Koje DNS zapise monitor prati?

Po zadanim postavkama A, AAAA, MX, NS, TXT i CNAME. Monitor radi snimku razriješenih vrijednosti pri svakoj provjeri i upozorava kad se nešto promijeni – dodano, uklonjeno ili izmijenjeno.

Zašto nadzirati DNS – zar moj DNS pružatelj nije pouzdan?

Pouzdanost nije problem – promjene jesu. Preuzimanja DNS-a, slučajna ažuriranja tijekom migracija, vanjski CDN-ovi koji rotiraju IP adrese i provale na korisničke račune registra – sve to se manifestira kao izmjena zapisa. DNS nadzor otkriva to u nekoliko minuta, a ne dana.

Kako monitor postupa s keširanjem TTL-a?

Upiti idu prema autoritativnim imenskim serverima (ne tvom lokalnom resolveru), pa cacheirani TTL ne skriva promjene. Svaka provjera radi svježi autoritativni upit – ako se zapis izvorno promijeni, monitor će to vidjeti pri sljedećoj provjeri.

Mogu li pratiti status DNSSEC validacije?

Da. Monitor bilježi status DNSSEC-a (signed / unsigned) pri svakoj provjeri i šalje upozorenje kod promjena. Domena koja je jučer bila DNSSEC-signed, a sada prikazuje unsigned, sigurnosni je incident koji zahtijeva trenutačnu istragu.

Hoću li dobiti lažne alarme zbog DNS load balancinga?

Ako tvoj A zapis vraća više rotirajućih IP adresa, monitor vidi "promjenu" pri svakoj provjeri. Za prigušivanje toga, podesi expected-values da sadrže sve moguće IP adrese, ili isključi praćenje A zapisa za tu domenu i oslanjaj se samo na HTTP provjeru dostupnosti.

DNS nadzor — otkrivanje promjena zapisa i otmica

DNS zapisi koji se mijenjaju bez vašeg znanja mogu biti rezultat pogrešne konfiguracije ili otmice. Oba slučaja su loša. Pratite ih.

DNS je temelj – i najlakša stvar za pokvariti

DNS sjedi ispod svega ostalog: svaki web zahtjev, svaki email, svako API pozivanje počinje DNS upitom. To čini tihe promjene DNS zapisa jednim od najčešće korištenih napadnih vektora – i jednom od najjednostavnijih grešaka koje nemaran član tima može napraviti. Promjena DNS-a može preusmjeriti tvoju domenu na phishing kopiju tvoje stranice, usmjeriti poštu kroz server napadača, izbaciti te iz rezultata pretraživanja ili srušiti cijeli stack običnom tipfelerskom pogreškom. Većinu vremena DNS šteta nije ni zlonamjerna; radi se o rutinskoj promjeni koju je netko napravio ne obavijestivši nikoga, a koja je uzrokovala probleme nizvodno.

Praćenje DNS-a detektira te promjene tako što pri svakom provjeravanju radi snimku tvojih zapisa i uspoređuje je s prethodnom. Ako je nešto što se prati dodano ili uklonjeno od zadnjeg puta, odmah dobivaš obavijest. Bilo da se radi o planiranoj promjeni koju si zaboravio najaviti, konfiguracijskoj pogrešci ili stvarnom napadu – saznat ćeš za nekoliko sati.

Koji se zapisi nadgledaju

Za svaki HTTP monitor, detaljna dnevna provjera dohvaća ove vrste zapisa:

A i AAAA: IPv4 i IPv6 adrese na koje hostname pokazuje. Promjena – promet odlazi drugdje, namjerno ili zato što je netko preuzeo tvog registra.
MX: mail exchangers. Novi MX zapis (ili još gore, nedostajući) znači da je pošta počela ići drugačije. Tiho gubljenje e-mailova je jedan od najgorih slučajeva za poslovanje.
NS: imenski serveri. Promjena – netko je tvoju DNS zonu premjestio kod drugog pružatelja – najmoćnija promjena koja se može napraviti domeni. NS promjene su gotovo uvijek ili planirane migracije ili uspješan napad na registra.
TXT: proizvoljni tekstualni zapisi, često korišteni za verifikaciju domene (Google, Microsoft, Stripe itd.) i za SPF/DKIM/DMARC.
SPF, DMARC, CAA: posebni sigurnosni zapisi za email i izdavanje certifikata. Posebno, promjena CAA može omogućiti napadaču da izda TLS certifikat za tvoju domenu.

