<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:΢ÈíÑźÚ
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>steven,<BR> <BR>Yes, I had asked the same question months ago. <BR>I'm designing how to protect DNS for an ISP. The zones are not owned by the ISP.  The ISP wants to proect the DNS query during attacking.<BR>So it's not standard DNS solution.  During the attacking, the backup server will provide the DNS query and it works even if it can't refresh zones from primary NS. Backup server is configured the private IP of this ISP. All local DNS servers of this ISP knows where is the backup server.<BR> <BR>thanks,<BR>Guanghua<br> <BR><div>> Date: Tue, 29 Apr 2014 08:19:34 +0100<br>> Subject: Re: How to setup a backup NameServer?<br>> From: sjcarr@gmail.com<br>> To: houguanghua@hotmail.com<br>> CC: bind-users@lists.isc.org<br>> <br>> On 29 April 2014 07:06, houguanghua <houguanghua@hotmail.com> wrote:<br>> > hi kevin,<br>> ><br>> > Stealth slaves can't be used as backup  NS server. This backup server can't<br>> > be accessed by all internet users.<br>> > It can only be accessed by users from one ISP.  It's used when all authority<br>> > NSs are down, especially in case of DDoS attack.<br>> ><br>> > Guanghua Hou<br>> <br>> That's not how DNS works, DNS is a distributed system for that precise reason.<br>> <br>> Why would you only want users of a single ISP to be able to resolve a<br>> domain if the primary nameservers are down? What happens if the<br>> primary nameservers are down for more than SOA Expire time? your<br>> secondaries will stop serving the zone anyway as they haven't been<br>> able to refresh it from the primary master.<br>> <br>> You asked this same question a few months ago without explaining why<br>> you are wanting to do this and got roughly the same answers.<br>> <br>> If you own the zone and know the IP address range used by the ISP then<br>> you can create a separate view that contains your additional<br>> nameserver that no one else will know about, though they still might<br>> not be able to access it if the primary nameserver is down and the<br>> additional nameserver isn't in the parent's glue records (clients<br>> wouldn't be able to find it). But if you don't own the zone then there<br>> is nothing you can do, it's not your zone to mess with.<br>> <br>> If you're trying to mitigate DDoS look at bigger boxes, faster<br>> bandwidth, packet filtering and DNS Anycast.<br>> <br>> Steve<br></div>                                    </div></body>
</html>