Quali record DNS monitora il monitor?

Di default A, AAAA, MX, NS, TXT e CNAME. Il monitor crea uno snapshot dei valori risolti ad ogni controllo e invia un avviso se uno di questi cambia — aggiunto, eliminato, modificato.

Perché monitorare il DNS — il mio provider DNS non è affidabile?

Non è l'affidabilità il problema — è il cambiamento. Prendere il controllo del DNS, aggiornamenti accidentali durante le migrazioni, CDN esterne che ruotano gli IP e compromissioni degli account dei registrar — tutto si manifesta come un cambio di record. Il monitoraggio DNS rileva questo in pochi minuti invece che in giorni.

Come gestisce il monitor la cache TTL?

Le risoluzioni vengono fatte contro i nameserver autoritativi (non il tuo resolver locale), quindi la cache TTL non nasconde i cambiamenti. Ogni controllo effettua una richiesta autoritativa fresca — se il record è cambiato alla fonte, il monitor lo vedrà al prossimo controllo.

Posso monitorare lo stato di validazione DNSSEC?

Sì. Il monitor registra lo stato DNSSEC (signed / unsigned) a ogni controllo e invia un avviso in caso di cambiamenti. Un dominio che ieri era DNSSEC-signed e ora risulta unsigned è un incidente di sicurezza da esaminare immediatamente.

Riceverò dei falsi positivi dal bilanciamento del carico DNS?

Se il tuo record A restituisce molteplici IP che ruotano, il monitor vede un “cambiamento” a ogni controllo. Per attenuare questo effetto, configura expected-values in modo che includano tutti gli IP possibili, oppure disattiva il monitoraggio del record A su quel dominio e affidati solo al controllo HTTP per la disponibilità.

Monitoraggio DNS — rileva modifiche ai record e hijack

I record DNS che cambiano a tua insaputa sono dovuti a una configurazione errata o a un hijack. Entrambi sono pericolosi. Tienili sotto controllo.

DNS come fondamento - e la cosa più facile da rompere

Il DNS sta sotto tutto il resto: ogni richiesta web, ogni email, ogni chiamata API inizia con una ricerca DNS. Questo rende i cambiamenti silenziosi dei record DNS uno degli attacchi più frequentemente sfruttati - e uno degli errori più facili che un membro distratto del team possa commettere. Una modifica al DNS può reindirizzare il tuo dominio a una copia phishing del tuo sito, inoltrare la posta tramite il server di un attaccante, farti sparire dai risultati di ricerca o rompere l'intero stack per un semplice errore di battitura. La maggior parte delle volte il danno DNS non è nemmeno malevolo; si tratta di un cambiamento operativo di routine che qualcuno ha fatto senza dirlo a nessuno, e che ha rotto tutto a valle.

Il monitoraggio DNS rileva questi cambiamenti creando uno snapshot dei tuoi record ad ogni controllo e confrontandoli con il precedente. Se qualcosa tra gli elementi monitorati è stato aggiunto o rimosso dall'ultima volta, ricevi un avviso. Che sia una modifica pianificata di cui ti sei dimenticato di informare, un errore di configurazione o un vero hijack - lo saprai nel giro di poche ore.

Quali record vengono monitorati

Per ogni monitor HTTP, un controllo approfondito quotidiano recupera questi tipi di record:

A e AAAA: indirizzi IPv4 e IPv6 a cui viene risolto l'hostname. Cambio - il traffico va altrove, di proposito o perché qualcuno ha preso il possesso del tuo registrar.
MX: mail exchanger. Un nuovo record MX (o peggio, uno mancante) significa che la posta ha iniziato a essere instradata diversamente. La perdita silenziosa delle email è uno degli scenari peggiori per un'azienda.
NS: nameserver. Cambio - qualcuno ha trasferito la tua zona DNS a un altro provider - il cambiamento più potente che si possa fare a un dominio. Le modifiche agli NS sono quasi sempre o una migrazione pianificata o un attacco riuscito al registrar.
TXT: qualsiasi record di testo, spesso usato per la verifica del dominio (Google, Microsoft, Stripe, ecc.) e per SPF/DKIM/DMARC.
SPF, DMARC, CAA: record dedicati alla sicurezza email e all'emissione di certificati. Una modifica al CAA, in particolare, può permettere a un attaccante di ottenere un certificato TLS per il tuo dominio.

La dashboard mostra tutti i record attuali nella vista espansa del monitor, così vedi subito cosa è attualmente pubblicato.

