Usted probablemente ha escuchado antes el término «DNS premium» y tal vez no le dio un segundo pensamiento. La mayoría de la gente sabe que el uso de un proveedor de DNS premium puede ayudarles, pero no toman la iniciativa para implementarlo, o a lo mejor no saben cómo.

El 21 de octubre de 2016, el mayor ataque DDoS en la historia ocurrió, haciendo caer a grandes empresas como PayPal, Spotify, Twitter, Reddit y eBay. Algunos incluso lo llaman el DNS Doomsday (Apocalipsis de DNS) del internet. Hoy queremos sumergirnos en cómo un proveedor de DNS premium puede ayudarle en situaciones como estas, si está configurado correctamente, y evitar que su sitio WordPress se caiga.

¿Qué Es DNS?

DNS (Domain Name System) es la columna vertebral de Internet. Usted puede pensar en él como una guía telefónica para la World Wide Web. Todos los sitios web y dominios que visita están todos asignados a una dirección IP.

Cuando escribe Google.com en su barra de direcciones, su ISP realiza una consulta DNS para solicitar los servidores de nombres asociados con el dominio. El mapeo a la dirección IP se hace detrás de las escenas por el servidor que le permite utilizar el nombre de dominio para acceder a él. Sin DNS usted tendría que escribir algo como 216.58.217.206 para llegar a Google. ¿No sería divertido?

how dns works
Cómo DNS funciona

Cuando registra su dominio, el registrador de dominios normalmente proporcionará servicios de DNS gratuitos. Por ejemplo, NameCheap, GoDaddy, Google Domains, etc. le proporcionan la capacidad de configurar sus servidores de nombres y de encaminar su dominio a la dirección IP de su host. Google Domains es probablemente el mejor servicio gratuito de DNS ofrecido de un registrador de dominio puesto que tiene una infraestructura muy grande a la cual aferrarse. Un par de otros populares proveedores de DNS gratuito incluyen Cloudflare and Hurricane Electric Internet Services. Eche un vistazo a esta lista de 10 proveedores de DNS gratuito para otras alternativas.

Sin embargo, si usted es serio acerca de su negocio y sitio web, recomendamos encarecidamente ir con un proveedor de DNS premium, que vamos a cubrir con más detalle a continuación.

El Ataque De DNS Que Afectó A Todo El Internet

El 21 de octubre de 2016, lo peor sucedió para muchas empresas. Un gran ataque distribuido de denegación de servicio (DDoS) estalló contra un proveedor de DNS premium, Dyn, y logró comenzar a tomar servicios y sitios sin conexión.

Básicamente, lo que sucedió fue que lograron derribar los servidores de nombres de Dyn, y como explicamos anteriormente, sin ellos las búsquedas de DNS comienzan a fallar. Dyn comenzó a informar sobre esto en su página de estado y logró proporcionar actualizaciones consistentes a lo largo de todo el ataque que duró aproximadamente 11 horas.

Estado de ataque DDoS de Dyn DNS
Estado de ataque DDoS de Dyn DNS

A continuación se muestra un ejemplo de lo que los clientes de Dynatrace’s SaaS estaban viendo el viernes 21 de su aplicación de monitoreo de DNS. El ataque se centró en la costa este, pero se extendió por todo Estados Unidos y Europa.

Mapa de ataque DDoS
Mapa de ataque DDoS

Las empresas afectadas incluyeron grandes nombres como Twitter, Amazon, Github, Shopify, Weather.com, Basecamp, Freshbooks, SoundCloud, Spotify, Netflix, Reddit, Disqus, PayPal y cientos de otros. Incluso nos dimos cuenta aquí en Kinsta como Intercom, nuestro sistema de soporte de tickets y chat, también se vio afectado. El ataque ha sido ahora atribuido al Mirai Botnet, que es una red de dispositivos infectados con malware de propagación automática que usó el tráfico TCP y UDP enmascarado a través del puerto 53.

Por lo que pasó las empresas necesitan volver a pensar su estrategia de DNS. La configuración de un proveedor DNS secundario como una conmutación por error puede ayudar a proporcionar redundancia cuando se producen problemas como los anteriores. Y si algo, por lo menos recomendamos el uso de un proveedor de DNS premium, en vez de uno gratuito, ya que están más equipados para manejar estos problemas. Mientras que los ataques de esta escala masiva son raros, los ataques de DDoS en general, no lo son. De hecho, según los datos proporcionados por easyDNS, los ataques DDoS con el tiempo se están haciendo mucho peores.

