5 días después de este ciclo de facturación, mi zona de Route 53 ha recibido más de 33 millones de solicitudes para un host en particular que eliminé recientemente. Y los registros DNS asociados también se eliminaron.
No pensé que me facturarían por consultas a un registro de host inexistente, pero efectivamente, según el panel de facturación. Y el número de consultas se ha duplicado desde que se eliminó. Algunas investigaciones y registros de consultas iniciales sugieren que hay clientes que realizan muchas solicitudes redundantes para este nombre de host eliminado.
Si está interesado, este host funcionaba como un servidor público abierto para que el protocolo STUN iniciara llamadas WebRTC y VOIP. Los costos de facturación para operar este servidor público se estaban yendo de las manos. Así que lo moví a una nueva dirección IP y a un nuevo nombre de host. Recientemente me enteré de otros servicios públicos conocidos que habían codificado la dirección DNS en su código y documentación de muestra.
Esta noche, volví a agregar un registro A y AAAA falso que se resuelve en 127.0.0.1 (o ::1) con un TTL de 4 días. Eso podría hacer que cualquier código que repita la solicitud deje de preguntar (tanto) y tenga la entrada almacenada en caché en los servidores DNS posteriores. Pero las consultas DNS excesivas y redundantes siempre han sido un problema costoso que nunca pude solucionar. He lidiado y mitigado ataques DDOS en el servicio de host durante años, pero nunca entendí cómo proteger contra el firewall que los clientes de Route 53 realicen solicitudes redundantes.
La solución ideal sería que Route 53 simplemente ignorara las solicitudes del nombre de host eliminado (y no me facturara por ello).
¿Cuáles son mis opciones?
Respuesta1
En lugar de eliminar un registro, su solución actual de devolver una respuesta válida con una dirección IP de host local y un TTL muy largo es de hecho una solución.
La documentación oficial (actual) de la Ruta 53 del Amazonas.afirma y sugiereun enfoque alternativo
Cuando la Ruta 53 responde aConsultas DNS con una respuesta NXDOMAIN o NODATA (una respuesta negativa), se le cobrará la tarifa de las consultas estándar.(Ver "Consultas" en Precios de Amazon Route 53). Si le preocupa el costo de las respuestas negativas:
Aumente el valor TTL del registro SOA (que está configurado en 900 segundos de forma predeterminada)
Aumente el valor del tiempo de vida mínimo (TTL) (86400 segundos (= 24 horas) de forma predeterminada) en el registro SOA
Eso debería aumentar la cantidad de tiempo que se almacenará en caché una respuesta DNS de Route 53 de que un registro DNS particular no existe, una respuesta NXDOMAIN y/o NODATA (en solucionadores adecuados que admitan el almacenamiento en caché negativo). Eso debería reducir la cantidad de solicitudes que se le facturan.
Un registro SOA incluye los siguientes elementos:
El tiempo mínimo de vida (TTL). Este valor ayuda a definir el período de tiempo que los solucionadores recursivos deben almacenar en caché las siguientes respuestas de la Ruta 53:
DOMINIO NX No hay ningún registro de ningún tipo con el nombre especificado en la consulta DNS, como ejemplo.com. Tampoco hay registros que sean hijos del nombre especificado en la consulta DNS, como zenith.example.com.
SIN DATOSHay al menos un registro con el nombre especificado en la consulta DNS, pero ninguno de esos registros tiene el tipo (como A) especificado en la consulta DNS.
Cuando un solucionador de DNS almacena en caché una respuesta NXDOMAIN o NODATA, esto se denomina almacenamiento en caché negativo.
La duración del almacenamiento en caché negativo es el menor de los siguientes valores:
- Este valor: el TTL mínimo en el registro SOA. En el ejemplo, el valor es 86400 (un día).
- El valor del TTL para el registro SOA.
Cuando la Ruta 53 responde aConsultas DNS con una respuesta NXDOMAIN o NODATA (una respuesta negativa), se le cobrará la tarifa de las consultas estándar.(Ver "Consultas" en Precios de Amazon Route 53). Si le preocupa el costo de las respuestas negativas, una opción es cambiar el TTL del registro SOA, el TTL mínimo en el registro SOA (este valor), o ambos. Tenga en cuenta que aumentar estos TTL, que se aplican a las respuestas negativas de toda la zona hospedada, puede tener efectos tanto positivos como negativos:
...