Rilevamento dei cambiamenti

Il monitor mantiene uno snapshot dei record A, AAAA, MX e NS per ogni monitor. Ad ogni controllo approfondito, i record attuali vengono confrontati con lo snapshot. I record scomparsi vengono etichettati come "eliminati", quelli nuovi come "aggiunti". Entrambe le liste vengono incluse nel report dei cambiamenti.

Se uno degli insiemi di record monitorati cambia, viene inviato un avviso sui canali abilitati. La notifica indica quale tipo di record è stato modificato ed elenca esattamente cosa è stato aggiunto o rimosso. Invece di "DNS cambiato per example.com" ricevi "MX per example.com: eliminato mail.oldhost.com, aggiunto mail-1.attacker.com" - così la situazione è subito chiara.

È possibile disattivare gli avvisi di cambiamento DNS indipendentemente dagli altri avvisi, nel caso di una migrazione pianificata che genera molto rumore. Disattiva, effettua la migrazione, riattiva dopo la stabilizzazione.

Perché coglie cose che altri strumenti si lasciano sfuggire

La maggior parte degli strumenti di uptime tratta il DNS come un'installazione: lo usa per risolvere l'URL e poi se ne dimentica. Ma nell'istante in cui un concorrente (o un attaccante, o un gremlin del venerdì che fa un deploy) cambia il tuo DNS, quella risoluzione inizia a puntare a un altro IP, e il monitor HTTP-only continua a riportare tutto ok, perché anche il nuovo IP restituisce 200. Senza monitoraggio a livello DNS, la modifica passa inosservata finché qualcuno non controlla manualmente. Allora potrebbero essere già andate perse email per giorni o posizioni nei motori di ricerca per settimane.

Il monitoraggio DNS rileva anche problemi con il provider DNS stesso. Alcuni provider occasionalmente perdono o rimescolano i record durante l’aggiornamento delle zone; altri hanno malfunzionamenti regionali dove le richieste da una località restituiscono risultati diversi rispetto ad altre. Il confronto degli snapshot svela queste instabilità.

Configurazione

Il monitoraggio DNS è automatico per ogni monitor HTTP/keyword/API. Il primo controllo approfondito (entro 24h dall’aggiunta del monitor) salva uno snapshot di base: nessun avviso viene inviato la prima volta, solo se i controlli successivi differiscono. Per attivare/disattivare gli avvisi di cambiamento DNS, attiva "Notifica cambiamenti DNS" nella sezione Preferenze delle Notifiche. La vista espansa di ogni monitor mostra sempre lo stato DNS attuale completo, inclusi SPF, DMARC e CAA, che non sono monitorati per le modifiche, ma sono utili da rivedere periodicamente.

Domande frequenti

Quali record DNS monitora il monitor?
Di default A, AAAA, MX, NS, TXT e CNAME. Il monitor crea uno snapshot dei valori risolti ad ogni controllo e invia un avviso se uno di questi cambia — aggiunto, eliminato, modificato.
Perché monitorare il DNS — il mio provider DNS non è affidabile?
Non è l'affidabilità il problema — è il cambiamento. Prendere il controllo del DNS, aggiornamenti accidentali durante le migrazioni, CDN esterne che ruotano gli IP e compromissioni degli account dei registrar — tutto si manifesta come un cambio di record. Il monitoraggio DNS rileva questo in pochi minuti invece che in giorni.
Come gestisce il monitor la cache TTL?
Le risoluzioni vengono fatte contro i nameserver autoritativi (non il tuo resolver locale), quindi la cache TTL non nasconde i cambiamenti. Ogni controllo effettua una richiesta autoritativa fresca — se il record è cambiato alla fonte, il monitor lo vedrà al prossimo controllo.
Posso monitorare lo stato di validazione DNSSEC?
Sì. Il monitor registra lo stato DNSSEC (signed / unsigned) a ogni controllo e invia un avviso in caso di cambiamenti. Un dominio che ieri era DNSSEC-signed e ora risulta unsigned è un incidente di sicurezza da esaminare immediatamente.
Riceverò dei falsi positivi dal bilanciamento del carico DNS?
Se il tuo record A restituisce molteplici IP che ruotano, il monitor vede un “cambiamento” a ogni controllo. Per attenuare questo effetto, configura expected-values in modo che includano tutti gli IP possibili, oppure disattiva il monitoraggio del record A su quel dominio e affidati solo al controllo HTTP per la disponibilità.

Monitoraggio DNS