Melyik DNS rekordokat felügyeli a monitor?

Alapértelmezetten A, AAAA, MX, NS, TXT és CNAME. A monitor minden ellenőrzéskor lementi a feloldott értékeket, és riaszt, ha valamelyik változott – hozzá lett adva, törölve lett vagy módosítva.

Miért érdemes monitorozni a DNS-t – nem megbízható a DNS szolgáltatóm?

A megbízhatóság önmagában nem gond – a változás a lényeg. DNS eltérítések, véletlen frissítések migrációnál, külső CDN-ek IP rotációja és regisztrátorhoz betört támadók – mindez rekordváltozásként jelentkezik. A DNS monitoring percek alatt kiszúrja, nem napok múlva.

Hogyan kezeli a monitor a TTL cache-elést?

Az ellenőrzések közvetlenül az autoritatív névszervereket célozzák (nem a helyi resolveredet), ezért a TTL cache nem tudja elrejteni a változásokat. Minden ellenőrzés friss autoritatív lekérdezés – ha a forrásnál megváltozott a rekord, a monitor a következő ellenőrzésnél látni fogja.

Monitorozhatom a DNSSEC érvényesítési állapotát?

Igen. A monitor minden ellenőrzéskor rögzíti a DNSSEC státuszt (aláírt / nem aláírt), és riaszt, ha változás történik. Egy domain, ami tegnap még DNSSEC-aláírt volt, de ma már nem, az biztonsági incidens, amit azonnal meg kell vizsgálni.

Kapok-e téves riasztást DNS alapú terheléselosztás miatt?

Ha az A rekordod több, rotáló IP-t ad vissza, a monitor minden checknél "változást" lát. Ennek csillapításához állítsd be az elvárt értékeket úgy, hogy tartalmazza az összes lehetséges IP-t, vagy kapcsold ki az adott domainen az A rekord monitoringját, és csak a HTTP elérhetőségre hagyatkozz.

DNS-felügyelet — rekordváltozások és eltérítések felismerése

A tudta nélkül megváltozott DNS-rekordok hibás konfigurációra vagy eltérítésre utalnak. Mindkettő veszélyes. Figyelje őket.

DNS az alap – és a legegyszerűbb dolog, amit el lehet rontani

A DNS minden más alatt van: minden webes kérés, minden e-mail, minden API-hívás DNS lekérdezéssel indul. Ez teszi a DNS rekordok sunyi módosítását az egyik leggyakrabban kihasznált támadássá – és az egyik legegyszerűbb hibává, amit egy hanyag csapattag elkövethet. A DNS módosítása átirányíthatja a doménedet egy adathalász oldalra, átvezetheted az e-maileket a támadó szerverén keresztül, eltűnhetsz a keresési találatokból, vagy akár az egész stacket tönkreteheted egy elgépeléssel. A legtöbbször a DNS károk még csak nem is rosszindulatúak; ez egy rutinszerű ops módosítás, amit valaki anélkül végzett el, hogy szólt volna bárkinek, és ezzel elrontotta a downstreamet.

A DNS monitoring ezeket a változásokat úgy fogja meg, hogy minden ellenőrzéskor készít egy pillanatképet (snapshot) a rekordjaidról, és összehasonlítja az előzővel. Ha bármi követett rekord hozzá lett adva vagy törölve lett az előző alkalomhoz képest, riasztást kapsz. Legyen szó tervezett változtatásról, amit elfelejtettél bejelenteni, konfigurációs hibáról, vagy valódi eltérítésről – néhány órán belül értesülsz róla.

Milyen rekordokat figyel a rendszer

Minden HTTP típusú monitor esetén a napi mély leellenőrzés ezeket a rekordtípusokat kérdezi le:

A és AAAA: IPv4 és IPv6 címek, amelyekre a hosztnév feloldódik. Változás – a forgalom máshová megy, szándékosan vagy azért, mert valaki átvette a doménregisztrátorod felett az irányítást.
MX: levelező szerverek. Egy új MX rekord (vagy ami még rosszabb, egy hiányzó) azt jelenti, hogy az e-mail másként kezdett el áramolni. A csendben elveszett emailek a legrosszabbak az üzleti életben.
NS: névszerverek. Változás – valaki átvitte a DNS zónádat egy másik szolgáltatóhoz – ez a legjelentősebb változás, amit egy doménnel lehet tenni. Az NS módosítások szinte mindig vagy tervezett migrációt, vagy sikeres támadást jelentenek a regisztrátorod ellen.
TXT: tetszőleges szöveges rekordok, gyakran doménhitelesítéshez használják őket (Google, Microsoft, Stripe stb.), valamint SPF/DKIM/DMARC esetén.
SPF, DMARC, CAA: dedikált e-mail biztonsági és tanúsítványkiadási rekordok. A CAA változtatás különösen lehetővé teheti, hogy egy támadó TLS tanúsítványt szerezzen a doménedhez.

A vezérlőpulton az összes aktuális rekord látható a monitor kibővített nézetében, így rögtön látod, mi van publikálva éppen.

