Milliseid DNS-kirjeid monitor jälgib?

Vaikimisi A, AAAA, MX, NS, TXT ja CNAME. Monitor teeb iga kontrolliga lahendatud väärtustest hetktõmmise ja annab häire, kui mõni neist muutub – lisatud, eemaldatud, muudetud.

Miks on vaja DNS-i monitoorida – kas mu DNS-teenusepakkuja pole usaldusväärne?

Usaldusväärsus pole küsimus – muutused on. DNS ülevõtmised, kogemata uuendused migratsioonide ajal, välised CDN-id, mis vahetavad IP-sid, ning registrikonto häkkimised – kõik avaldub kirjete muutumisena. DNS-monitooring tabab seda minutitega, mitte päevade pärast.

Kuidas monitor hakkama saab TTL-i cache'imisega?

Päringud tehakse autoritatiivsetele nimeteenindajatele (mitte sinu lokaalsele resolverile), nii et TTL-i vahemälu muudatusi ei varja. Iga kontroll teeb värske autoritatiivse päringu – kui kirje muutus allikas, näeb monitor seda järgmisel korral.

Kas saan jälgida DNSSEC valideerimise staatust?

Jah. Monitor salvestab DNSSEC-i staatuse (allkirjastatud / allkirjastamata) iga kontrolli kohta ning annab häire muutustest. Domeen, mis eile oli DNSSEC-allkirjastatud ja nüüd näitab allkirjastamata, on oluline turbeintsident, mis vajab kiiret uurimist.

Kas saan DNS-i koormustasakaalustuse tõttu valehäireid?

Kui sinu A-kirje annab mitu vahelduvat IP-d, näeb monitor "muutust" iga kontrolli ajal. Selle vaigistamiseks määra expected-values, et need sisaldaksid kõiki võimalikke IP-sid, või lülita selle domeeni A-kirje monitooring välja ning tugine ainult HTTP-kontrollile saadavuse mõõtmiseks.

DNS-jälgimine — tuvasta kirje muudatused ja kaaperdamised

DNS-kirjed, mis muutuvad sinu teadmata, viitavad kas valekonfiguratsioonile või kaaperdamisele. Mõlemad on halvad. Jälgi neid.

DNS on vundament – ja kõige lihtsam asi, mida ära rikkuda

DNS asub kõige muu all: iga veebipäring, iga e-kiri, iga API-kutse algab DNS-i päringuga. See muudab DNS-kirjete vaiksed muudatused üheks kõige sagedamini kasutatavaks ründevektoriks – ja üheks lihtsamaks veaks, mida hooletu tiimiliige teha võib. DNS-i muutmine võib suunata sinu domeeni sinu lehe õngitsuskoopiale, suunata e-posti läbi ründaja serveri, eemaldada sinu saidi otsingutulemustest või rikkuda kogu stacki ühe trükiveaga. Enamasti polegi DNS-i kahju pahatahtlik; see on rutiinne ops-muudatus, mille keegi tegi teistele ütlemata ja mis rikkus midagi allpool.

DNS-i monitooring tuvastab need muudatused, tehes iga kontrolli käigus sinu kirjetest hetktõmmise ning võrreldes seda varasema seisuga. Kui midagi jälgitavat on lisatud või eemaldatud pärast viimast korda, saad teavituse. Olgu see siis planeeritud muudatus, millest teavitada unustasid, seadistuse viga või reaalne ülevõtmine – saad teada mõne tunni jooksul.

Milliseid kirjeid monitooritakse

Iga HTTP-tüüpi monitoori puhul tehakse igapäevaselt sügavam kontroll, mille käigus hangitakse järgmised kirjetüübid:

A ja AAAA: IPv4 ja IPv6 aadressid, millele hostname laheneb. Kui muutub – liiklus liigub mujale, teadlikult või sest keegi võttis su registripidaja üle.
MX: posti-suunajad. Uus MX-kirje (või veel hullem, puuduv) tähendab, et e-post marsruuditakse teistmoodi. Vaikne kirjade kadu on üks halvemaid stsenaariume ettevõttele.
NS: nimeteenindajad. Kui muutub – keegi viis sinu DNS-tsooni teise teenusepakkuja juurde – kõige võimsam muudatus, mida domeenile teha saab. NS-i muutused on peaaegu alati kas planeeritud migratsioon või edukas rünne registripidajale.
TXT: suvalised tekstikirjed, sageli kasutusel domeeni kinnitamiseks (Google, Microsoft, Stripe jm) ning SPF/DKIM/DMARC-iks.
SPF, DMARC, CAA: spetsiaalsed kirjed e-posti turvalisuseks ja sertifikaatide väljastamiseks. Eriti CAA muudatus võib lasta ründajal sinu domeenile TLS-sertifikaadi saada.

Töölauavaade näitab kõiki hetkel kehtivaid kirjeid monitori laiendatud vaates, nii et näed kohe, mis on avalikustatud.

