进入12月以来,DNS服务器递归队列居高不下,经过几天的分析和处理,现该问题已解决,具体内容如下:

原因:

       1、最近随机化后缀的DDOS***增多。

        2、针对随机化后缀DDOS***,ROOT服务器管理者对对请求进行了限制,限制方式为:随机化后缀的请求(NXDOMAIN)若超过限制(rate-limiting),则返回truncated标志,要求递归服务器走TCP,但是root服务器基本不对TCP进行响应。

        3、在中国应该有4个根服务器的分站,用得最多的就是F(192.5.5.241),而这个F服务器就做了限速!

        4、其他几个服务器因为anycast缘故,用得很少。

        5、正是由于F服务器对随机化后缀的限速操作,导致运营商缓存服务器的递归队列大大增加,从而影响缓存服务器的工作效率,导致应答缓慢,解析失败等情况。

结论:F服务器搞搞震,缓存服务器很受伤!!!


2个对策:

        1、自建root服务器,将F服务器的配置修改为本地root服务器。好在root的zone文件可以下载,自建root服务器并不困难。然后修改缓存服务器hints配置,将root服务器指向本地root服务器。

        3、如果你用的是BIND,也可以修改BIND配置,自建根区,从F服务器同步数据,这个应该是最简单,最快捷的办法,不过在当前很多运营商将缓存与授权分离的情况下无法实现。

实施结果:缓存服务器递归队列显著下降,服务器响应速度提高。


吐槽一下:所谓加速乐,就是个唯恐天下不乱,希望在混乱中提高自己知名度的垃圾公司,提出的解决方案根本没有解决要点,只会让不明底细的人上当。看看他们的垃圾报导:http://toutiao.com/i6230664412248670721/