Kokius DNS įrašus stebi monitorius?

Pagal nutylėjimą A, AAAA, MX, NS, TXT ir CNAME. Monitorius kiekvieno patikrinimo metu padaro išspręstų reikšmių snapshot’ą ir įspėja, kai kas nors pasikeičia — įrašas pridėtas, pašalintas ar pakeistas.

Kam stebėti DNS — ar mano DNS paslaugų teikėjas nėra patikimas?

Patikimumas nėra problema — o pokyčiai yra. DNS perėmimai, netyčiniai atnaujinimai migracijų metu, išoriniai CDN’ai, keičiantys IP, ir įsilaužimai į registratoriaus paskyras — visa tai pasireiškia kaip įrašų pokyčiai. DNS stebėsena aptinka viską per minutes, o ne per dienas.

Kaip monitorius susidoroja su TTL kešavimu?

Sprendiniai atliekami tiesiogiai prieš autoritetyvinius vardų serverius (ne prieš Jūsų lokalų resolver’į), tad TTL kešavimas nepasislepia nuo pokyčių. Kiekvienas patikrinimas atlieka šviežią autoritetyvinę užklausą — jei įrašas šaltinyje pasikeitė, monitorius tai pastebės per kitą patikrinimą.

Ar galiu stebėti DNSSEC validacijos būseną?

Taip. Monitorius kiekvieno patikrinimo metu registruoja DNSSEC būseną (pasirašyta / nepasirašyta) ir įspėja, jei pasikeičia. Domenas, kuris vakar buvo DNSSEC-signed, o šiandien jau „unsigned“ — tai saugumo incidentas, kurį būtina ištirti nedelsiant.

Ar galiu gauti klaidingų aliarmų dėl DNS load balancing?

Jeigu Jūsų A įrašas grąžina daug besikeičiančių IP, monitorius matys „pokytį“ kiekvieno patikrinimo metu. Norėdami tai nutildyti, sukonfigūruokite laukiamas reikšmes, kad būtų visi galimi IP, arba išjunkite A įrašo stebėseną šiam domenui ir pasikliaukite tik HTTP prieinamumo patikrinimu.

DNS stebėsena — aptikite įrašų pokyčius ir užgrobimus

Be jūsų žinios pakitę DNS įrašai yra klaidinga konfigūracija arba užgrobimas. Abu atvejai yra blogi. Stebėkite juos.

DNS yra pagrindas – ir lengviausia sugadinti dalykas

DNS slypi po viskuo: kiekviena interneto užklausa, kiekvienas el. laiškas, kiekvienas API iškvietimas prasideda nuo DNS paieškos. Todėl tylūs DNS įrašų pakeitimai yra viena dažniausiai išnaudojamų atakų – ir viena lengviausiai padaromų klaidų, kurią gali padaryti neatsargus komandos narys. DNS pakeitimas gali nukreipti Jūsų domeną į fišingo puslapio kopiją, peradresuoti paštą per užpuoliko serverį, išmesti Jus iš paieškos rezultatų arba sugadinti visą sistemą dėl klaidingos raidės. Daugeliu atvejų žala DNS nėra net sąmoninga; tai eilinis ops pakeitimas, kurį kažkas padarė niekam nesakęs, ir kuris sugadino žemiau esančią sistemą.

DNS stebėsena aptinka šiuos pokyčius darydama Jūsų įrašų "snapshot" kiekvieno patikrinimo metu ir lygindama su ankstesniu. Jei kas nors stebėto buvo pridėta arba pašalinta nuo paskutinio karto, gaunate įspėjimą. Nesvarbu, ar tai suplanuotas pakeitimas, apie kurį pamiršote pranešti, konfigūracijos klaida ar tikras kompromitavimas – sužinosite per kelias valandas.

Kokie įrašai yra stebimi

Kiekvienam HTTP tipo monitoriui gilesnis kasdienis patikrinimas paima šių tipų įrašus:

A ir AAAA: IPv4 ir IPv6 adresai, į kuriuos išsprendžiamas hostas. Pakeitus – srautas nukeliauja kitur, sąmoningai arba jei kažkas perėmė Jūsų registratorių.
MX: pašto mainikliai. Naujas MX įrašas (arba dar blogiau, jo nebuvimas) reiškia, kad paštas pradėjo keliauti kitu maršrutu. Tyliai prarasti laiškai – vienas blogiausių scenarijų versle.
NS: vardų serveriai. Pakeitus – kažkas perkėlė Jūsų DNS zoną pas kitą tiekėją – tai galingiausias pakeitimas, kurį galima padaryti domenui. NS keitimas beveik visada – suplanuota migracija arba sėkminga ataka prieš registratorių.
TXT: bet kokie tekstiniai įrašai, dažnai naudojami domeno verifikacijai (Google, Microsoft, Stripe ir kt.), taip pat SPF/DKIM/DMARC tikslams.
SPF, DMARC, CAA: specialūs el. pašto saugumo ir sertifikatų išdavimo įrašai. CAA įrašo pakeitimas ypač gali leisti užpuolikui išsiimti TLS sertifikatą Jūsų domenui.

Valdymo pultas rodo visus esamus įrašus išplėstiniame monitoriaus rodinyje, todėl iškart matote, kas šiuo metu publikuota.

