Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Analyse van DNS-beschermingsstrategieën tijdens DDoS

Aanbevelingen voor operators en ontwikkelaars

3D illustratie van meerdere kwaadwillende servers in het rood die één server in het blauw aanvallen (denial of service concept)

Het Domein Naam Systeem (DNS) wordt vaak bestookt met DDoS-aanvallen. Dyn, een grote DNS-provider, werd getroffen door een DDoS van 1.6Tb/s afkomstig van IoT-apparaten in het massale Mirai botnet. Ook de root-servers van het DNS zijn al diverse keren doelwit geweest -- de DDoS-aanval in november 2015 werd geschat op 35Gb/s.

Het ontleden van een DNS aanval in een grafiek uitgelegd

Het DNS is uitgerust met diverse bestrijdingsstrategieën om de beschikbaarheid en stabiliteit te verhogen, zowel aan de kant van de autoritatieve servers als aan de kant van de recursieve resolvers.

Autoritatieve DNS-servers (servers die hele zones hosten, zoals de root-servers) vertrouwen voornamelijk op replicatie door nameservers en/of IP anycast. Bij nameserver replicatie worden meerdere servers voor dezelfde zone gebruikt, zoals bij de root zone, die 13 nameservers heeft. Die nameservers kunnen elk op hun beurt weer verder worden gekopieerd door middel van IP anycast. Hierbij delen verschillende fysieke locaties hetzelfde IP-adres en kan BGP een client aan iedere locatie koppelen.

Aan de kant van de recursieve resolvers zijn de twee belangrijkste tactieken om de stabiliteit te verbeteren caching (soms op meerdere niveaus) van DNS-antwoorden en retrying queries.

Aangezien er diverse strategieën in gebruik zijn, hebben we onderzocht hoe deze strategieën de stabiliteit en latency van het DNS in het wild beïnvloeden. Hierbij hebben we gekeken naar zowel de gebruikservaring met het DNS aan de client-kant als het verkeer aan de server-kant. Daarvoor hebben we gecontroleerde experimenten met Ripe Atlas uitgevoerd en het verkeer van twee productiezones (.nl en de roots) geanalyseerd.

Uit ons onderzoek hebben we vier belangrijke conclusies kunnen trekken, die dienen als aanbevelingen voor zowel beheerders als ontwikkelaars:

  • We constateerden dat caching in het wild vaak verloopt zoals verwacht, maar dat clients hier ongeveer 30% van de tijd geen baat bij hebben (Hoofdstuk 3). Dit gold voor zowel de .nl zone en de root-zones (Hoofdstuk 4).

  • Aan de kant van de recursieve resolvers houden caching en retries tijdens DDoS-aanvallen de gebruikservaring bij clients behoorlijk stabiel (Hoofdstuk 5). Zelfs bij zwaar query-verlies (90%) op alle autoritatieve servers beschermen volle caches 50% van de clients en retries 30%.

  • Aan de autoritatieve kant toonden we aan dat legitiem verkeer tijdens een DDoS-aanval sterk toeneemt (tot acht keer zoveel in onze experimenten), vooral door de retries. Deze uitkomst suggereert dat de mate van overprovisioning van DNS-servers – hoewel doorgaans al zwaar – moet worden herzien (Hoofdstuk 6).

  • Tot slot kunnen we op basis van de resultaten aangeven waarom gebruikers relatief weinig hinder hebben ondervonden van DDoS-aanvallen op root-servers, terwijl klanten van sommige DNS-providers het effect meteen bemerkten (Hoofdstuk 8).

Het volledige rapport (PDF) kan worden gedownload op de website van zowel SIDN als USC/ISI.

Een vorige versie van deze blog verscheen op de Ripe Atlas blog.

Artikel door:

Giovane Moura

Giovane Moura

Data Scientist