Ataque DDoS a lo largo del tiempo
Ataque DDoS a lo largo del tiempo

Incluso a la hora de escribir este artículo el 31 de octubre, 123 Reg, un registrador de dominio grande, estaba luchando con un ataque de DDoS contra su DNS. Usted puede esperar en los próximos años esto sólo aumentará.

Beneficios Del Proveedor De DNS Premium

Hay un montón de buenos proveedores de DNS gratuito por ahí, pero los proveedores de DNS premium ofrecen una gran cantidad de ventajas para garantizar que su sitio web permanezca online, como la seguridad, la conmutación por error de DNS y un mejor rendimiento.

1. Seguridad – Mejor Equipado Para Ataques A Gran Escala

Los grandes proveedores de DNS premium suelen estar mejor equipados para protegerlo de ataques DDoS a gran escala, como el del viernes 21. Dyn es una empresa de gran reputación y aunque hubo tiempo de inactividad, hicieron todo lo posible para mantener informados a los clientes y trabajaron todo el día para que todo se recuperara. Es importante recordar que el ataque fue el más grande jamás registrado en 600 Gb/seg. Si ese mismo ataque se hubiera producido contra un proveedor de DNS gratuito o más pequeño, puede asumir con seguridad que los resultados habrían sido aún más catastróficos para sus clientes.

Scott, Vicepresidente Ejecutivo en Dyn sacó una declaración oficial en Octubre 26:

Este ataque ha abierto una importante conversación sobre seguridad en Internet y volatilidad. No sólo ha destacado las vulnerabilidades en la seguridad de los dispositivos de «Internet de las cosas» (IOT – Internet of Things) que necesitan ser abordados, sino que también ha provocado un mayor diálogo en la comunidad de la infraestructura de Internet sobre el futuro de Internet. Como lo hemos hecho en el pasado, esperamos contribuir a ese diálogo.

2. Estrategia DNS De Conmutación Por Error

Las empresas ahora necesitan repensar su estrategia de DNS y tener una conmutación por error en su lugar. Brian Armstrong, cofundador de Canopy, escribió un gran artículo en 2014 titulado «Estás probablemente haciendo DNS de la manera incorrecta, igual que nosotros.» Esto fue después de que un ataque DDoS había derribado a su proveedor DNS, DNSimple. Él toca el tema de los TTL y que las empresas deberían hacerlos más largos. TTL significa tiempo para vivir, o mejor dicho, cuánto tiempo permanecerá vivo en caché antes de que se borre. Por ejemplo, si tuviera un TTL de una semana y su proveedor DNS fallara por un día, es más probable que los usuarios no se vean afectados porque su ISP tiene el DNS caché.

Sin embargo, también hay un reverso a la utilización de altos TTLs. El viernes 21, si fuiste a agregar un segundo proveedor de DNS, no habría importado mucho porque el TTL estaba programado para expirar en días o semanas y no minutos. Esto se puede resolver simplemente configurando varios proveedores DNS antes de tiempo en preparación. Así que sí, los TTL altos pueden ser buenos, pero deberían utilizarse en combinación con una estrategia de conmutación por error de varios proveedores de DNS. Eche un vistazo a este artículo más en profundidad sobre ajustes DNS TTL.

La comunidad debe trabajar conjuntamente para encontrar soluciones comerciales o de código abierto para que las configuraciones DNS sean compatibles entre los proveedores (esto es para configuraciones DNS complejos como failover, equilibrio de carga geográfica, etc.). Esto es un ya no agradable-a-tener, pero que se-debe-tener. – Catchpoint

Hay una gran cantidad de proveedores de DNS premium que tienen tutoriales sobre cómo configurar DNS secundario como una conmutación por error. La configuración recomendada es configurar servidores de nombres redundantes con varios proveedores de DNS.

También es importante tener en cuenta que dependiendo de cómo configurar su DNS secundario podría dañar o ayudar a su rendimiento de DNS. DNS Made Easy tiene un gran webinar explicando esto a más profundidad.

