Кои DNS записи следи мониторът?

По подразбиране A, AAAA, MX, NS, TXT и CNAME. Мониторът прави snapshot на получените стойности при всяка проверка и известява ако нещо се промени — добавено, изтрито, модифицирано.

Защо да наблюдавам DNS — нали моят DNS доставчик е надежден?

Надеждността не е проблемът — промяната е. Превземане на DNS, случайни обновявания при миграции, външни CDN, които сменят IP адреси и пробиви в акаунта на регистратора – всичко се появява като промяна в записа. DNS мониторингът лови това за минути вместо за дни.

Как мониторът се справя с TTL кеширане?

Запитванията се извършват директно към авторитетните nameserver-и (а не към локалния резолвер), така че TTL кеширането не прикрива промени. Всяка проверка прави ново авторитетно запитване — ако записа е променен при източника, мониторът ще го засече при следващата проверка.

Мога ли да наблюдавам статуса на DNSSEC валидацията?

Да. Мониторът отчита DNSSEC статуса (подписан / неподписан) при проверка и изпраща известия при промени. Домейн, който беше подписан с DNSSEC вчера, а днес е неподписан, е инцидент по сигурността, който заслужава незабавно внимание.

Ще получавам ли фалшиви аларми заради DNS load balancing?

Ако твоят A запис връща множество ротационни IP адреси, мониторът вижда "промяна" при всяка проверка. За да пресечеш това, конфигурирай очаквани стойности да включват всички възможни IP-та или изключи A записа от мониторирането за този домейн и разчитай само на HTTP проверката за достъпност.

DNS мониторинг — откриване на промени и отвличания на записи

DNS записите, които се променят без ваше знание, са или неправилна конфигурация, или отвличане. И двете са опасни. Следете ги.

DNS е фундаментът - и най-лесното нещо за разваляне

DNS седи под всичко останало: всяка уеб заявка, всеки имейл, всяко API извикване започва с DNS lookup. Това прави тихите промени на DNS записите един от най-често използваните атаки – и една от най-лесните грешки, които невнимателен член на екипа може да направи. Промяна в DNS може да пренасочи домейна ти към фишинг копие на сайта ти, да прекара пощата ти през сървъра на нападател, да те изхвърли от резултатите в търсачките или да развали целия ти стек заради печатна грешка. Повечето пъти щетата от DNS дори не е злонамерена; обичайна ops промяна, извършена без предупреждение, която разваля всичко надолу по веригата.

DNS мониторингът засича тези промени като прави snapshot на записите ти при всяка проверка и ги сравнява с предишните. Ако нещо проследявано е било добавено или изтрито от последния път, получаваш известие. Дали е планирана промяна, за която си забравил да кажеш, конфигурационна грешка или реален hijack – ще разбереш за няколко часа.

Какви записи се наблюдават

За всеки HTTP монитор, по-задълбочена ежедневна проверка извлича тези типове записи:

A и AAAA: IPv4 и IPv6 адреси, на които се резолвва хостнейма. Промяна – трафикът отива другаде, умишлено или защото някой е превзел твоя регистратор.
MX: mail exchangers. Нов MX запис (или по-лошо, липсващ) означава, че пощата започва да се рутира различно. Тихата загуба на имейли е един от най-лошите варианти за бизнес.
NS: nameservers. Промяна – някой е преместил зоната ти към друг DNS доставчик – най-силната промяна, която може да се направи за домейн. NS промените почти винаги са или планирана миграция, или успешна атака към регистратора.
TXT: всякакви текстови записи, често използвани за домейн верификация (Google, Microsoft, Stripe и т.н.) и за SPF/DKIM/DMARC.
SPF, DMARC, CAA: специализирани записи за email сигурност и издаване на сертификати. Промяна в CAA, по-специално, може да позволи на нападател да извади TLS сертификат за твоя домейн.

Таблото показва всички текущи записи в разширения изглед на монитора, така че виждаш от пръв поглед какво е публикувано в момента.

