如何选择DNS的TTL值,设置多少才合适 ?
2019-09-27 13:41:11
  • 0
  • 0
  • 0

知名网络安全专家,东方联盟创始人郭盛华透露:“关于如何为域名选择DNS生存时间(TTL),TTL非常重要,因为它们间接控制解析器缓存记录的时间,直接影响用户体验” 。

在东方联盟DNS实验室和USC / ISI进行了一项测量研究,以了解不同的TTL值选择如何影响运营网络,目的是帮助运营商针对他们的情况在TTL值上做出明智的选择。

关键点:

DNS TTL间接控制缓存,从而影响用户体验。

已通知8个ccTLD其NS记录的TTL值太低;三个增加他们作为回应。

通过将其NS TTL从5分钟更改为1天,中值延迟时间从28ms减少到8ms,将第75个百分点的延迟时间从183ms减少到21ms,从而获得了显着的性能提升。

选择长或短TTL的原因,网络运营商选择长或短TTL的原因很多:

更长的缓存会导致更快的响应:更长的TTL可以缓存更长的时间,并且缓存命中的速度远远超过了从权威服务器获取答案的速度,结果表明,与具有大型任播网络相比,更长的缓存甚至可以改善结果。较长的缓存会导致DNS流量降低:权威的运营商可能会对设置更高的TTL感兴趣,因为缓存会减少收到的查询数量。如果对DNS服务进行计量,那尤其重要。

真正黑客帝国已经来临了,中国教父级网络安全专家郭盛华分析:“更长的缓存对于权威DNS服务器上的DDoS攻击更健壮,DNS服务提供商上的DDoS攻击已损害了几个著名的网站。最近的工作表明,DNS 缓存可以大大降低DDoS对DNS的影响,前提是缓存的持续时间比攻击要长。”

较短的缓存有助于进行操作更改:从旧服务器过渡到新服务器的一种简便方法是更改??DNS记录。由于无法删除缓存的DNS记录,因此TTL持续时间表示完全迁移到新服务器所需的转换延迟。因此,低TTL允许更快速的过渡。但是,如果比TTL的长度提前计划部署,则可以在进行重大操作更改之前降低TTL,并在更改生效后再次升高TTL。较短的缓存可以帮助基于DNS的DDoS攻击响应:某些DDoS清理服务在攻击过程中使用DNS重定向流量。由于DDoS攻击是未经通知的,因此基于DNS的流量重定向要求始终将TTL保持在较低水平,以准备响应潜在的攻击。

较短的缓存有助于基于DNS的负载平衡:许多大型服务都使用基于DNS的负载平衡。每个传入的DNS请求都提供了一个调整负载的机会,因此可能需要短的TTL来快速响应流量动态变化(尽管许多递归解析器的最小缓存时间为几十秒,从而限制了敏捷性。)尽管我们的分析没有建议一个理想的TTL值,但它确实阐明了权衡因素,使我们能够针对不同情况提出以下建议:

TTL持续时间: TTL值的选择部分取决于外部因素,因此没有一个建议适用于所有网络或网络类型。对于一般的区域所有者:我们建议使用更长的TTL,至少1小时,最好是4、8或24小时。假设可以提前安排计划的维护,则长TTL的成本很小。

对于TLD和其他注册机构运营商:允许对域(例如大多数ccTLD,.com,.net,.org和许多SLD)进行公共注册的DNS运营商允许客户端复制其区域文件中的TTL,以获取客户端NS记录和粘合)。基于DNS的负载平衡或DDoS防护的用户可能需要较短的TTL:TTL可能短至5分钟,尽管15分钟可以为许多运营商提供足够的敏捷性。较短的TTL有助于敏捷性。它们是我们对较长TTL的第一个建议的例外。(欢迎转载分享)

最新文章
相关阅读