Pokyčių aptikimas

Monitorius palaiko A, AAAA, MX ir NS įrašų snapshot'ą kiekvienam monitoriui. Kiekvieno gilesnio patikrinimo metu dabartiniai įrašai palyginami su snapshot'u. Įrašai, kurie dingo, pažymimi kaip „pašalinti“, nauji – kaip „pridėti“. Abu sąrašai įtraukiami į pokyčių ataskaitą.

Jei kuris nors stebimų įrašų rinkinys pasikeitė, siunčiamas pranešimas per aktyvuotus kanalus. Pranešime nurodoma, kuris įrašo tipas pasikeitė, ir tiksliai išvardijama, kas pridėta, kas ištrinta. Vietoj „DNS pakeistas example.com“ gaunate „MX domenui example.com: pašalinta mail.oldhost.com, pridėta mail-1.attacker.com“ – todėl situacija iškart aiški.

Galite išjungti DNS pokyčių įspėjimus nepriklausomai nuo kitų įspėjimų, kai planuojate migraciją ir nenorite daug triukšmo. Išjunkite, atlikite migraciją, vėl įjunkite stabilizavus.

Kodėl tai pagaus problemas, kurių kiti įrankiai nepastebi

Dauguma prieinamumo įrankių DNS naudoja kaip instaliaciją – išsprendžia URL ir pamiršta. Tačiau tą sekundę, kai konkurentas (ar užpuolikas, ar penktadienio deploy'o gremlinas) pakeičia Jūsų DNS, tas sprendinys pradeda rodyti į kitą IP, o tik-HTTP monitorius vis dar rodo „žalia“, nes naujas IP irgi grąžina 200. Be DNS lygmens stebėsenos pakeitimas liks nematomas, kol kas nors nepatikrins rankiniu būdu. Tada gali būti prarasta kelių dienų el. laiškai ar dingusios pozicijos paieškoje savaitei.

DNS stebėsena taip pat pastebi problemas pas patį DNS tiekėją. Kai kurie tiekėjai retkarčiais pameta arba sukeičia įrašus vykstant zonos atnaujinimams; kiti turi regioninių gedimų, kai vienos vietos užklausos grąžina kitus rezultatus nei kitos. Snapshoto palyginimas padeda aptikti tokius nestabilumus.

Konfigūracija

DNS stebėsena įjungiama automatiškai kiekvienam HTTP/keyword/API monitoriui. Pirmasis gilesnis patikrinimas (per 24 val. nuo monitoriaus pridėjimo) įrašo pradžios snapshot’ą – pirmą kartą įspėjimas nesiunčiamas, tik jei vėlesni patikrinimai skiriasi. DNS pokyčių įspėjimus įjungti/išjungti galite pažymėdami „Pranešti apie DNS pokyčius“ skyriuje Pranešimų Nustatymai. Išplėstinis bet kurio monitoriaus rodinys visada rodo pilną esamą DNS būseną, įskaitant SPF, DMARC ir CAA, kurie nėra stebimi dėl pokyčių, bet naudingi periodiniam peržiūrėjimui.

Dažniausiai užduodami klausimai

Kokius DNS įrašus stebi monitorius?
Pagal nutylėjimą A, AAAA, MX, NS, TXT ir CNAME. Monitorius kiekvieno patikrinimo metu padaro išspręstų reikšmių snapshot’ą ir įspėja, kai kas nors pasikeičia — įrašas pridėtas, pašalintas ar pakeistas.
Kam stebėti DNS — ar mano DNS paslaugų teikėjas nėra patikimas?
Patikimumas nėra problema — o pokyčiai yra. DNS perėmimai, netyčiniai atnaujinimai migracijų metu, išoriniai CDN’ai, keičiantys IP, ir įsilaužimai į registratoriaus paskyras — visa tai pasireiškia kaip įrašų pokyčiai. DNS stebėsena aptinka viską per minutes, o ne per dienas.
Kaip monitorius susidoroja su TTL kešavimu?
Sprendiniai atliekami tiesiogiai prieš autoritetyvinius vardų serverius (ne prieš Jūsų lokalų resolver’į), tad TTL kešavimas nepasislepia nuo pokyčių. Kiekvienas patikrinimas atlieka šviežią autoritetyvinę užklausą — jei įrašas šaltinyje pasikeitė, monitorius tai pastebės per kitą patikrinimą.
Ar galiu stebėti DNSSEC validacijos būseną?
Taip. Monitorius kiekvieno patikrinimo metu registruoja DNSSEC būseną (pasirašyta / nepasirašyta) ir įspėja, jei pasikeičia. Domenas, kuris vakar buvo DNSSEC-signed, o šiandien jau „unsigned“ — tai saugumo incidentas, kurį būtina ištirti nedelsiant.
Ar galiu gauti klaidingų aliarmų dėl DNS load balancing?
Jeigu Jūsų A įrašas grąžina daug besikeičiančių IP, monitorius matys „pokytį“ kiekvieno patikrinimo metu. Norėdami tai nutildyti, sukonfigūruokite laukiamas reikšmes, kad būtų visi galimi IP, arba išjunkite A įrašo stebėseną šiam domenui ir pasikliaukite tik HTTP prieinamumo patikrinimu.

DNS stebėsena