如何选择DNS的TTL值，设置多少才合适？

如何选择DNS的TTL值，设置多少才合适？

引用

CSDN

1.

https://blog.csdn.net/w3cschools/article/details/101529554

DNS的TTL（Time To Live）值设置是一个关键的技术问题，它直接影响着网络的性能和安全性。知名网络安全专家、东方联盟创始人郭盛华对此进行了深入分析，并结合东方联盟DNS实验室和USC/ISI的研究，为我们提供了具体的建议。

在东方联盟DNS实验室和USC/ISI进行了一项测量研究，以了解不同的TTL值选择如何影响运营网络，目的是帮助运营商针对他们的情况在TTL值上做出明智的选择。

关键发现

• DNS TTL间接控制缓存，从而影响用户体验。
• 已通知8个ccTLD其NS记录的TTL值太低；三个增加他们作为回应。
• 通过将其NS TTL从5分钟更改为1天，中值延迟时间从28ms减少到8ms，将第75个百分点的延迟时间从183ms减少到21ms，从而获得了显着的性能提升。

长TTL vs 短TTL：选择的考量

为什么选择长TTL？

• 更快的响应：更长的TTL可以缓存更长的时间，并且缓存命中的速度远远超过了从权威服务器获取答案的速度。结果表明，与具有大型任播网络相比，更长的缓存甚至可以改善结果。
• 降低DNS流量：权威的运营商可能会对设置更高的TTL感兴趣，因为缓存会减少收到的查询数量。如果对DNS服务进行计量，那尤其重要。
• 增强DDoS防护：更长的缓存对于权威DNS服务器上的DDoS攻击更健壮。DNS服务提供商上的DDoS攻击已损害了几个著名的网站。最近的工作表明，DNS缓存可以大大降低DDoS对DNS的影响，前提是缓存的持续时间比攻击要长。

为什么选择短TTL？

• 操作灵活性：从旧服务器过渡到新服务器的一种简便方法是更改DNS记录。由于无法删除缓存的DNS记录，因此TTL持续时间表示完全迁移到新服务器所需的转换延迟。因此，低TTL允许更快速的过渡。
• DDoS响应能力：某些DDoS清理服务在攻击过程中使用DNS重定向流量。由于DDoS攻击是未经通知的，因此基于DNS的流量重定向要求始终将TTL保持在较低水平，以准备响应潜在的攻击。
• 负载平衡：许多大型服务都使用基于DNS的负载平衡。每个传入的DNS请求都提供了一个调整负载的机会，因此可能需要短的TTL来快速响应流量动态变化（尽管许多递归解析器的最小缓存时间为几十秒，从而限制了敏捷性。）

具体建议

尽管我们的分析没有建议一个理想的TTL值，但它确实阐明了权衡因素，使我们能够针对不同情况提出以下建议：

• TTL持续时间：TTL值的选择部分取决于外部因素，因此没有一个建议适用于所有网络或网络类型。
• 对于一般的区域所有者：我们建议使用更长的TTL，至少1小时，最好是4、8或24小时。假设可以提前安排计划的维护，则长TTL的成本很小。
• 对于TLD和其他注册机构运营商：允许对域（例如大多数ccTLD，.com，.net，.org和许多SLD）进行公共注册的DNS运营商允许客户端复制其区域文件中的TTL，以获取客户端NS记录和粘合）。
• 基于DNS的负载平衡或DDoS防护的用户：可能需要较短的TTL：TTL可能短至5分钟，尽管15分钟可以为许多运营商提供足够的敏捷性。较短的TTL有助于敏捷性。它们是我们对较长TTL的第一个建议的例外。

本文原文来自CSDN