跟着不安适物联网(IoT)设备的激增，针对域名系统(DNS)提供商的漫衍式拒绝处事(DDoS)打击在数量和规模上正在不停增加。这些打击随之影响依赖于这些提供商进行域名解析的网站。虽然DNS提供商采纳了各类要领来掩护本身免受此类打击，但网站掩护自身的要领之一是使用多个DNS提供商。

2016年产生了史上最大规模之一的DDoS打击，这一打击是针对DNS提供商Dyn的。这次打击前后有三波，它通过已传染Mirai恶意软件的物联网设备构成的僵尸网络进行打击。许多公司都受到这次打击的影响，好比Amazon、Paypal、Reddit和Github。该打击导致Dyn无法响应由其域名处事器解析的域名的有效DNS盘问，以至于终端用户无法访谒相关域名。

据Dyn技术副总裁Phil Stanhope所说，这次Dyn打击事件还包孕一个基于TCP SYN cookie的打击，该打击操作了Linux内核的一个错误。SYN cookie是一种用于缓解SYN flood打击的要领，SYN flood打击通过持续发送TCP SYN请求来耗尽方针系统的资源。然而，SYN cookie也有本身的问题，在Linux 3.x版本中，一个系统级另外锁用于生成SYN cookie。由于这个级另外锁定，无论内核实际数量几多，系统均如单核系统一样运行，从而降低了其实际措置惩罚惩罚能力。Linux 4.x版本通过使用针对各个CPU内核的局部锁来解决这个问题。

DNS提供商给与了各类要领来防备打击，好比清理(scrubbing)。清理是通过第三方来过滤所有流量。第三方以供给掩护为处事，断根恶意流量，使合法流量通过并达到最终目的地。许多厂商供给这样的处事，好比Akamai、AT&T、Verizon和Arbor Networks。

对某个网站或域名的任何HTTP(或其他协议)请求，都需进行DNS盘问，以将域名解析为一个或多个IP地点。该请求穿行于域名中各个级另外授权处事器的多个解析器。例如，对的请求，首先是根处事器，然后再盘问.com的顶级域名(TLD)处事器，最后盘问infoq.com的授权处事器。整个过程中的解析器可能会缓存功效，以便更快地进行后续响应。缓存可以由DNS响应中的保留时间(TTL)值控制。针对infoq.com授权处事器的DDoS打击可能使得这些授权处事器无法响应有效盘问，并且最终导致整个网站无法访谒。

一般来说，DNS处事器冗余可以防备此类中断。也就是说任何商业DNS提供商都将为一个既定域名供给多个DNS处事器。dig或drill命令可用于检察域名处事器记录(下面以infoq.com为例)。

但是，如果某个提供商遭到DDoS打击，那么可能其所有的域名处事器城市受到影响。因此使用多个DNS提供商有助于解决这一问题。

要使用多个DNS提供商，必需允许编纂各个DNS提供商的域名处事器记录，以便所有记录都可以作为响应的一部分进行发送。此外，每个提供商都将拥有多个域名处事器，并且各提供商的所有域名处事器的挨次是打乱的。这样对一个提供商的掉败请求会引起对另一个提供商的请求，而不是一直在测验考试第一个提供商的所有其他域名处事器，因为这些处事器可能也是掉效的。

确保DNS可靠性的其他要领还有Anycast，在这个要领中，多个域名处事器具有不异IP地点。进行DNS盘问时，数据包被传送到比来的域名处事器。在掉效的情况下，数据包由底层路由协议自动传送到比来的有效域名处事器。

设置正确的TTL非常重要，这样即使记录由处事于响应的中间处事器进行缓存，也可以实现产生故障时切换到帮助处事器。正如Stanhope在Velocity的演讲中所说，未来NetOps、DevOps、SecOps和SRE团队之间需要更多的协作来缓解这种打击。