Wahrscheinlich hast du den Begriff „Premium-DNS“ schon einmal gehört und vielleicht hast du nicht weiter darüber nachgedacht. Die meisten Leute wissen, dass ihnen die Verwendung eines Premium-DNS-Providers helfen kann, ergreifen aber nicht die Initiative, ihn zu implementieren, oder wissen vielleicht nicht, wie.

Am 21. Oktober 2016 ereignete sich der größte DDoS-Angriff der Geschichte, der große Unternehmen wie PayPal, Spotify, Twitter, Reddit und eBay zu Fall brachte. Einige nennen ihn sogar den DNS-Doomsday des Internets. Heute wollen wir uns mit der Frage befassen, wie ein Premium-DNS-Anbieter dir in solchen Situationen helfen kann, wenn er korrekt eingerichtet ist, und wie er den Untergang deiner WordPress-Seite verhindern kann.

Was ist DNS?

DNS (Domain Name System) ist das Rückgrat des Internets. Man kann es sich wie ein Telefonbuch für das World Wide Web vorstellen. Jede Webseite und Domain, die man besucht, wird auf einer IP-Adresse abgebildet.

Wenn du Google.com in deine Adressleiste eingibst, wird von deinem ISP eine DNS-Abfrage durchgeführt, um die mit der Domain verbundenen Nameserver abzufragen. Die Zuordnung zur IP-Adresse erfolgt dann hinter den Kulissen durch den Server, der es dir dann ermöglicht, über den Domainnamen darauf zuzugreifen. Ohne DNS müsstest du etwas wie 216.58.217.206 eingeben, um zu Google zu gelangen. Wäre das nicht lustig!

Wie DNS funktioniert
Wie DNS funktioniert

Wenn du deine Domain registrierst, stellt der Domainregistrar normalerweise kostenlose DNS-Dienste zur Verfügung. NameCheap, GoDaddy, Google Domains usw. bieten dir beispielsweise die Möglichkeit, deine Nameserver einzurichten und deine Domain an die IP-Adresse deines Webhosts zu leiten. Google Domains ist wahrscheinlich der beste kostenlose DNS-Dienst, der von einem Domain-Registrar angeboten wird, da er über eine sehr große Infrastruktur verfügt, von der er sich einfach ausklinken kann. Zu einigen anderen beliebten kostenlosen DNS-Anbietern gehören Cloudflare und Hurricane Electric Internet Services. Schaue dir diese Liste mit 10 kostenlosen DNS-Anbietern an, um weitere Alternativen zu finden.

Wenn du es jedoch mit deinem Geschäft und deiner Webseite ernst meinst, empfehlen wir dir dringend, dich an einen Premium-DNS-Anbieter zu wenden, auf den wir weiter unten näher eingehen werden.

Der DNS-Angriff, der das gesamte Internet betraf

Am 21. Oktober 2016 geschah für viele Unternehmen das Schlimmste, was passieren konnte. Ein großer Distributed-Denial-of-Service (DDoS)-Angriff brach gegen einen beliebten Premium-DNS-Anbieter, Dyn, aus und schaffte es, Dienste und Webseiten offline zu schalten.

Im Grunde genommen ist es ihnen gelungen, die Nameserver von Dyn abzuschalten, und wie wir oben erklärt haben, beginnen die DNS-Lookups ohne diese zu versagen. Dyn begann, auf ihrer offiziellen Statusseite darüber zu berichten, und schaffte es, während des gesamten Angriffs, der etwa 11 Stunden dauerte, konsistente Updates bereitzustellen.

Status des Dyn-DNS-DDoS-Angriffs
Status des Dyn-DNS-DDoS-Angriffs

Unten sehen Sie ein Beispiel dafür, was einer der SaaS-Kunden von Dynatrace am Freitag, den 21. von seiner DNS-Überwachungsanwendung aus gesehen hat. Der Angriff konzentrierte sich auf die Ostküste, aber er zog sich durch die gesamten Vereinigten Staaten und Europa.

DDoS Angriff Karte
DDoS Angriff Karte

Zu den betroffenen Unternehmen gehörten große Namen wie Twitter, Amazon, Github, Shopify, Weather.com, Basecamp, Freshbooks, SoundCloud, Spotify, Netflix, Reddit, Disqus, PayPal und Hunderte andere. Wir haben es sogar hier bei Kinsta bemerkt, da Intercom, unser Ticket- und Chat-Support-System, ebenfalls betroffen war. Der Angriff wurde nun dem Mirai-Botnet zugeschrieben, einem Netzwerk von Geräten, die mit sich selbst verbreitender Malware infiziert sind, die maskierten TCP- und UDP-Verkehr über Port 53 verwendet.

Aufgrund der Geschehnisse müssen Unternehmen ihre DNS-Strategie überdenken. Die Einrichtung eines sekundären DNS-Providers als Failover kann helfen, Redundanz zu schaffen, wenn Probleme wie die oben genannten auftreten. Und wenn überhaupt, dann empfehlen wir zumindest die Verwendung eines Premium-DNS-Providers, im Gegensatz zu einem kostenlosen, da sie für diese Probleme besser gerüstet sind. Zwar sind Angriffe dieses massiven Ausmaßes selten, DDoS-Angriffe im Allgemeinen jedoch nicht. Tatsächlich werden DDoS-Angriffe nach Angaben von easyDNS mit der Zeit immer schlimmer.