Változások észlelése

A monitor minden monitor esetében pillanatképet tart fenn az A, AAAA, MX és NS rekordokról. Minden mélyebb vizsgálatkor az aktuális rekordokat összeveti a pillanatképpel. Az eltűnt rekordokat "törölve", az újakat "hozzáadva" jelzi. Mindkét lista bekerül a változások jelentésébe.

Ha bármelyik figyelt rekordhalmaz megváltozott, riasztás megy ki az engedélyezett csatornákra. Az értesítés megnevezi, melyik rekordtípus változott, és pontosan felsorolja, mi lett hozzáadva, mi lett törölve. Ahelyett, hogy "DNS változott example.com-hoz" üzenetet kapnál, konkrétan azt látod: "MX for example.com: törölve mail.oldhost.com, hozzáadva mail-1.attacker.com" – így azonnal érthető, mi történt.

A DNS változási riasztásokat függetlenül ki lehet kapcsolni más riasztásoktól, ha például egy nagy mennyiségű "zajt" okozó tervezett migráció miatt szükséges. Kapcsold ki, hajtsd végre a migrációt, majd állítsd vissza, ha már minden stabil.

Miért érzékeli ez azokat a hibákat, amiket más eszközök kihagynak

A legtöbb uptime eszköz úgy kezeli a DNS-t, mint beállítást – feloldja vele az URL-t, majd elfelejti. De abban a pillanatban, amikor egy versenytárs (vagy támadó, vagy egy pénteki deploy-gremlin) módosítja a DNS-edet, a feloldás más IP-re mutat, miközben a csak-HTTP monitor zöldet mutat, hiszen az új IP is 200-at ad vissza. DNS-szintű monitoring nélkül a változás láthatatlan, amíg valaki kézzel le nem ellenőrzi. Közben akár napokra elveszhetnek e-mailek vagy hetekig eltűnhet a keresőpozíciód.

A DNS monitoring a DNS szolgáltató oldalán fellépő hibákat is észreveszi. Egyes szolgáltatók alkalmanként elveszítenek vagy felcserélnek rekordokat zóna frissítések közben; némelyikük régiós kiesésekkel küzd, amikor egy helyről mást ad vissza a lekérdezés, mint máshonnan. A pillanatképek összehasonlítása kimutatja ezeket a bizonytalanságokat.

Beállítás

A DNS monitoring minden HTTP/keyword/API monitor esetén automatikus. Az első mély ellenőrzés (a monitor hozzáadása utáni 24 órán belül) elmenti az alap pillanatképet – az első alkalommal még nem jön riasztás, csak ha a következő ellenőrzéseknél különbség van. A DNS változás riasztásokat a Beállításokban, az Értesítések részen belül, a "Értesítés DNS változásokról" kapcsolóval lehet ki- és bekapcsolni. Bármely monitor kibővített nézete mindig mutatja a teljes aktuális DNS állapotot, beleértve az SPF, DMARC és CAA rekordokat is, amiket ugyan nem figyel változásra, de időszakos felülvizsgálathoz hasznosak.

Gyakran Ismételt Kérdések

Melyik DNS rekordokat felügyeli a monitor?
Alapértelmezetten A, AAAA, MX, NS, TXT és CNAME. A monitor minden ellenőrzéskor lementi a feloldott értékeket, és riaszt, ha valamelyik változott – hozzá lett adva, törölve lett vagy módosítva.
Miért érdemes monitorozni a DNS-t – nem megbízható a DNS szolgáltatóm?
A megbízhatóság önmagában nem gond – a változás a lényeg. DNS eltérítések, véletlen frissítések migrációnál, külső CDN-ek IP rotációja és regisztrátorhoz betört támadók – mindez rekordváltozásként jelentkezik. A DNS monitoring percek alatt kiszúrja, nem napok múlva.
Hogyan kezeli a monitor a TTL cache-elést?
Az ellenőrzések közvetlenül az autoritatív névszervereket célozzák (nem a helyi resolveredet), ezért a TTL cache nem tudja elrejteni a változásokat. Minden ellenőrzés friss autoritatív lekérdezés – ha a forrásnál megváltozott a rekord, a monitor a következő ellenőrzésnél látni fogja.
Monitorozhatom a DNSSEC érvényesítési állapotát?
Igen. A monitor minden ellenőrzéskor rögzíti a DNSSEC státuszt (aláírt / nem aláírt), és riaszt, ha változás történik. Egy domain, ami tegnap még DNSSEC-aláírt volt, de ma már nem, az biztonsági incidens, amit azonnal meg kell vizsgálni.
Kapok-e téves riasztást DNS alapú terheléselosztás miatt?
Ha az A rekordod több, rotáló IP-t ad vissza, a monitor minden checknél "változást" lát. Ennek csillapításához állítsd be az elvárt értékeket úgy, hogy tartalmazza az összes lehetséges IP-t, vagy kapcsold ki az adott domainen az A rekord monitoringját, és csak a HTTP elérhetőségre hagyatkozz.

DNS-felügyelet