Muudatuste tuvastamine

Monitor säilitab A-, AAAA-, MX- ja NS-kirjete hetktõmmised iga monitori kohta. Iga sügavama kontrolliga võrreldakse käesolevaid kirjeid hetktõmmisega. Kadunud kirjed märgitakse "eemaldatud" ja uued kirjed "lisatud". Mõlemad nimekirjad lähevad muudatuste aruandesse.

Kui mõni jälgitav kirjete komplekt muutub, saadetakse häire kõikidele sisse lülitatud kanalitele. Teavitus ütleb ära, milline kirjete tüüp muutus, ning loetleb täpselt, mis lisati ja mis eemaldati. Selle asemel, et saada "DNS muutus domeenile example.com", saad "MX domeenile example.com: eemaldati mail.oldhost.com, lisati mail-1.attacker.com" – see muudab olukorra kohe arusaadavaks.

Saad DNS-i muudatuste häireid välja lülitada sõltumatult teistest häiretest, kui näiteks planeeritud migratsioon tekitab palju müra. Lülita välja, tee migratsioon, pane tagasi peale stabiliseerumist sisse.

Miks see leiab asju, mida teised tööriistad maha magavad

Enamik uptime-tööriistu kohtleb DNS-i nagu paigaldisi – kasutab seda URL-i lahtimõtestamiseks ja unustab. Aga hetkega, kui konkurent (või ründaja või reede deploy-gremlin) muudab sinu DNS-i, hakkab lahendus viitama teisele IP-le ning ainult-HTTP-monitor jätkab rohelise tule andmist, sest ka uus IP tagastab 200. Ilma DNS-taseme monitooringuta jääb muudatus nähtamatuks, kuni keegi käsitsi juurde satub. Selleks ajaks võivad päevade kaupa e-kirju ja nädalate kaupa otsingutulemusi kaduma olla läinud.

DNS-monitooring püüab kinni ka probleemid DNS-teenusepakkujaga endaga. Mõned teenusepakkujad kaotavad või segavad aeg-ajalt kirjeid tsooni uuendamisel; mõnel esineb regiooni-põhiseid tõrkeid, kus ühest asukohast tehtud päringud annavad teistsuguseid tulemusi kui teisest. Hetktõmmiste võrdlus toob need ebastabiilsused esile.

Seadistamine

DNS-i monitooring on automaatne igale HTTP/keyword/API monitorile. Esimene sügavam kontroll (24h jooksul peale monitori lisamist) salvestab baastõmmise – häiret ei saadeta esmakordselt, vaid alles järgmistel kordadel, kui midagi muutub. Selleks, et DNS-i muudatuste häired sisse või välja lülitada, vaheta eelistustes "Teavita DNS-i muudatustest" märkeruutu. Iga monitori laiendatud vaade näitab alati kogu aktiivset DNS-i seisu, sealhulgas SPF, DMARC ja CAA, mida küll muudatuste suhtes ei jälgita, kuid mis on kasulik ülevaatamiseks aeg-ajalt.

Korduma kippuvad küsimused

Milliseid DNS-kirjeid monitor jälgib?
Vaikimisi A, AAAA, MX, NS, TXT ja CNAME. Monitor teeb iga kontrolliga lahendatud väärtustest hetktõmmise ja annab häire, kui mõni neist muutub – lisatud, eemaldatud, muudetud.
Miks on vaja DNS-i monitoorida – kas mu DNS-teenusepakkuja pole usaldusväärne?
Usaldusväärsus pole küsimus – muutused on. DNS ülevõtmised, kogemata uuendused migratsioonide ajal, välised CDN-id, mis vahetavad IP-sid, ning registrikonto häkkimised – kõik avaldub kirjete muutumisena. DNS-monitooring tabab seda minutitega, mitte päevade pärast.
Kuidas monitor hakkama saab TTL-i cache'imisega?
Päringud tehakse autoritatiivsetele nimeteenindajatele (mitte sinu lokaalsele resolverile), nii et TTL-i vahemälu muudatusi ei varja. Iga kontroll teeb värske autoritatiivse päringu – kui kirje muutus allikas, näeb monitor seda järgmisel korral.
Kas saan jälgida DNSSEC valideerimise staatust?
Jah. Monitor salvestab DNSSEC-i staatuse (allkirjastatud / allkirjastamata) iga kontrolli kohta ning annab häire muutustest. Domeen, mis eile oli DNSSEC-allkirjastatud ja nüüd näitab allkirjastamata, on oluline turbeintsident, mis vajab kiiret uurimist.
Kas saan DNS-i koormustasakaalustuse tõttu valehäireid?
Kui sinu A-kirje annab mitu vahelduvat IP-d, näeb monitor "muutust" iga kontrolli ajal. Selle vaigistamiseks määra expected-values, et need sisaldaksid kõiki võimalikke IP-sid, või lülita selle domeeni A-kirje monitooring välja ning tugine ainult HTTP-kontrollile saadavuse mõõtmiseks.

DNS-jälgimine