@neoFelhz 这个能具体说下吗，DNSPod 目前线上总带宽超过 4T+,可用带宽 2T+,产品上单域名抗攻击 200G，如果没有大量域名同时被攻击一般单域名防护到 500G。
历史受攻击峰值 650G+，客户基本没有反馈，不知道这个 80G 是哪里的

据了解现在这块还没有正式文件，理论上即使有正式文件也应该有缓冲期的

规范的话就是不能加 CNAME 记录的，CNAME 记录和其他任何记录类型冲突，即使删除了 MX 记录，还是存在 NS 记录和 SOA 记录的

@yryz 目前还没有任何计划去支持 DNSSEC，怎么说呢，最主要的还是付出收益比是否值得去做，有比较高的收益，或者不支持 DNSSEC 会导致非常严重的后果，是会去做的。
比如 CAA 吧，其实 DNSPod 从 lets encrypt 之后会响应 CAA 类型了（当然控制台依然是不支持的），但是直接返回 SOA，以便通过 lets encrypt 的校验，在之前 CAA 类型包括其他任何不支持的类型，都是直接过滤丢包的，现在的网络环境 DDoS 的攻击太多就要求安全防护规则都要从严。

从体量上来看阿里云确实比腾讯云大很多，但这也更多的是因为阿里云起步要早得多以及原有资源的优势，现在的差距已经缩小了很多，前两年差距更大。
另外在某些细分领域，比如游戏和视频，腾讯云是更占优势的，一个是腾讯传统优势领域，一个是这两年刚大爆发的行业，大家在同一起跑线上，阿里云就没有什么优势了。

@cjjdaq 看上去像是某个授权 DNS 返回的了错误格式的包，我们的某台服务器解析出错，没有结果，还缓存了 特别特别特别 长的时间，一直不刷新，手工刷新了下。
不过这个域名的授权 DNS 返回确实比较奇怪，地址不固定。

@cjjdaq 把域名和运营商发我下吧，我找人看下

@bclerdx 不一定，各个运营商的都有可能使用，带着 ecs ip。

@bclerdx 我们有长宽的后端递归节点，但是这个与后端递归节点的分布没有关系，主要是接入端在部分运营商被封禁导致的。
另外后端递归节点最近正在经历比较大的调整，变动比较频繁，调整完后主要以腾讯云北上广川四个地区助理部署的递归节点为主力，加上各个地区和其他业务复用的部分递归节点。

@bclerdx 5.15 的前几天中国电信部分时间有问题，5.15 之后基本么有问题了。

@aruisi
攻击后在广东新增了部分递归节点，但是未开启 ECS 功能，导致部分分配到这些递归节点的域名解析到了广东，已经开启 ECS 修复。

@adfsadfssfd
@bclerdx
@aruisi
在机房入口处都有针对每个 IP 的流量、包量、攻击类型的统计，119.29.29.29 虽然是 BGP Anycast 的，但是统计还是分运营商出口的，这次攻击主要是电信的，统计到的到达机房入口的是 450G+的流量，主要攻击方式是大包 SYN FLOOD，目前攻击目的还没有明确，溯源内部安全部门有在做，不过这个耗时和成本都会比较高。

@bclerdx
本周没有问题

@liaoyaoheng
路由上会略好一些，119.28.28.28 和 119.29.29.29 在每个省份的路由调度上，做了比较长期的全国大范围拨测调整，而 182.254.116.116 主要不是给外部使用的，并没有做这些优化，当然如果使用地区在北上广的话，区别不大。

电信线路从 21:01 被攻击，随后在电信线路被自动封堵，2 小时后 23:10 解封，但依然有攻击持续，只是流量相对较小，没有再次被封堵。
我们正在根据攻击特征等评估动态的路由调度方案和策略，由多节点同时分担攻击流量，防止某地一个节点被打满被封整个运营商。

昨晚又被打了 400G，再次封堵了电信线路，最近可能会被持续攻击，建议先用 119.28.28.28 的备用 IP 或者设置多个 NS

@yexm0 昨晚该时间段再次发生攻击，然后我们的防护生效，但是阈值太低，导致部分地区正常请求也被限速丢包，丢包率最高时超过 20%，目前已经调高了过滤攻击请求后的正常请求的限速阈值（调整时间 5.12 22:48 ），已经大大高于高峰时段正常请求峰值。

@aruisi
@7sa
我这里测试已经 OK 了，这里可以测试下

@aruisi 能给下你这里是什么省份运营商，我们在统计，看有没有遗漏的

@aruisi 排查北方部分地区电信 119.29.29.29 这个 ip 无法 dig，ping 和 httpdns 可以，正在联合排查中。