DDoS-Angriffe im Laufe der Zeit
DDoS-Angriffe im Laufe der Zeit

Noch zum Zeitpunkt der Erstellung dieses Artikels am 31. Oktober kämpfte 123 Reg, eine große Domain-Registrierungsstelle, gegen einen DDoS-Angriff auf ihr DNS. Du kannst davon ausgehen, dass dies in den kommenden Jahren nur noch zunehmen wird.

Vorteile für Premium-DNS-Provider

Es gibt viele gute kostenlose DNS-Anbieter, aber Premium-DNS-Anbieter bieten viele Vorteile, um sicherzustellen, dass Ihre Webseite online bleibt, wie z. B. Sicherheit, DNS-Failover und bessere Leistung.

1. Sicherheit – Besser gerüstet für groß angelegte Angriffe

Große Premium-DNS-Anbieter sind in der Regel besser gerüstet, um dich vor groß angelegten DDoS-Angriffen wie dem von Freitag, dem 21. zu schützen. Dyn ist ein sehr seriöses Unternehmen, und obwohl es Ausfallzeiten gab, haben sie ihr Bestes getan, um die Kunden auf dem Laufenden zu halten, und rund um die Uhr gearbeitet, um alles wieder in Gang zu bringen. Es ist wichtig, sich daran zu erinnern, dass der Angriff mit 600 Gb/Sek. der größte war, der jemals aufgezeichnet wurde. Wäre derselbe Angriff gegen einen freien oder kleineren DNS-Provider erfolgt, kann man davon ausgehen, dass die Ergebnisse für seine Kunden noch katastrophaler gewesen wären.

Scott, EVP bei Dyn gab am 26. Oktober eine offizielle Erklärung ab:

Dieser Angriff hat ein wichtiges Gespräch über die Sicherheit und Volatilität des Internets eröffnet. Er hat nicht nur Schwachstellen in der Sicherheit von „Internet of Things“-Geräten (IOT) aufgezeigt, die behoben werden müssen, sondern er hat auch einen weiteren Dialog in der Internet-Infrastruktur-Gemeinschaft über die Zukunft des Internets ausgelöst. Wie schon in der Vergangenheit freuen wir uns darauf, zu diesem Dialog beizutragen:

2. Failover-DNS-Strategie

Unternehmen müssen nun ihre DNS-Strategie überdenken und eine Ausfallsicherung einführen. Brian Armstrong, Mitbegründer von Canopy, schrieb 2014 einen großartigen Artikel mit dem Titel „Sie machen DNS wahrscheinlich falsch, so wie wir„. Dies geschah, nachdem ein DDoS-Angriff ihren DNS-Provider DNSimple lahmgelegt hatte. Er spricht die Frage der TTLs an und dass Unternehmen diese länger machen sollten. TTL bedeutet „time to live“, oder besser gesagt, wie lange es im Cache am Leben bleibt, bevor es gelöscht wird. Wenn du zum Beispiel eine TTL von einer Woche hast und dein DNS-Provider einen Tag lang ausfällt, ist es wahrscheinlicher, dass die Benutzer nicht betroffen sind, weil dein ISP den DNS im Cache hat.

Es gibt jedoch auch eine Kehrseite der Verwendung hoher TTLs. Wenn du am Freitag, den 21., einen zweiten DNS-Provider hinzugefügt hättest, hätte es keine große Rolle gespielt, da die TTL in Tagen oder Wochen und nicht in Minuten ablaufen sollte. Dies kann einfach dadurch gelöst werden, dass man in Vorbereitung mehrere DNS-Provider im Voraus einrichtet. Also ja, hohe TTLs können gut sein, aber sie sollten in Kombination mit Failover-Strategien mehrerer DNS-Provider verwendet werden. Schaue dir diesen ausführlicheren Artikel über DNS-TTL-Einstellungen an.

“Die Gemeinschaft muss zusammenarbeiten, um kommerzielle oder Open-Source-Lösungen zu entwickeln, um DNS-Konfigurationen zwischen Anbietern kompatibel zu machen (dies gilt für komplexe DNS-Einrichtungen wie Failover, Geo-Load-Balancing usw.). Dies ist nicht länger ein „nice-to-have“, sondern ein „must-have“. – Catchpoint

Es gibt viele Premium-DNS-Anbieter, die Tutorials zur Einrichtung von Secondary DNS als Failover anbieten. Die empfohlene Konfiguration ist die Einrichtung redundanter Nameserver mit mehreren DNS-Providern

Es ist auch wichtig zu beachten, dass je nachdem, wie du deine sekundäre DNS einrichtest, dies deiner DNS-Leistung schaden oder helfen könnte. DNS Made Easy bietet ein großartiges Webinar, in dem dies ein wenig ausführlicher erklärt wird.

