Je hebt waarschijnlijk wel eens over de term “premium DNS” gehoord en waarschijnlijk schonk je er toen weinig aandacht aan. De meeste mensen weten wel dat het gebruik van een premium DNS provider hen kan helpen, maar toch nemen ze niet het initiatief om het te implementeren, of weten ze simpelweg niet hoe ze dit moeten doen.

Op oktober 2016 vond de grootste DDoS aanval uit de geschiedenis plaats, waarbij grote bedrijven als PayPal, Spotify, Twitter, Reddit en eBay allemaal werden neergehaald. Door sommigen werd dit evenement zelfs de DNS Doomsday van het internet genoemd. Vandaag willen met je kijken naar hoe een premium DNS provider je in dergelijke situaties kan helpen – mits goed ingesteld – om te voorkomen dat je WordPress site down gaat.

Wat is DNS?

DNS (Domain Name System) is de ruggengraat van het internet. Je kan het zien als het telefoonboek van het wereldwijde web. Elke website en elk domein dat je bezoekt, wordt gekoppeld aan een IP adres.

Wanneer je Google.com intypt in je adresbalk, dan wordt een DNS verzoek uitgevoerd bij je ISP om de nameservers op te vragen die bij het domein horen. Het koppelen aan het IP adres (mapping) wordt vervolgens door de server achter de schermen gedaan, wat het mogelijk maakt om een site te bezoeken via een domeinnaam. Zonder DNS had je namelijk iets als 216.58.217.206 in moeten typen om naar Google te gaan. Niet heel erg handig!

Zo werkt DNS
Zo werkt DNS

Wanneer je je domein registreert, levert de domeinregistrar normaal gesproken een gratis DNS service. Onder andere NameCheap, GoDaddy, Google Domains bieden je allemaal de mogelijkheid om je nameservers in te stellen en je domein naar het IP van je webhost te verwijzen. Google Domains als domeinregistrar is wat gratis DNS service betreft waarschijnlijk de beste optie, omdat ze over een enorme infrastructuur beschikken waarvan ze gebruik kunnen maken. Andere populaire gratis DNS providers zijn Cloudflare en Hurricane Electric Internet Services. Bekijk deze lijst met 10 gratis DNS providers voor andere alternatieven.

Als je je bedrijf en site serieus neemt, dan raden we je ten zeerste aan om met een premium DNS provider in zee te gaan. Hieronder zullen we uitleggen waarom we dit aanbevelen.

De DNS aanval die het hele internet platlegde

Op 21 oktober 2016 gebeurde er iets wat voor veel bedrijven de ergste nachtmerrie is. Een immense DDoS aanval (Distributed Denial of Service) vond plaats die zich richtte op de populaire DNS provider Dyn. De aanvallers slaagden erin om de diensten en sites offline te halen.

Het lukte ze bovendien om de nameservers van Dyn neer te halen. Hierdoor werkten de DNS lookups niet meer, zoals we hierboven al uitlegden. Gedurende de aanval rapporteerde Dyn hierover op hun officiële statuspagina en slaagde erin om gedurende de hele aanval consistent hun klanten van updates voorzien. Al met al duurde de aanval ongeveer 11 uur.

Dyn DNS DDoS aanvalstatus
Dyn DNS DDoS aanvalstatus

Hieronder zie je een voorbeeld van wat een van Dynatrace’s SaaS klanten zag op vrijdag de 21e vanuit hun DNS monitoring-applicatie. De aanval was gericht op de oostkust van de Verenigde Staten, maar verspreidde zich al snel door het hele land én Europa.

DDoS aanval kaart
DDoS aanval kaart

Het waren niet de minste bedrijven die getroffen waren: Twitter, Amazon, Github, Shopify, Weather.com, Basecamp, Freshbooks, SoundCloud, Spotify, Netflix, Reddit, Disqus, PayPal en honderden anderen. Ook bij Kinsta hadden we indirect te maken met de aanval, omdat ons ticket- en chatsupportsysteem Intercom ook was geraakt. De aanval is nu toegeschreven aan het Mirai botnet, een netwerk van apparaten die zijn geïnfecteerd met zelf propagerende malware en die gemaskeerd TCP en UDP verkeer via poort 53 gebruikten.

