5 Tage nach Beginn dieses Abrechnungszeitraums hat meine Route 53-Zone über 33 Millionen Anfragen für einen bestimmten Host erhalten, den ich kürzlich gelöscht habe. Und die zugehörigen DNS-Einträge wurden ebenfalls gelöscht.
Ich hätte nicht gedacht, dass mir Anfragen an einen nicht vorhandenen Host-Eintrag in Rechnung gestellt werden, aber laut dem Abrechnungs-Dashboard ist das tatsächlich der Fall. Und die Anzahl der Anfragen hat sich seit der Entfernung verdoppelt. Einige anfängliche Abfrageprotokolle und Untersuchungen deuten darauf hin, dass es Clients gibt, die viele redundante Anfragen für diesen gelöschten Hostnamen stellen.
Falls es Sie interessiert: Dieser Host wurde als offener öffentlicher Server für das STUN-Protokoll betrieben, um WebRTC- und VOIP-Anrufe zu booten. Die Kosten für den Betrieb dieses öffentlichen Servers gerieten außer Kontrolle. Also habe ich ihn auf eine neue IP-Adresse und einen neuen Hostnamen verschoben. Ich hatte kürzlich von einigen anderen bekannten öffentlichen Diensten erfahren, die die DNS-Adresse in ihren Code und ihre Beispieldokumentation fest einprogrammiert hatten.
Heute Abend habe ich einen falschen A- und AAAA-Eintrag wieder hinzugefügt, der sich auf 127.0.0.1 (oder ::1) mit einer TTL von 4 Tagen auflöst. Das könnte dazu führen, dass der Code, der die Anfrage wiederholt, nicht mehr (so oft) nachfragt und den Eintrag in nachgelagerten DNS-Servern zwischenspeichert. Aber übermäßige und redundante DNS-Anfragen waren schon immer ein kostspieliges Problem, das ich nie in den Griff bekommen habe. Ich habe mich jahrelang mit DDOS-Angriffen auf den Host-Dienst befasst und diese abgeschwächt, aber ich habe nie verstanden, wie man Route 53-Clients mit einer Firewall dazu bringt, redundante Anfragen zu stellen.
Die ideale Lösung wäre, dass Route 53 Anfragen für den gelöschten Hostnamen einfach ignoriert (und mir dafür keine Rechnung stellt).
Welche Möglichkeiten habe ich?
Antwort1
Anstatt einen Datensatz zu löschen, ist Ihre aktuelle Lösung, eine gültige Antwort mit einer lokalen IP-Adresse und sehr langer TTL zurückzugeben, tatsächlich eine Lösung.
Die (aktuelle) offizielle Dokumentation von Amazon Route 53stellt fest und schlägt vorein alternativer Ansatz
Wenn Route 53 antwortet aufFür DNS-Abfragen mit einer NXDOMAIN- oder NODATA-Antwort (einer negativen Antwort) wird Ihnen der Tarif für Standardabfragen berechnet.(Siehe „Abfragen“ in der Preisübersicht für Amazon Route 53). Wenn Sie sich über die Kosten negativer Antworten Sorgen machen:
Erhöhen Sie den TTL-Wert des SOA-Eintrags (der standardmäßig auf 900 Sekunden eingestellt ist).
Erhöhen Sie den Wert für die minimale Lebensdauer (TTL) (standardmäßig 86400 Sekunden (= 24 Stunden)) im SOA-Eintrag
Dies sollte die Zeitspanne verlängern, in der eine DNS-Antwort von Route 53, dass ein bestimmter DNS-Eintrag nicht existiert, eine NXDOMAIN- und/oder NODATA-Antwort zwischengespeichert wird (in geeigneten Resolvern, die negatives Caching unterstützen). Dies sollte die Anzahl der Anfragen verringern, die Ihnen in Rechnung gestellt werden.
Ein SOA-Eintrag enthält die folgenden Elemente:
Die minimale Lebensdauer (TTL). Dieser Wert hilft dabei, die Zeitspanne zu definieren, die rekursive Resolver die folgenden Antworten von Route 53 zwischenspeichern sollen:
NXDOMAIN Es gibt keinen Datensatz irgendeines Typs mit dem in der DNS-Abfrage angegebenen Namen, wie etwa example.com. Es gibt auch keine Datensätze, die untergeordnete Elemente des in der DNS-Abfrage angegebenen Namens sind, wie etwa zenith.example.com.
KEINE DATENEs gibt mindestens einen Datensatz mit dem in der DNS-Abfrage angegebenen Namen, aber keiner dieser Datensätze hat den in der DNS-Abfrage angegebenen Typ (z. B. A).
Wenn ein DNS-Resolver eine NXDOMAIN- oder NODATA-Antwort zwischenspeichert, wird dies als negatives Caching bezeichnet.
Die Dauer des negativen Cachings ist der kleinere der folgenden Werte:
- Dieser Wert ist die minimale TTL im SOA-Eintrag. Im Beispiel ist der Wert 86400 (ein Tag).
- Der TTL-Wert für den SOA-Eintrag.
Wenn Route 53 antwortet aufFür DNS-Abfragen mit einer NXDOMAIN- oder NODATA-Antwort (einer negativen Antwort) wird Ihnen der Tarif für Standardabfragen berechnet.(Siehe „Abfragen“ in Amazon Route 53 – Preise). Wenn Sie sich über die Kosten negativer Antworten Sorgen machen, besteht eine Möglichkeit darin, die TTL für den SOA-Eintrag, die minimale TTL im SOA-Eintrag (diesen Wert) oder beides zu ändern. Beachten Sie, dass das Erhöhen dieser TTLs, die für negative Antworten für die gesamte gehostete Zone gelten, sowohl positive als auch negative Auswirkungen haben kann:
...