کدام رکوردهای DNS توسط مانیتور پیگیری میشوند؟

بهطور پیشفرض A، AAAA، MX، NS، TXT و CNAME. مانیتور در هر بررسی snapshot مقادیر حلشده را ذخیره میکند و اگر رکوردی تغییر کند — اضافه، حذف یا اصلاح شود — هشدار میدهد.

چرا باید DNS را مانیتور کنم — آیا ارائهدهنده DNS من قابل اطمینان نیست؟

قابلیت اطمینان مشکل نیست — تغییرات مشکل است. تصاحب DNS، بهروزرسانیهای تصادفی هنگام مهاجرتها، CDN خارجی که IP را تغییر میدهد و هک حساب registrar — همگی به صورت تغییر رکورد ظاهر میشوند. مانیتورینگ DNS این را در عرض چند دقیقه به جای چند روز تشخیص میدهد.

مانیتور چگونه با کش TTL کنار میآید؟

پرسوجوها از نیمسرورهای authoritative انجام میشود (نه رسالور محلی شما)، بنابراین کش TTL تغییرات را پوشش نمیدهد. هر بررسی یک پرسوجوی کاملاً جدید است - اگر رکورد منبع تغییر کند، مانیتور در بررسی بعدی آن را خواهد دید.

آیا میتوانم وضعیت اعتبارسنجی DNSSEC را مانیتور کنم؟

بله. مانیتور وضعیت DNSSEC (امضا شده / امضا نشده) را در هر بررسی ثبت میکند و در صورت تغییر هشدار میدهد. دامنهای که دیروز امضا شده بود و امروز امضا نشده نشان میدهد، یک حادثه امنیتی جدی و نیازمند بررسی فوری است.

آیا از DNS load balancing هشدار غلط دریافت میکنم؟

اگر رکورد A شما چندین IP در حال چرخش برگرداند، مانیتور در هر بررسی یک «تغییر» میبیند. برای جلوگیری از این موضوع، expected-values را شامل همه IPهای ممکن تنظیم کنید، یا مانیتورینگ رکورد A را برای این دامنه خاموش کنید و فقط بر بررسی HTTP برای دسترسی تکیه کنید.

پایش DNS — شناسایی تغییرات رکورد و حمله‌های ربایش

رکوردهای DNS که بدون اطلاع شما تغییر می‌کنند یا پیکربندی نادرست هستند یا ربوده شده‌اند. هر دو خطرناک‌اند. بر آن‌ها نظارت کنید.

DNS بنیان است - و آسان‌ترین چیزی که می‌توان خراب کرد

DNS زیر بنای همه چیز است: هر درخواست وب، هر ایمیل، هر فراخوانی API با جستجوی DNS شروع می‌شود. این باعث می‌شود تغییرات بی‌سر و صدای رکوردهای DNS یکی از رایج‌ترین حملات - و یکی از ساده‌ترین اشتباهاتی باشد که یک عضو بی‌دقت تیم می‌تواند مرتکب شود. تغییر در DNS می‌تواند دامنه شما را به کپی فیشینگ سایتتان هدایت کند، ایمیل‌ها را از طریق سرور مهاجم ارسال کند، شما را از نتایج جست‌وجو خارج کند یا فقط با یک اشتباه نوشتاری کل استک شما را مختل کند. اغلب، آسیب DNS حتی مخرب نیست؛ یک تغییر روتین توسط فردی انجام می‌شود بی‌آن‌که به کسی اطلاع دهد، و همین باعث خرابی در زنجیره پایینی می‌شود.

مانیتورینگ DNS این تغییرات را با گرفتن عکس فوری (snapshot) از رکوردهای شما در هر بار بررسی و مقایسه با عکس قبلی شناسایی می‌کند. اگر هر رکوردی که زیر نظر است اضافه یا حذف شود، اخطاری دریافت خواهید کرد. چه یک تغییر برنامه‌ریزی‌شده باشد که فراموش کردید اطلاع دهید، چه یک اشتباه پیکربندی، یا یک هک واقعی - فقط چند ساعت بعد مطلع خواهید شد.

