Versions Compared

Old Version 5

changes.mady.by.user Fredrik Pettai

Saved on

compared with

New Version Current

changes.mady.by.user Fredrik Pettai

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Ny förbättrad design

SUNIC.sunet.se har alltid varit en fysisk server sen starten (runt 1989) och det har fungerat bra då DNS (Domain Name System (DNS) arkitektur har redundans inbyggd i standarden från början.

På senare tid har det dock blivit vanligare med störande trafik från en klient, eller flertalet klienter som scannar nät & portar eller skickar orimligt mycket DNS-frågor ("brute-force") och samt även de som försöker skapa DoS attacker ("Denial of Service" (DoS) mot t.ex. DNS-servrar som . SUNIC . Det har historiskt ändå fungerat bra, och det är endast ett fåtal tillfällen som vi råkat ut för DoS-trafik som gjort att sunic.sunet.se DNS tjänst ej varit nåbar100% tillgänglig. Men Med ökad trafik och ett flertal DoS-attacker som gamla generationens hårdvara inte klarade av,  så det blev hög tid att förnya det gamla konceptet med en fysisk server på ett delat LAN (Local area network).

Ny

...

design med aktiv (dynamisk) blockering

SUNIC har sedan många år använt sig av NSD som programvara för auktoritär DNS. SUNET har sponsrat NLnetLabs för att även NSD ska få proxyv2-protokoll-stöd, för att kunna sätta ett sk "frontend" programvara framför. Nu är det arbetet nästan helt klart. Vi har därför nu installerat programvaran dnsdist som DNS-frontend framför alla NSD-instanser, för att dynamiskt kunna blockera "offensiva klienter" som klienter beter sig illa och på nått sätt trakaserar våra auktoritära namnservrarSUNIC.sunet.se.

Schemaskiss, senast uppdaterad installation

draw.io Diagram
bordertrue
diagramNamenya_SUNIC.sunet.se
simpleViewerfalse
width
linksauto
tbstyletop
lboxtrue
diagramWidth838743
revision45

Högre

...

port-hastighet (10 GbE), Anycast för redundansen samt fler servrar som delar på lasten

...

Nya SUNICs upplänk är nu uppgraderad till 10 GbE, som dessutom är direktansluten i routrarnaSUNETs routrar. Detta för att ta bort risken att en (D)DoS inte ska påverka ev. tjänster på det LAN :et sunic traditionellt suttit påsom sunic tidigare varit anslutit till (Pilsnet).

SUNIC blir nu för första gången 2 3 st servrar (initialt), dels för lastdelning (teoretiskt 2x 3x 10 GbE) samt för att få site-redundans. Tillsammans med övergången till anycast och "multi-server", så kommer det att ge möjligheten till avbrottsfritt underhåll av SUNIC-instanserna.

SUNIC IPIPv4/IPv6-adresser adress blir lokala Anycast adresser. Det nu Anycast (det är så lastdelningen löses enklast mellan olika instanser och olika fysiska lokationer). Det har länge varit vanligt att de större namnserver-installationerna har använt sig av Anycast för att kunna sprida lasten geografiskt. Drabbas en DNSSUNIC-nod server av en (D)DoSstörre DDoS-attack, så påverkas inte hela världen av att de inte når DNS-servernbara en del av Internet-trafiken av att just den DNS-tjänsten inte är nåbar för tillfället.


Framtida planer/ ytterligare förbättringar

Fler geografiskt skiljda instanser, och åtminstone en närmare "transit" (uppstörms Internet-anslutningarna)