Nadzorna ploča prikazuje sve trenutne zapise u proširenom prikazu monitora, tako da na prvi pogled vidiš što je trenutno objavljeno.

Detekcija promjena

Monitor održava snimku zapisa A, AAAA, MX i NS za svaki monitor. Pri svakoj detaljnoj provjeri trenutačni zapisi uspoređuju se sa snimkom. Zapisi koji su nestali označavaju se kao "obrisani", novi kao "dodani". Oba popisa idu u izvješće o promjenama.

Ako se neki praćeni skup zapisa promijeni, šalje se upozorenje na uključene kanale. Obavijest imenuje koji je tip zapisa promijenjen i precizno navodi što je dodano, a što uklonjeno. Umjesto "DNS promijenjen za example.com" dobivaš "MX za example.com: uklonjen mail.oldhost.com, dodan mail-1.attacker.com" – čineći situaciju odmah jasnom.

Možeš isključiti obavijesti o promjenama DNS-a neovisno o ostalim obavijestima, u slučaju planirane migracije koja stvara puno buke. Isključi, napravi migraciju, ponovno uključi nakon stabilizacije.

Zašto otkriva stvari koje druga sredstva propuštaju

Većina alata za nadzor dostupnosti tretira DNS kao instalacijski korak – koristi ga za razrješenje URL-a i zaboravi. Ali u sekundi kada konkurent (ili napadač, ili zločesti deploy gremlin petkom) promijeni tvoj DNS, to razrješenje počinje pokazivati na drugu IP adresu, a HTTP-only monitor i dalje javlja zeleno, jer nova IP također vraća 200. Bez nadzora na razini DNS-a promjena je nevidljiva dok netko ne provjeri ručno. Tada možda nedostaje dana e-mailova ili tjedana SEO rezultata.

DNS monitoring također detektira probleme s samim DNS pružateljem. Neki pružatelji povremeno izgube ili pomiješaju zapise tijekom ažuriranja zona; neki imaju regionalne ispade gdje upiti iz jedne lokacije vraćaju druge rezultate nego iz druge. Usporedba snimki otkriva takve nestabilnosti.

Konfiguracija

DNS nadzor je automatski za svaki HTTP/keyword/API monitor. Prva detaljna provjera (unutar 24 sata od dodavanja monitora) snima početnu snimku – obavijest ne ide prvi put, samo ako se kasnija provjera razlikuje. Za uključiti/isključiti obavijesti o DNS promjenama, prebaci "Obavijesti o promjenama DNS-a" u sekciji Preferencije u Obavijestima. Prošireni prikaz svakog monitora uvijek prikazuje cijelo trenutačno DNS stanje, uključujući SPF, DMARC i CAA, koji se ne prate na promjene, ali su korisni za periodični pregled.

Najčešća pitanja

Koje DNS zapise monitor prati?
Po zadanim postavkama A, AAAA, MX, NS, TXT i CNAME. Monitor radi snimku razriješenih vrijednosti pri svakoj provjeri i upozorava kad se nešto promijeni – dodano, uklonjeno ili izmijenjeno.
Zašto nadzirati DNS – zar moj DNS pružatelj nije pouzdan?
Pouzdanost nije problem – promjene jesu. Preuzimanja DNS-a, slučajna ažuriranja tijekom migracija, vanjski CDN-ovi koji rotiraju IP adrese i provale na korisničke račune registra – sve to se manifestira kao izmjena zapisa. DNS nadzor otkriva to u nekoliko minuta, a ne dana.
Kako monitor postupa s keširanjem TTL-a?
Upiti idu prema autoritativnim imenskim serverima (ne tvom lokalnom resolveru), pa cacheirani TTL ne skriva promjene. Svaka provjera radi svježi autoritativni upit – ako se zapis izvorno promijeni, monitor će to vidjeti pri sljedećoj provjeri.
Mogu li pratiti status DNSSEC validacije?
Da. Monitor bilježi status DNSSEC-a (signed / unsigned) pri svakoj provjeri i šalje upozorenje kod promjena. Domena koja je jučer bila DNSSEC-signed, a sada prikazuje unsigned, sigurnosni je incident koji zahtijeva trenutačnu istragu.
Hoću li dobiti lažne alarme zbog DNS load balancinga?
Ako tvoj A zapis vraća više rotirajućih IP adresa, monitor vidi "promjenu" pri svakoj provjeri. Za prigušivanje toga, podesi expected-values da sadrže sve moguće IP adrese, ili isključi praćenje A zapisa za tu domenu i oslanjaj se samo na HTTP provjeru dostupnosti.

DNS nadzor