אילו רשומות DNS ניטור עוקב אחריהן?

ברירת מחדל: A, AAAA, MX, NS, TXT ו-CNAME. הניטור יוצר תמונת מצב של הערכים הנפתרים בכל בדיקה ושולח התראה ברגע שאחת מהן משתנה — הוספה, מחיקה או שינוי.

למה בכלל לנטר DNS — הרי ספק ה-DNS שלי אמין?

אמינות היא לא הבעיה – השינוי כן. חטיפת DNS, עדכונים מקריים במעבר בין ספקים, CDN חיצוני שמסובב כתובות IP ופריצות לחשבונות registrar – הכל מתבטא כשינוי רשומות. ניטור DNS מזהה זאת בתוך דקות – במקום לקחת ימים עד שהנזק מזוהה.

איך הניטור מתמודד עם קאשינג של TTL?

פתרון מתבצע מול שרתי השמות הסמכותיים (לא הרזולבר המקומי שלך), ולכן cache של TTL לא מסתיר שינויים. כל בדיקה שולחת בקשה רעננה לשרת הסמכותי – אם הרשומה במקור השתנתה, הניטור יראה זאת בבדיקה הבאה.

האם אפשר לנטר את סטטוס אימות DNSSEC?

כן. הניטור רושם את סטטוס ה-DNSSEC (חתום / לא חתום) בכל בדיקה ושולח התראה בשינויים. דומיין שהיה חתום ב-DNSSEC אתמול והיום מדווח כלא חתום – זה אירוע אבטחה שחייב בדיקה מיידית.

האם אקבל התרעות שגויות מ-load balancing ב-DNS?

אם רשומת ה-A שלך מחזירה הרבה כתובות IP שמתחלפות, הניטור יראה "שינוי" בכל בדיקה. כדי להקטין התרעות שווא, הגדר expected-values לכל כתובות ה-IP האפשריות, או כבה ניטור של רשומת A בדומיין הזה והסתמך רק על בדיקת HTTP לזמינות.

מעקב DNS — זיהוי שינויים וחטיפות רשומות

רשומות DNS שמשתנות ללא ידיעתך הן תוצאה של שגיאת תצורה או חטיפה. שתיהן מסוכנות. השגיח עליהן.

DNS הוא היסוד - והדבר הכי קל להרוס

DNS נמצא מתחת להכל: כל בקשת אתרים, כל דוא"ל, כל קריאה ל-API מתחילה עם חיפוש DNS. זה הופך שינויים שקטים ברשומות DNS לאחד האיומים הנפוצים ביותר - ואחת השגיאות הקלות ביותר, שמישהו לא זהיר בצוות עלול לבצע. שינוי DNS יכול להפנות את הדומיין שלך להעתק פישינג של האתר שלך, לנתב דואר דרך השרת של התוקף, להעיף אותך מתוצאות חיפוש או לשבור את כל ה-stack בטעות הקלדה. רוב הזמן הנזק של DNS אפילו לא מתכוון להיות זדוני; זו סתם פעולה שגרתית שמישהו עשה מבלי להודיע, ושברה תשתיות בהמשך.

ניטור DNS מזהה שינויים כאלה על-ידי יצירת תמונת מצב של הרשומות שלך בכל בדיקה ומשווה אותה לקודמת. אם נוספה או הוסרה אחת מהרשומות הנעקבות מאז הפעם האחרונה, תקבל התראה. זו יכולה להיות פעולה מתוכננת ששכחת להודיע עליה, טעות בתצורה, או חטיפת DNS אמיתית – תדע על כך תוך כמה שעות.

אילו רשומות מנוטרות

לכל monitor מסוג HTTP בדיקה יומית מעמיקה מושכת את סוגי הרשומות האלו:

A ו-AAAA: כתובות IPv4 ו-IPv6 אליהן ה-hostname פותר. שינוי — התעבורה מופנית למקום אחר, בכוונה או כי מישהו השתלט על ה-Registrar שלך.
MX: חיבורי דוא"ל. רשומת MX חדשה (או יותר גרוע, חסרה) אומרת שהדוא"ל שלך מנותב בצורה שונה. אובדן שקט של הודעות הוא מהגרועים שיש לעסק.
NS: שרתי שמות. שינוי — מישהו העביר את אזור ה-DNS שלך לספק אחר – זו השינוי הכי משמעותי שאפשר לעשות לדומיין. בדרך כלל שינוי NS הוא או מעבר מתוכנן או התקפה מוצלחת על ה-Registrar.
TXT: כל רשומות טקסט, לרוב לאימות דומיין (Google, Microsoft, Stripe וכו’) ול-SPF/DKIM/DMARC.
SPF, DMARC, CAA: רשומות ייעודיות לאבטחת דוא"ל ולהנפקת תעודות. שינוי ב-CAA, במיוחד, יכול לאפשר לתוקף להוציא תעודת TLS לדומיין שלך.

