Hvilke DNS-poster overvåger monitoren?

Som standard A, AAAA, MX, NS, TXT og CNAME. Monitoren laver et snapshot af de løste værdier ved hver kontrol og advarer, når en af dem ændres – tilføjet, slettet, ændret.

Hvorfor overvåge DNS – er min DNS-udbyder ikke pålidelig?

Det handler ikke om pålidelighed, men om ændringer. DNS-overtagelser, utilsigtede opdateringer ved migrationer, eksterne CDN’er, der roterer IP’er, og kompromitterede registrar-konti – alt dette manifesterer sig som ændringer af poster. DNS-overvågning fanger dette på få minutter fremfor dage.

Hvordan håndterer monitoren TTL-caching?

Opslag laves imod autoritative navneservere (ikke din lokale resolver), så TTL-caching skjuler ikke ændringer. Hver kontrol foretager en frisk autoritativ forespørgsel – hvis posten er ændret ved kilden, ser monitoren det ved næste check.

Kan jeg overvåge status for DNSSEC-validering?

Ja. Monitoren registrerer DNSSEC-status (signed/unsigned) ved hvert check og sender advarsel ved ændringer. Et domæne der i går var DNSSEC-signed, men i dag rapporterer unsigned, er en sikkerhedshændelse, der kræver øjeblikkelig undersøgelse.

Får jeg falske positiver ved DNS load balancing?

Hvis din A-post returnerer mange roterende IP’er, ser monitoren en "ændring" ved hvert check. For at dæmpe det, konfigurer expected-values til at indeholde alle mulige IP’er, eller slå overvågning af A-poster fra på dette domæne og nøjes med HTTP-kontrol for tilgængelighed.

DNS-overvågning — registrer ændringer & kapringer af poster

DNS-poster der ændres uden din viden, skyldes enten en fejlkonfiguration eller en kapring. Begge dele er alvorlige. Overvåg dem.

DNS er fundamentet – og det nemmeste at ødelægge

DNS ligger til grund for alt andet: hver webanmodning, hver e-mail, hvert API-opkald starter med et DNS-opslag. Det gør tavse ændringer af DNS-poster til et af de mest almindeligt udnyttede angreb – og en af de nemmeste fejl, et uopmærksomt teammedlem kan begå. Ændring af DNS kan omdirigere dit domæne til en phishing-kopi af din side, dirigere mails igennem en angribers server, udelukke dig fra søgeresultater eller ødelægge hele din stack på grund af en slåfejl. De fleste DNS-skader er faktisk ikke engang ondsindede; det er rutinemæssige ops-ændringer, som nogen har lavet uden at sige det til nogen, og som forårsager problemer længere nede i kæden.

DNS-overvågning registrerer disse ændringer ved at tage et snapshot af dine poster ved hver kontrol og sammenligne det med det forrige. Hvis noget overvåget er blevet tilføjet eller fjernet siden sidst, får du en advarsel. Om det er en planlagt ændring, du har glemt at informere om, en konfigurationsfejl eller et reel hijack – du ved det inden for få timer.

Hvilke poster bliver overvåget

For hver HTTP-monitor laver en dybere daglig kontrol opslag af disse posttyper:

A og AAAA: IPv4- og IPv6-adresser, som hostnavnet peger på. Ændring – trafikken går et andet sted hen, enten med vilje eller fordi nogen har overtaget din registrar.
MX: mail exchangers. En ny MX-post (eller værre, en manglende) betyder, at e-mails bliver dirigeret på ny. Tavs tab af e-mails er et af de værste scenarier for en virksomhed.
NS: navneservere. Ændring – nogen har flyttet din DNS-zone til en anden udbyder – det mest magtfulde, man kan gøre ved et domæne. Ændringer i NS er næsten altid enten planlagt migration eller et succesfuldt angreb mod registrarens konto.
TXT: vilkårlige tekstposter, ofte brugt til domæneverificering (Google, Microsoft, Stripe osv.) samt til SPF/DKIM/DMARC.
SPF, DMARC, CAA: dedikerede poster til e-mail-sikkerhed og certifikat-udstedelse. Ændringer i CAA kan især give en angriber mulighed for at udstede et TLS-certifikat til dit domæne.

Dashboardet viser alle aktive poster i monitorens udvidede visning, så du straks kan se, hvad der aktuelt er publiceret.