Откриване на промени

Мониторът поддържа snapshot на записите A, AAAA, MX и NS за всеки монитор. При всяка по-задълбочена проверка, текущите записи се сравняват със snapshot-а. Записите, които са изчезнали, се отбелязват като "изтрити", а новите като "добавени". И двата списъка влизат в доклада за промени.

Ако някой проследяван набор от записи се е променил, отива известие към всички включени канали. Известието посочва кой тип запис се е променил и изброява точно какво е добавено и какво е изтрито. Вместо "DNS е променен за example.com" получаваш "MX за example.com: премахнат mail.oldhost.com, добавен mail-1.attacker.com" – което прави ситуацията веднага разбираема.

Можеш да изключиш DNS известията независимо от останалите, при планирана миграция, която ще генерира много шум. Изключи, направи миграцията, включи обратно след стабилизацията.

Защо хваща неща, които другите инструменти пропускат

Повечето uptime инструменти третират DNS като инсталация – използват го, за да разпознаят URL, и го забравят. Но в секундата, в която конкурент (или нападател, или петъчен gremlin от деплой) промени DNS-а ти, резолвването започва да сочи към друг IP, а само HTTP мониторът все още свети зелено, защото новото IP също връща 200. Без мониторинг на DNS ниво, промяната е невидима, докато някой не провери ръчно. Тогава може да липсват дни имейли или да са изпуснати седмици позиции в търсачките.

DNS мониторингът разкрива и проблеми при самия DNS доставчик. Някои доставчици понякога губят или разбъркват записи при обновяване на зоната; други имат регионални сривове, където заявки от едно място връщат различни резултати от тези на друго. Сравнението на snapshots изкарва тези нестабилности.

Конфигурация

DNS мониторингът е автоматичен за всеки HTTP/keyword/API монитор. Първата по-дълбока проверка (до 24 часа след добавяне) записва основен snapshot – известие не се праща първия път, само ако има разлика при следващите проверки. За да включиш/изключиш DNS известията, пусни "Уведомявай при промяна на DNS" в секция Предпочитания в Уведомленията. Разширеният изглед на всеки монитор винаги показва пълното текущо състояние на DNS, включително SPF, DMARC и CAA, които не се следят за промени, но са полезни за периодичен преглед.

Често задавани въпроси

Кои DNS записи следи мониторът?
По подразбиране A, AAAA, MX, NS, TXT и CNAME. Мониторът прави snapshot на получените стойности при всяка проверка и известява ако нещо се промени – добавено, изтрито, модифицирано.
Защо да наблюдавам DNS — нали моят DNS доставчик е надежден?
Надеждността не е проблемът – промяната е. Превземане на DNS, случайни обновявания при миграции, външни CDN, които сменят IP адреси и пробиви в акаунта на регистратора – всичко се появява като промяна в записа. DNS мониторингът лови това за минути вместо за дни.
Как мониторът се справя с TTL кеширане?
Запитванията се извършват директно към авторитетните nameserver-и (а не към локалния резолвер), така че TTL кеширането не прикрива промени. Всяка проверка прави ново авторитетно запитване – ако записа е променен при източника, мониторът ще го засече при следващата проверка.
Мога ли да наблюдавам статуса на DNSSEC валидацията?
Да. Мониторът отчита DNSSEC статуса (подписан / неподписан) при проверка и изпраща известия при промени. Домейн, който беше подписан с DNSSEC вчера, а днес е неподписан, е инцидент по сигурността, който заслужава незабавно внимание.
Ще получавам ли фалшиви аларми заради DNS load balancing?
Ако твоят A запис връща множество ротационни IP адреси, мониторът вижда "промяна" при всяка проверка. За да пресечеш това, конфигурирай очаквани стойности да включват всички възможни IP-та или изключи A записа от мониторирането за този домейн и разчитай само на HTTP проверката за достъпност.

DNS мониторинг