BIND, Unbound und NSD im Zusammenspiel

Weil bestimmte Namensserver sehr populär sind und bekannte Schwächen in ihrem Code haben, ist es bewährte Praxis, dass Netzwerkbesitzer mindestens zwei unterschiedliche Namensserver-Programme nutzen und jederzeit zwischen beiden wechseln können. Efficient-IPs hybrider DNS-Dienst macht genau das, indem er das DNS-Programm BIND und zwei andere DNS-Dienste beinhaltet: Unbound und NSD von NLnet Labs. Unbound ist ein validierender, rekursiver und cache-nutzender Resolver, der für hohe Leistung erstellt wurde. NSD ist ein autoritativer Hochleistungs-Namensserver, der eine robuste Umgebung bietet, um DoS-Angriffe abzuwehren. Die Trennung der autoritativen und rekursiven Elemente des Namensserver-Dienstes reduziert das Korruptionsrisiko deutlich.

Großangelegte Angriffe auf DNS-Server haben im letzten Jahr stark zugenommen, wobei der Umfang und die Intensität der Bedrohungen gestiegen sind. Mit neuen Techniken, wie DNS-Amplification und -Reflection, hat sich der Traffic, der gezielt Systeme attackiert, massiv erhöht. Ein hybrider Ansatz zur DNS-Sicherheit ermöglicht es Unternehmen, die schwächsten Elemente in ihrer Internet-Infrastruktur zu stärken. "Organisationen sollten in den Schutz ihrer DNS-Infrastruktur investieren," betont Lawrence Orans, Forschungsleiter bei Gartner, in seinem neuesten Bericht 'Leverage Your Network Design to Mitigate DDoS Attacks'. Und weiter: "Eine sichere DNS-Infrastruktur ist notwendig, um die Auswirkungen von Anfragelast-Attacken und anderen Angriffen gegen autoritative DNS-Nameserver zu verringern."