...

På senare tid har det dock blivit vanligare med störande trafik från en klient, eller flertalet klienter som scannar nät & portar eller skickar orimligt mycket DNS-frågor ("brute-force") och även de som försöker skapa "Denial of Service" (DoS) mot t.ex. DNS-servrar som SUNIC. Det har historiskt ändå fungerat bra, och det är endast ett fåtal tillfällen som vi råkat ut för DoS-trafik som gjort att sunic.sunet.se ej varit nåbar. Men ökad trafik och ett flertal DoS attacker som gamla generationens hårdvara inte klarade av,  så det blev hög tid att förnya det gamla konceptet med en server på ett delat LAN.

Ny DNS-frontend (dnsdist), med aktiv (dynamisk) blockering

SUNIC har sedan många år använt NSD som programvara för auktoritär DNS. SUNET har sponsrat NLnetLabs för att även NSD ska få proxyv2-protokoll-stöd, för att kunna sätta ett frontend framför. Nu är det arbetet nästan helt klart. Vi har därför nu installerat dnsdist som DNS-frontend framför NSD, för att dynamiskt kunna blockera "offensiva klienter" som på nått sätt trakaserar våra auktoritära namnservrar.

Schemaskiss, senast uppdaterad installation

...

Nya SUNICs upplänk är nu uppgraderad till 10 GbE, som dessutom blir är direktansluten i routrarna. Detta för att ta bort risken att en (D)DoS inte ska påverka ev. tjänster på LAN:et sunic traditionellt suttit på.

...

Fler geografiskt skiljda instanser, om så behövsDNS-brandvägg (utvecklingen kommer starta tidigt 2023, och kommer släppas som öppen källkod via NSD (dns-programvara)