Si tout le monde tapait les root, ils ne tarderaient pas à tomber... Ce n'est quand même pas pour rien qu'il y a une hiérarchie DNS (même si bien sûr, les DNS root ont été renforcés pour éviter qu'ils tombent). A mon avis, ce n'est pas une bonne pratique.

Attention, "Taper les root"=avoir son propre bind qui va chercher la réponse et gère son propre cache -> comportement normal de DNS
Je n'ai pas mis les ROOT en resolveur de mes machines.

Taper les ROOT ça a aussi des inconvénients : la résolution de Facebook me renvoie sur les US, j'ai été obligé de forward sur les NS de Free pour avoir une résolution France/EU. Y'a quelques autres sites où ça fait pareil, je ne vois pas les CDN EU.

Après, heureusement que les ROOT sont prévus pour encaisser de grosses charges sinon l'impact serait bien pire qu'hier soir.

cf : https://fr.wikipedia.org/wiki/Serveur_racine_du_DNS

Oui, en fait :

Les serveurs racine sont non-récursifs, c'est-à-dire qu'ils ne fournissent que des réponses qui font autorité, ne transmettent aucune requête à un autre serveur et ne font pas usage d'un cache. Ils ne sont donc pas utilisables directement par un resolver d'un client final.

Donc de toute façon, on ne peut pas les utiliser directement, heureusement...

La première chose à faire c'est d'utiliser le DNS comme il a été conçu déjà : pas centralisé par une même boîte.

La première chose à faire c'est d'utiliser le DNS comme il a été conçu déjà : pas centralisé par une même boîte.

c'est bien pour des trucs statiques avec un gros TTL. Des que tu commences à  avoir des durées de vie plus courte ou des entrées dynamiques a la demande c'est souvent plus simple de n'avoir qu'un prestataire et d'utiliser son API.

Mais il est vrai "twitter.com" ca ne devrait pas être juste un seul prestataire...

Apres le probleme ici c'est plus Dyn (le prestation donc) qui n'est pas résilient a une attaque DDoS. Ca c'est plus inquiétant. Quand on lit leur offre de service on s'attend a un truc tres distribué et adaptable aux conditions des réseaux...

Compte-rendu de Dyn: http://hub.dyn.com/static/hub.dyn.com/dyn-blog/dyn-statement-on-10-21-2016-ddos-attack.html

En gros, "c'était dur mais on a plutôt bien géré, merci à nos clients (s'il-vous-plait restez)".

Rien sur la volumétrie ou la nature de l'attaque. Rien sur les correctifs déployés (IP déplacés sur AMS pour l'EU par exemple).

Conclusion, ils en ont pris plein la tronche et ont galéré à restaurer le service.

 

Il serait aussi possible à Google de rajouter à la main les entrées en absence de réponse (si absence de réponse, utiliser les derniers enregistrements DNS connus)

Ce type de comportement permettrait d'éviter que des attaques DDOS sur l'infra DNS aient trop d'impacts sur les gros résolveurs.

Mais si par exemple un site ferme, l'IP serait encore présente et ça pourrait rediriger sur un site malveillant.

Ce serait pas le premier DNS à mentir !

Des noms! Des noms! On veut des noms!