Als je kijkt naar de enorme schade die een relatief eenvoudige DDoS aanval kon uitrichten, is het zaak dat bedrijven hun DNS strategie heroverwegen. Het instellen van een secundaire DNS provider als failover, kan zorgen voor een extra opvangkussen wanneer dergelijke problemen zich voordoen. Op zijn minst raden we aan om voor een premium DNS provider te kiezen (in plaats van een gratis), omdat ze beter zijn uitgerust om deze problemen aan te pakken. Hoeveel aanvallen van deze enorme omvang zeldzaam zijn, geldt dat niet voor DDoS aanvallen in het algemeen. Volgens data van easyDNS zit er juist een sterke groei in het aantal DDoS aanvallen.

DDoS aanvallen over een lange periode
DDoS aanvallen over een lange periode

Om maar even een voorbeeld te geven: op moment van schrijven (31 oktober) was een grote domeinregistrar, 123 Reg, bezig om een DDoS aanval af te slaan die was gericht op hun DNS. Je mag verwachten dat dit soort incidenten de komende jaren alleen maar zal toenemen.

Voordelen van een premium DNS provider

Er zijn veel goede gratis DNS providers, maar feit is wel dat premium DNS providers veel voordelen bieden. Het komt erop neer dat ze alles eraan doen om te zorgen dat je site online blijft: beveiliging, DNS failover en betere prestaties.

1. Beveiliging – beter uitgerust tegen grootschalige aanvallen

Grote premium DNS providers zijn doorgaans beter uitgerust om je te beschermen tegen grootschalige DDoS aanvallen – zoals die op vrijdag de 21e. Dyn was en is nog steeds een zeer gerenommeerd bedrijf en hoewel er sprake was van downtime, deden ze hun best om klanten op de hoogte te houden en werkten ze de klok rond om alles weer op orde te krijgen. Met 600Gb/sec was dit de grootste geregistreerde aanval ooit, laten we dat niet vergeten. Je kan er gerust van uitgaan dat de consequenties voor de klanten vele malen groter waren geweest als de aanval was gericht op een gratis of kleinere DNS provider.

Scott, EVP van Dyn gaf op 26 oktober een officiële verklaring:

De aanval heeft een belangrijk gesprek op gang gebracht over internetbeveiliging en volatiliteit. De aanval heeft niet alleen de kwetsbaarheden in de beveiliging van het “Internet of Things” (IOT) blootgelegd – die we zeker moeten adresseren – maar ook geleid tot verdere dialoog binnen de community van internet-infrastructuur over de toekomst van het internet. Zoals we ook in het verleden hebben gedaan, willen we graag bijdragen aan die dialoog.

2. Failover DNS strategie

Bedrijven moeten hun DNS strategie herzien en een failover hebben. Brian Armstron, mede-oprichter van Canopy, schreef in 2014 een geweldig artikel met de titel “Je pakt DNS waarschijnlijk verkeerd aan, zoals wij ook deden “. Dit was nadat een DDoS aanval hun DNS provider, DNSimple, platgooide. Hij bespreekt de kwestie van TTL’s en dat bedrijven deze langer zouden moeten maken. TTL betekent “time to live”, of beter gezegd hoe lang DNS gegevens in de cache blijven voordat ze worden gewist. Als je bijvoorbeeld een TTL van een week hebt, en je DNS provider ligt een dag plat, dan is de kans groot dat gebruikers hier niets van merken, omdat je ISP de DNS in cache heeft.

Er is echter ook een keerzijde aan het gebruik van hoge TTL’s. Op vrijdag de 21e, als je toen een 2e DNS provider had toegevoegd, dan had dat helemaal niets uitgemaakt, omdat de TTL was ingesteld om in dagen of weken te verlopen (en niet in minuten). Dit kan worden opgelost door eenvoudig vooraf meerdere DNS providers in te stellen. Hoge TTL’s kunnen dus positief zijn, maar ze moeten dan wel worden gebruikt in combinatie met een failover-strategie met meerdere DNS providers. Lees dit diepgaande artikel over de DNS TTL instellingen.

De gemeenschap moet samenwerken om commerciële of opensource oplossingen te bedenken om DNS configuraties compatibel te maken tussen leveranciers (dit is voor complexe DNS instellingen zoals failover, geo-loadbalancing, etc.). Dit is niet langer een nice-to-have, maar een must-have. – Catchpoint

Er zijn veel premium DNS providers die tutorials hebben geschreven over hoe je bij hun een secundaire DNS instelt als failover. De aanbevolen configuratie is om redundante (overtollige) nameservers in te stellen bij meerdere DNS providers.