چه رکوردهایی مانیتور می‌شوند

برای هر مانیتور از نوع HTTP یک بررسی عمیق روزانه این نوع رکوردها را دریافت می‌کند:

A و AAAA: آدرس‌های IPv4 و IPv6 که هاست‌نیم به آنها resolve می‌شود. تغییر یعنی ترافیک به جایی دیگر رفته، عمداً یا چون کسی کنترل registrar شما را به دست گرفته است.
MX: میل اکسچینجرها. رکورد جدید MX (یا بدتر، نبود رکورد) یعنی ایمیل‌ها به شکل دیگری مسیریابی شده‌اند. از دست دادن بی‌سر و صدای ایمیل یکی از بدترین سناریوها برای کسب‌وکار است.
NS: نیم‌سرورها. تغییر یعنی کسی zone DNS شما را به ارائه‌دهنده دیگری منتقل کرده - قوی‌ترین تغییری که می‌توان روی دامنه انجام داد. تغییرات NS تقریباً همیشه یا مهاجرت برنامه‌ریزی‌شده است یا حمله موفق به ثبت‌کننده.
TXT: رکوردهای متنی دلخواه، اغلب برای تایید دامنه (گوگل، مایکروسافت، استرایپ و غیره) و برای SPF/DKIM/DMARC استفاده می‌شوند.
SPF، DMARC، CAA: رکوردهای اختصاصی امنیت ایمیل و صدور گواهی. تغییر در CAA به‌ویژه می‌تواند به مهاجم اجازه دهد گواهی TLS برای دامنه شما دریافت کند.

داشبورد همه رکوردهای جاری را در نمای باز شده مانیتور نشان می‌دهد، بنابراین همیشه می‌توانید در اولین نگاه ببینید چه چیزی منتشر شده است.

شناسایی تغییرات

مانیتور برای هر مانیتور، عکس A، AAAA، MX و NS را نگه می‌دارد. در هر بررسی عمیق، رکوردهای جاری با عکس ثابت قبلی مقایسه می‌شوند. رکوردهایی که حذف شده‌اند با عنوان «حذف‌شده» و رکوردهای جدید با عنوان «اضافه‌شده» علامت‌گذاری می‌شوند. هر دو لیست به گزارش تغییرات ارسال می‌گردند.

اگر هر مجموعه رکورد تحت نظر تغییر کند، هشدار به کانال‌های فعال ارسال می‌شود. اعلان نام نوع رکورد تغییر یافته را می‌آورد و دقیقاً لیست می‌کند چه چیزی اضافه یا حذف شده است. به جای «DNS برای example.com تغییر کرد» خواهید گرفت: «MX برای example.com: mail.oldhost.com حذف شد، mail-1.attacker.com اضافه شد» - یعنی وضعیت بلافاصله قابل فهم است.

می‌توانید هشدارهای تغییر DNS را مستقل از دیگر هشدارها خاموش کنید، برای مواقعی که مهاجرت برنامه‌ریزی‌شده سر و صدای زیادی ایجاد می‌کند. هشدار را خاموش کنید، مهاجرت را انجام دهید، پس از پایدار شدن مجدداً روشن نمایید.

چرا چیزهایی را می‌گیرد که دیگر ابزارها از دست می‌دهند

بیشتر ابزارهای uptime با DNS مثل یک نصب رفتار می‌کنند - فقط URL را resolve می‌کنند و بعد آن را فراموش می‌کنند. اما به محض این‌که یک رقیب (یا مهاجم، یا گربه وحشی جمعه‌ای در دیپلوی) DNS شما را تغییر می‌دهد، همان resolve شروع به اشاره به IP دیگری می‌کند و مانیتور فقط-HTTP همچنان گزارش سبز می‌دهد چون IP جدید هم ۲۰۰ برمی‌گرداند. بدون مانیتورینگ در سطح DNS، تغییر نامرئی می‌ماند تا این‌که کسی دستی بررسی کند. در این مرحله ممکن است چندین روز ایمیل گم شده یا هفته‌ها رتبه جست‌وجوی شما از بین رفته باشد.