3. Rendimiento

¡Otra ventaja del DNS premium es la velocidad! Normalmente, el DNS gratuito proporcionado por los registradores de dominio como GoDaddy y Namecheap es muy lento. Los dominios de Google son probablemente una excepción a esta regla simplemente porque tienen una infraestructura tan grande. Los proveedores de DNS suelen funcionar como un CDN, tienen múltiples POPs en todo el mundo. Los grandes proveedores de DNS que existen como Amazon, Cloudflare, Dyn y DNS Made Easy tienen una infraestructura masiva diseñada específicamente para DNS con entornos de baja latencia.

Hicimos un par de pruebas con la herramienta del test de velocidad de SolveDNS. Aquí está un ejemplo de un dominio que utiliza el DNS gratuito de NameCheap y los tiempos de respuesta.

Free NameCheap DNS

Prueba de DNS gratuito
Prueba de DNS gratuito

Y a continuación se muestra un ejemplo usando el DNS premium de Amazon Route 53. Como se puede ver en general, los tiempos de búsqueda de DNS son mucho más rápidos con Amazon. Usted puede ejecutar sus propias pruebas contra los proveedores, pero es simplemente importante recordar que al igual que con los web hosts, hay más rápidos y más lentos. Normalmente, los proveedores de DNS premium tendrán mejores velocidades. Cloudflare es uno gratuito que también tiene un gran rendimiento, sin embargo, son difíciles cuando se mete en la ejecución de múltiples proveedores de DNS.

Amazon Route 53 DNS

Prueba de velocidad de Amazon premium
Prueba de velocidad de Amazon premium

Cómo Configurar DNS Premium Con Kinsta

Creemos que DNS premium es importante y es por eso que nos asociamos con Amazon Route 53, una red global de Anycast. Ofrecen failover de DNS, así como la latencia y la geolocalización de enrutamiento para ayudar a asegurar que su sitio web esté siempre online y estable. El enrutamiento es especialmente importante ya que se asegura de que su DNS se enrute a la ubicación más cercana con menor latencia. El DNS premium de Amazon Route 53 se incluye de forma gratuita para todos los clientes de Kinsta. Para configurarlo en su sitio WordPress simplemente siga los pasos a continuación.

Paso 1

En su panel de control MyKinsta haga clic en «Kinsta DNS

Kinsta Amazon Route 53 DNS
Kinsta Amazon Route 53 DNS

Paso 2

Haga clic en «Añadir Dominio” en la esquina superior derecho.

Agregar un dominio a DNS
Agregar un dominio a DNS

Paso 3

A continuación, puede agregar sus registros DNS haciendo clic en «Añadir registro» en la parte superior derecha. Su registro A necesita apuntar a su dirección IP de Kinsta. Registros soportados:

  • A
  • CNAME
  • MX
  • SPF
  • TXT
  • SRV
  • AAAA
  • DKIM
Premium DNS records
Premium DNS records

Paso 4

A continuación, tendrá que agregar los servidores de nombres de Amazon con su registrador de dominios o con el proveedor DNS de terceros. Puede acceder a ellos haciendo clic en Nameservers en la página de registros DNS.

Servidores de nombre de DNS premium
Servidores de nombre de DNS premium

¡Y eso es! Su DNS ahora se sirve vía Amazon Route 53.

Resumen

Al igual que Catchpoint y el EVP en Dyn ambos mencionados anteriormente, el reciente incidente tiene a las empresas repensando sus estrategias de DNS y la seguridad web en general. Algunas compañías perdieron millones de dólares por el tiempo de inactividad que ocurrió el viernes 21. El uso de un proveedor de DNS premium y la implementación de una estrategia de conmutación por error de DNS con un proveedor secundario es más importante que nunca. Es sólo cuestión de tiempo hasta que el siguiente ataque DDoS ataque y usted debe estar preparado.

¿Tiene alguno de sus propios pensamientos sobre el uso de proveedores de DNS premium? Si es así, háganoslo saber a continuación en los comentarios.

Brian Jackson

Brian tiene una gran pasión por WordPress, lo ha estado utilizando durante más de 10 años e incluso ha desarrollado un par de plugins premium. Brian disfruta de los blogs, las películas y el senderismo. Conéctese con Brian en Twitter.