 13 14 15 16 ... 24

❮

❯