مانیتورینگ DNS همچنین مشکلات ارائه‌دهنده خود DNS را کشف می‌کند. بعضی ارائه‌دهندگان گاهی در زمان آپدیت زون رکوردها را گم یا جابجا می‌کنند؛ بعضی دچار قطعی منطقه‌ای می‌شوند که درخواست‌ها از یک منطقه نتایج متفاوتی نسبت به منطقه دیگر می‌دهند. مقایسه snapshotها این بی‌ثباتی‌ها را آشکار می‌کند.

تنظیمات

مانیتورینگ DNS به‌طور خودکار برای هر مانیتور HTTP/keyword/API فعال است. اولین بررسی عمیق (تا ۲۴ ساعت پس از افزودن مانیتور) snapshot پایه را ذخیره می‌کند - برای بار اول هشدار ارسال نمی‌شود، فقط وقتی بررسی‌های بعدی تفاوت داشته باشند هشدار ارسال خواهد شد. برای روشن/خاموش کردن هشدارهای تغییر DNS، گزینه «اطلاع درباره تغییرات DNS» را در بخش ترجیحات اعلان فعال یا غیرفعال کنید. نمای باز شده هر مانیتور همیشه وضعیت کامل فعلی DNS را نشان می‌دهد، از جمله SPF، DMARC و CAA که تحت نظارت تغییر نیستند اما برای مرور دوره‌ای مفید هستند.

سوالات متداول

کدام رکوردهای DNS توسط مانیتور پیگیری می‌شوند؟
به‌طور پیش‌فرض A، AAAA، MX، NS، TXT و CNAME. مانیتور در هر بررسی snapshot مقادیر حل‌شده را ذخیره می‌کند و اگر رکوردی تغییر کند — اضافه، حذف یا اصلاح شود — هشدار می‌دهد.
چرا باید DNS را مانیتور کنم — آیا ارائه‌دهنده DNS من قابل اطمینان نیست؟
قابلیت اطمینان مشکل نیست — تغییرات مشکل است. تصاحب DNS، به‌روزرسانی‌های تصادفی هنگام مهاجرت‌ها، CDN خارجی که IP را تغییر می‌دهد و هک حساب registrar — همگی به صورت تغییر رکورد ظاهر می‌شوند. مانیتورینگ DNS این را در عرض چند دقیقه به جای چند روز تشخیص می‌دهد.
مانیتور چگونه با کش TTL کنار می‌آید؟
پرس‌وجوها از نیم‌سرورهای authoritative انجام می‌شود (نه رسالور محلی شما)، بنابراین کش TTL تغییرات را پوشش نمی‌دهد. هر بررسی یک پرس‌وجوی کاملاً جدید است - اگر رکورد منبع تغییر کند، مانیتور در بررسی بعدی آن را خواهد دید.
آیا می‌توانم وضعیت اعتبارسنجی DNSSEC را مانیتور کنم؟
بله. مانیتور وضعیت DNSSEC (امضا شده / امضا نشده) را در هر بررسی ثبت می‌کند و در صورت تغییر هشدار می‌دهد. دامنه‌ای که دیروز امضا شده بود و امروز امضا نشده نشان می‌دهد، یک حادثه امنیتی جدی و نیازمند بررسی فوری است.
آیا از DNS load balancing هشدار غلط دریافت می‌کنم؟
اگر رکورد A شما چندین IP در حال چرخش برگرداند، مانیتور در هر بررسی یک «تغییر» می‌بیند. برای جلوگیری از این موضوع، expected-values را شامل همه IPهای ممکن تنظیم کنید، یا مانیتورینگ رکورد A را برای این دامنه خاموش کنید و فقط بر بررسی HTTP برای دسترسی تکیه کنید.

پایش DNS