剛剛看 PowerDNS 的 NS RR 改成兩個不同的 subnet 下。
突然想到 2/15 的時候在 Free Slave DNS Hosting 這篇講到 PowerDNS 時提到了他的兩個 NS RR 在同一個 subnet 下很糟,但是我沒有提到問題是什麼…
在 Slashdot 的 Microsoft’s DNS Down 這篇提到了 Microsoft 的 DNS servers 被攻擊,在最下面的 comments 提供了當時的 DNS 設定:
> set type=soa
> microsoft.com
Server: localhost
Address: 127.0.0.1Non-authoritative answer:
microsoft.com
primary name server = dns.cp.msft.net
responsible mail addr = msnhst.microsoft.com
serial = 2001012306
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 7200000 (83 days 8 hours)
default TTL = 7200 (2 hours)microsoft.com nameserver = DNS7.cp.msft.net
microsoft.com nameserver = DNS6.cp.msft.net
microsoft.com nameserver = DNS4.cp.msft.net
microsoft.com nameserver = DNS5.cp.msft.net
DNS7.cp.msft.net internet address = 207.46.138.21
DNS6.cp.msft.net internet address = 207.46.138.20
DNS4.cp.msft.net internet address = 207.46.138.11
DNS5.cp.msft.net internet address = 207.46.138.12
據說當時這四個 IP 都是 Layer 4 Switch 擋在前面,後面有很多台 DNS servers 在擋。但實際上的情況是:cracker 發現打不動這四台 DNS servers 於是改打上面那顆 router,然後就仆街了 =_=
在這次經驗之後,很多人開始知道 DNS 不能放在同個 subnet 下,甚至不能放在同個 AS# 下,避免中間的 router 被打中的時候造成整個網路爛掉。
其他的 service 也是一樣呀.
DNS 活著, SMTP 死了也是沒意思…..
阿不是老早就在兩個不同的subnet了嗎… fo_O
反正 service 就是這樣啊, 放再多都有被打掉的機會, 反正上帝如果打算給他死, 在怎樣搞都活不了的, 這樣想就舒坦多啦 :)