Het is belangrijk om te vermelden dat, afhankelijk van hoe je je secundaire DNS instelt, dit je DNS performance kan verslechteren of verbeteren. DNS Made Easy heeft een geweldig webinar waarin ze dit beter uitleggen.

3. Prestaties

Een ander voordeel van premium DNS is snelheid! Doorgaans is de gratis DNS die je krijgt bij het registeren van een domeinnaam erg langzaam, bijvoorbeeld bij GoDaddy en Namecheap. Google Domains is waarschijnlijk een uitzondering op deze regel, omdat ze zo’n grote infrastructuur hebben. DNS providers werken meestal net als een CDN, waarbij ze gebruikmaken van meerdere POP’s van over de hele wereld. Grote DNS providers als Amazon, Cloudflare, Dyn en DNS Made Easy hebben stuk voor stuk een enorme infrastructuur die speciaal is ontworpen voor DNS omgevingen met lage latentie.

We voerden een aantal tests uit met de Solve DNS speedtest tool. Dit is een voorbeeld van een domein dat gebruikmaakt van de gratis DNS van NameCheap en de bijbehorende reactietijden.

Gratis NameCheap DNS

Gratis DNS snelheidstest
Gratis DNS snelheidstest

Hieronder vind je een voorbeeld van de premium DNS van Amazone Route 53. In het algemeen kan je stellen dat de DNS lookuptijden met Amazon veel sneller zijn. Je kan natuurlijk ook je eigen tests uitvoeren en providers vergelijken. Het komt hierop neer: net als bij webhosts heb je bij DNS ook providers snellere en langzamere. Doorgaans hebben premium DNS providers betere snelheden. Cloudflare is gratis en levert goede prestaties, maar ze zijn beperkt als je meerdere DNS providers wil gebruiken.

Amazon Route 53 DNS

Snelheidstest Amazon premium DNS
Snelheidstest Amazon premium DNS

Zo stel je premium DNS in bij Kinsta

Wij geloven in het belang van premium DNS en dat is waarom we de samenwerking zijn aangegaan met Amazon Route 53, een globaal Anycast netwerk. Ze bieden naast DNS failover ook latentie- en geolocatie-routing om ervoor te zorgen dat je website altijd online en stabiel is. Routing is met name belangrijk omdat het ervoor zorgt dat je DNS met de laagste latentie naar de dichtstbijzijnde locatie wordt doorgestuurd. Amazon Route 53 premium DNS is voor alle Kinsta klanten gratis inbegrepen. Volg de onderstaande stappen om het op jouw WordPress site in te stellen.

Stap 1

Ga in je MyKinsta dashboard naar “Kinsta DNS“.

Kinsta Amazon Route 53 DNS
Kinsta Amazon Route 53 DNS

Stap 2

Klik rechtsboven op “Domein toevoegen”.

Domein toevoegen Kinsta DNS
Domein toevoegen Kinsta DNS

Step 3

Je kan vervolgens je DNS records toevoegen door rechtsboven op “Record toevoegen” te klikken. Je A record moet naar je Kinsta IP adres verwijzen. Ondersteunde records:

  • A
  • CNAME
  • MX
  • SPF
  • TXT
  • SRV
  • AAAA
  • DKIM
Premium DNS records
Premium DNS records

Step 4

Vervolgens moet je de Amazon nameservers toevoegen bij je domeinregistrar of een externe DNS provider. Je kan deze openen door naar Nameservers te gaan op de DNS recordspagina.

Premium DNS nameservers
Premium DNS nameservers

En dat was het! Je DNS wordt nu geleverd via Amazon Route 53.

Samenvatting

Net als Catchpoint en de EVP van Dyn hierboven al noemden, is het zaak voor bedrijven om na de recente incidenten hun DNS strategieën en algehele webbeveiliging te heroverwogen. Er zijn bedrijven die miljoenen hebben verloren door de downtime die op vrijdag de 21e plaatsvond. Het gebruik van een premium DNS provider en het implementeren van een DNS failoverstrategie met een secundaire provider is belangrijker dan ooit tevoren. Het is slechts een kwestie van tijd tot de volgende DDoS aanval toeslaat. Wees dus voorbereid.

Wat denk jij van premium DNS providers? Gebruik je een? Laat het ons weten in de reacties hieronder.

Brian Jackson

Brian heeft een enorme passie voor WordPress, gebruikt het al meer dan tien jaar en heeft zelfs al aantal premium plugins ontwikkeld. Brian houdt van bloggen, films en hikes. Kom in contact met Brian op Twitter.