Beheer zelf back-ups van je cloud server
Nieuws
Een nieuwe, nog betere nameserverinfrastructuur
29-03-2023 - Je website en mailbox moeten altijd bereikbaar zijn, wat er ook gebeurt. Dat garanderen we dankzij de nieuwe, verbeterde infrastructuur van onze nameservers.
Domeinnamen en nameservers zijn belangrijke hoekstenen van het internet. Een nameserver is een soort wegwijzer op het net die zorgt voor de vertaling van een domeinnaam naar een IP-adres en omgekeerd. Diensten die je koppelt aan je eigen domeinnaam, zoals een website of mailbox, hebben nameservers nodig. Dat nameservers snel en betrouwbaar zijn, is dus noodzakelijk voor de werking van bijvoorbeeld je website.
Daarom investeren we voortdurend in onze nameserverinfrastructuur. Dankzij de uitbouw van die infrastructuur maken we een grote sprong voorwaarts: meer capaciteit, meer snelheid en meer stabiliteit.
Locatie van bezoekers doorslaggevend
Tot voor kort hadden we 5 nameservers in 5 verschillende Europese datacenters. Die zorgden al voor een grote betrouwbaarheid. De kans dat 5 nameservers tegelijkertijd onbereikbaar worden, is eigenlijk nul.
Nadeel van die opstelling is dat websitebezoekers willekeurig naar één van die 5 Europese locaties wordt doorverwezen. Een opzoeking in een nameserver vanuit bijvoorbeeld de Verenigde Staten duurt zo relatief lang. In de nieuwe infrastructuur is dat anders.
Voortaan houden we ook rekening met de locatie van een bezoeker. Omdat we nu nameservers gebruiken op alle continenten, worden bezoekers doorverwezen naar de nameservers die het dichtst bij hen staan.
In die nieuwe set-up hebben we nu:
5 autoritaire nameservers, die strategisch verspreid staan over 3 continenten.
16 lokale load balancers die zorgen voor snellere DNS-opzoekingen, redundantie en blokkering van ongewenst verkeer.
Opvragingen vanop het internet komen altijd terecht bij die lokale load balancers. Concreet hebben ze de volgende functies:
Ze verdelen DNS-opzoekingen over de achterliggende autoritaire nameservers. Opvragingen worden doorgestuurd naar de nameserver die het snelst reageert.
Ze bouwen een tijdelijk geheugen (of cache) op waarin veel gevraagde DNS-records worden bewaard. Dat zorgt ervoor dat de autoritaire nameservers worden ontlast.
Ze blokkeren kwaadwillige opzoekingen.
Door het werk te verdelen over verschillende nameservers en ze te ontlasten, worden ze nog sneller en betrouwbaarder. Maar we vergroten ook de stabiliteit door kwaadwillige DNS-opzoekingen tegen te houden. Dat doen we volgens statische en dynamische regels.
| Statische regels | Dynamische regels |
|---|---|
|
|
Statische regels werken sneller dan de dynamische, omdat ze minder rekenkracht vragen. Wanneer we zien dat er een DDoS-aanval is, dan maken we voor de aangevallen domeinnaam een statische regel. Die zorgt ervoor dat de nameserver de blokkeringen veel sneller kan uitvoeren.
DDoS-aanvallen
De meeste DDoS-aanvallen die we zien, zijn water torture attacks. Daarbij worden in hoge snelheid willekeurige hostnamen van bestaande domeinnamen opgevraagd.
Bedoeling van zo'n aanval is nameservers 'lam te leggen' door de hoge hoeveelheid opvragingen. Doordat nameservers overbevraagd worden, kunnen nameservers legitieme DNS-opzoekingen plots niet meer verwerken.
DDos-aanvallen komen dagelijks voor. Gelukkig slagen we erin om die snel en automatisch te blokkeren, waardoor een aanval ook meteen stopt. Daarbij kijken we ook vooruit. Het aantal load balancers wordt in de toekomst verder opgetrokken. Dat gaan we doen in functie van het aantal opvragingen op elke nameserver en de noodzaak om extra capaciteit te creëren die DDoS-aanvallen kan opvangen.
In de komende weken gaan we de nieuwe nameservers activeren voor alle domeinnamen. Die hebben de namen 'ns53.be' en 'ns53.io' (de 'oude' nameservers hebben de namen 'ns1.nomeo.be', 'ns2.nomeo.be', 'ns3.nomeo.be', 'ns4.nomeo.net' en 'ns5.nomeo.eu'). Klanten die een domeinnaam hebben geregistreerd bij nomeo, hoeven zelf niets te doen om te genieten van de voordelen van onze nieuwe nameservers.