Ændringsdetektion

Monitoren holder et snapshot af A-, AAAA-, MX- og NS-poster for hver overvågning. Ved hver dybere kontrol sammenlignes aktuelle poster med snapshot'et. Poster der er forsvundet, markeres som "slettet", nye som "tilføjet". Begge lister sendes med i ændringsrapporten.

Hvis et overvåget sæt poster er ændret, sendes der en advarsel til de aktiverede kanaler. Notifikationen nævner, hvilken posttype der er ændret, og oplister præcist, hvad der er tilføjet og slettet. I stedet for "DNS ændret for example.com" får du "MX for example.com: slettet mail.oldhost.com, tilføjet mail-1.attacker.com" – hvilket gør situationen straks overskuelig.

Du kan slå DNS-ændringsadvarsler til og fra uafhængigt af andre alarmer, hvis du for eksempel har en planlagt migration, der genererer meget støj. Slå fra, gennemfør migrationen, og slå til igen efter stabilisering.

Hvorfor fanger det ting, andre værktøjer overser

De fleste uptime-værktøjer behandler DNS som en opsætning – bruger det til at løse URL'en og glemmer det så. Men i det sekund, hvor en konkurrent (eller en angriber, eller en fredag-deploy-gremlin) ændrer din DNS, peger løsningen på en anden IP, og en kun-HTTP-monitor rapporterer stadig alt okay, fordi den nye IP også svarer med 200. Uden overvågning på DNS-niveau er ændringen usynlig, indtil nogen manuelt kontrollerer det. Så kan du mangle e-mails i flere dage eller miste placeringer i søgninger i ugevis.

DNS-overvågning fanger også problemer hos selve din DNS-udbyder. Nogle udbydere mister eller flytter indimellem poster under zoneopdateringer; andre har regionale udfald, hvor forespørgsler fra én lokalitet giver andre resultater end fra en anden. Sammenligning af snapshots udpeger disse ustabiliteter.

Konfiguration

DNS-overvågning er automatisk for hver HTTP/keyword/API-monitor. Den første dybe kontrol (inden for 24 timer efter oprettelse af monitoren) gemmer et grundlæggende snapshot – der sendes ikke advarsel første gang, kun når efterfølgende checks afviger. For at slå DNS-ændringsalarmer til eller fra skal du slå "Informer om DNS-ændringer" til eller fra i Præferencer under Notifikationer. Den udvidede visning for en hvilken som helst monitor viser altid den fulde aktuelle DNS-status, inkl. SPF, DMARC og CAA, som ikke overvåges for ændringer, men er nyttige til periodisk inspektion.

Ofte stillede spørgsmål

Hvilke DNS-poster overvåger monitoren?
Som standard A, AAAA, MX, NS, TXT og CNAME. Monitoren laver et snapshot af de løste værdier ved hver kontrol og advarer, når en af dem ændres – tilføjet, slettet, ændret.
Hvorfor overvåge DNS – er min DNS-udbyder ikke pålidelig?
Det handler ikke om pålidelighed, men om ændringer. DNS-overtagelser, utilsigtede opdateringer ved migrationer, eksterne CDN’er, der roterer IP’er, og kompromitterede registrar-konti – alt dette manifesterer sig som ændringer af poster. DNS-overvågning fanger dette på få minutter fremfor dage.
Hvordan håndterer monitoren TTL-caching?
Opslag laves imod autoritative navneservere (ikke din lokale resolver), så TTL-caching skjuler ikke ændringer. Hver kontrol foretager en frisk autoritativ forespørgsel – hvis posten er ændret ved kilden, ser monitoren det ved næste check.
Kan jeg overvåge status for DNSSEC-validering?
Ja. Monitoren registrerer DNSSEC-status (signed/unsigned) ved hvert check og sender advarsel ved ændringer. Et domæne der i går var DNSSEC-signed, men i dag rapporterer unsigned, er en sikkerhedshændelse, der kræver øjeblikkelig undersøgelse.
Får jeg falske positiver ved DNS load balancing?
Hvis din A-post returnerer mange roterende IP’er, ser monitoren en "ændring" ved hvert check. For at dæmpe det, konfigurer expected-values til at indeholde alle mulige IP’er, eller slå overvågning af A-poster fra på dette domæne og nøjes med HTTP-kontrol for tilgængelighed.

DNS-overvågning