3. Leistung

Ein weiterer Vorteil von Premium-DNS ist die Geschwindigkeit! Normalerweise ist das kostenlose DNS, das von Domain-Registrierungsstellen wie GoDaddy und Namecheap bereitgestellt wird, sehr langsam. Google-Domains sind wahrscheinlich eine Ausnahme von dieser Regel, einfach weil sie eine so große Infrastruktur haben. DNS-Anbieter arbeiten normalerweise genau wie ein CDN, sie haben mehrere POPs rund um den Globus. Große DNS-Anbieter wie Amazon, Cloudflare, Dyn und DNS Made Easy verfügen alle über eine massive Infrastruktur, die speziell für DNS mit Umgebungen mit geringer Latenz ausgelegt ist.

Wir haben einige Tests mit dem Geschwindigkeitstesttool SolveDNS durchgeführt. Hier ist ein Beispiel für eine Domain mit dem kostenlosen DNS von NameCheap und den Antwortzeiten.

Kostenloses DNS von NameCheap

Kostenloser DNS-Geschwindigkeitstest
Kostenloser DNS-Geschwindigkeitstest

Unten sieht man ein Beispiel mit dem Premium-DNS von Amazon Route 53. Wie du im Allgemeinen sehen kannst, sind die DNS-Lookup-Zeiten bei Amazon viel schneller. Du kannst deine eigenen Tests gegen Provider durchführen, aber es ist einfach wichtig, daran zu denken, dass es genau wie bei Web-Hosts schnellere und langsamere gibt. Normalerweise haben Premium-DNS-Anbieter bessere Geschwindigkeiten. Cloudflare ist ein kostenloses Programm, das auch eine großartige Leistung bietet. Allerdings sind sie schwierig, wenn man sich mit dem Betrieb mehrerer DNS-Provider befasst.

Amazon Route 53 DNS

Amazon-Premium-DNS-Geschwindigkeitstest
Amazon-Premium-DNS-Geschwindigkeitstest

Wie richte ich Premium-DNS mit Kinsta ein?

Wir glauben, dass Premium-DNS wichtig ist, und deshalb haben wir uns mit Amazon Route 53, einem globalen Anycast-Netzwerk, zusammengetan. Sie bieten DNS-Failover sowie Latenz- und Geolokalisierungs-Routing, um sicherzustellen, dass Ihre Webseite immer online und stabil ist. Das Routing ist besonders wichtig, da es sicherstellt, dass dein DNS an den nächstgelegenen Standort mit der geringsten Latenz geroutet wird. Amazon Route 53 Premium-DNS ist für alle Kinsta-Kunden kostenlos enthalten. Um es auf deiner WordPress-Seite einzurichten, befolge einfach die folgenden Schritte.

Schritt 1

Klicke in deinem MyKinsta-Dashboard auf „Kinsta DNS„.

Kinsta Amazon Route 53 DNS
Kinsta Amazon Route 53 DNS

Schritt 2

Klicken Sie oben rechts auf “Domain hinzufügen”.

Eine Domain zu Kinsta DNS hinzufügen
Eine Domain zu Kinsta DNS hinzufügen

Schritt 3

Du kannst dann deine DNS-Einträge hinzufügen, indem du oben rechts auf „Eintrag hinzufügen“ klickst. Dein A-Eintrag muss auf deine Kinsta-IP-Adresse verweisen. Folgende Einträge werden unterstützt:

  • A
  • CNAME
  • MX
  • SPF
  • TXT
  • SRV
  • AAAA
  • DKIM
Premium DNS Einträge
Premium DNS Einträge

Schritt 4

Nun musst du die Nameserver von Amazon bei deiner Domain-Registrierungsstelle oder einem DNS-Provider eines Drittanbieters hinzufügen. Du kannst auf diese zugreifen, indem du auf der Seite DNS-Einträge auf Nameserver klickst.

Premium DNS Nameserver
Premium DNS Nameserver

Und das war’s! Deine DNS wird jetzt über die Amazon Route 53 bedient.

Zusammenfassung

Genau wie Catchpoint und die EVP bei Dyn, die beide oben erwähnt wurden, veranlasst der jüngste Vorfall Unternehmen dazu, ihre DNS-Strategien und die Web-Sicherheit im Allgemeinen zu überdenken. Einige Unternehmen haben Millionen von Dollar durch die Ausfallzeit am Freitag, den 21. verloren. Die Verwendung eines Premium-DNS-Providers und auch die Implementierung einer DNS-Failover-Strategie mit einem sekundären Provider ist wichtiger denn je. Es ist nur eine Frage der Zeit, bis der nächste DDoS-Angriff kommt, und man sollte darauf vorbereitet sein.

Hast du irgendwelche eigenen Gedanken zur Verwendung von Premium-DNS-Providern? Wenn ja, teile sie uns unten in den Kommentaren mit.

Brian Jackson

Brian hat eine große Leidenschaft für WordPress, verwendet es seit über einem Jahrzehnt und entwickelt sogar einige Premium-Plugins. Brian liebt Blogging, Filme und Wandern. Verbinde dich mit Brian auf Twitter.