ה-Dashboard מציג את כל הרשומות הנוכחיות כאשר תצוגת הניטור מורחבת, כך שתוכל לראות ברגע מה מתפרסם כרגע.

זיהוי שינויים

הניטור שומר תמונת מצב של רשומות A, AAAA, MX ו-NS לכל monitor. בכל בדיקה מעמיקה, הרשומות הנוכחיות מושוות לתמונת המצב. רשומות שנעלמו מסומנות כ-"נמחק", חדשות כ-"נוספו". שתי הרשימות נכללות בדוח השינויים.

אם אחד הסטים המנוטרים של רשומות השתנה, נשלחת התראה בכל הערוצים הפעילים. ההתראה מפרטת איזה סוג רשומה השתנה ומציינת בדיוק מה הוסף ומה הוסר. לא תקבל רק “DNS השתנה ב-example.com” אלא “MX עבור example.com: הוסר mail.oldhost.com, נוסף mail-1.attacker.com” – כך שהמצב מובן מידית.

אפשר לכבות התראות שינויים ב-DNS בנפרד משאר ההתראות, למשל כאשר צפויה העברת דומיין שצפויה ליצור הרבה רעש. כבה, בצע את ההעברה, והפעל מחדש לאחר שהכל מתייצב.

למה זה מגלה דברים שאחרים מפספסים

רוב כלי ה-upime מתייחסים ל-DNS כהתקנה – פותרים כתובת ואז שוכחים. אבל ברגע שמתחרה (או תוקף, או 'גרמלין של יום שישי') משנה לך את ה-DNS, הפתרון מתחיל להצביע לכתובת אחרת, ו-monitor שנבדק רק ב-HTTP עדיין מראה ירוק, כי ה-IP החדש גם מחזיר 200. בלי ניטור ברמת ה-DNS, השינוי בלתי נראה עד שמישהו בודק ידנית. בינתיים, אולי נאבדו ימים של דוא"ל או שבועות של תוצאות חיפוש.

ניטור DNS מזהה גם בעיות אצל ספק ה-DNS עצמו. יש ספקים שמדי פעם מאבדים או משנים רשומות תוך כדי עדכון האזור; אחרים סובלים מתקלות אזוריות, כך שבקשות ממיקומים שונים מחזירות תוצאות שונות. השוואת תמונות מצב מגלה אי-יציבות כזו.

הגדרה

ניטור DNS פועל אוטומטית לכל monitor מסוג HTTP/keyword/API. הבדיקה הראשונה (תוך 24 שעות מהוספת monitor) שומרת תמונת בסיס – התראה לא תישלח בפעם הראשונה, רק כאשר ההבדלים מתחילים להיראות. כדי להפעיל/לכבות התראות שינוי DNS, הפעל את "הודע על שינויים ב-DNS" תחת העדפות בהתראות. תצוגה מורחבת של כל monitor תמיד מציגה את כל מצב ה-DNS העדכני, כולל SPF, DMARC ו-CAA, שאינם מנוטרים לשינויים אך חשובים לבדיקה מדי פעם.

שאלות נפוצות

אילו רשומות DNS ניטור עוקב אחריהן?
ברירת מחדל: A, AAAA, MX, NS, TXT ו-CNAME. הניטור יוצר תמונת מצב של הערכים הנפתרים בכל בדיקה ושולח התראה ברגע שאחת מהן משתנה — הוספה, מחיקה או שינוי.
למה בכלל לנטר DNS — הרי ספק ה-DNS שלי אמין?
אמינות היא לא הבעיה – השינוי כן. חטיפת DNS, עדכונים מקריים במעבר בין ספקים, CDN חיצוני שמסובב כתובות IP ופריצות לחשבונות registrar – הכל מתבטא כשינוי רשומות. ניטור DNS מזהה זאת בתוך דקות – במקום לקחת ימים עד שהנזק מזוהה.
איך הניטור מתמודד עם קאשינג של TTL?
פתרון מתבצע מול שרתי השמות הסמכותיים (לא הרזולבר המקומי שלך), ולכן cache של TTL לא מסתיר שינויים. כל בדיקה שולחת בקשה רעננה לשרת הסמכותי – אם הרשומה במקור השתנתה, הניטור יראה זאת בבדיקה הבאה.
האם אפשר לנטר את סטטוס אימות DNSSEC?
כן. הניטור רושם את סטטוס ה-DNSSEC (חתום / לא חתום) בכל בדיקה ושולח התראה בשינויים. דומיין שהיה חתום ב-DNSSEC אתמול והיום מדווח כלא חתום – זה אירוע אבטחה שחייב בדיקה מיידית.
האם אקבל התרעות שגויות מ-load balancing ב-DNS?
אם רשומת ה-A שלך מחזירה הרבה כתובות IP שמתחלפות, הניטור יראה "שינוי" בכל בדיקה. כדי להקטין התרעות שווא, הגדר expected-values לכל כתובות ה-IP האפשריות, או כבה ניטור של רשומת A בדומיין הזה והסתמך רק על בדיקת HTTP לזמינות.

מעקב DNS