Kādus DNS ierakstus uzrauga monitors?

Pēc noklusējuma A, AAAA, MX, NS, TXT un CNAME. Monitors katras pārbaudes laikā veic šķīstīto vērtību momentuzņēmumu un brīdina, kad kāds mainās – pievienots, izdzēsts, izmainīts.

Kādēļ uzraudzīt DNS – vai mans DNS piegādātājs nav pietiekami uzticams?

Uzticamība nav problēma – izmaiņas ir. DNS pārņemšana, nejauši atjauninājumi migrāciju laikā, ārējie CDN, kas rotē IP, un uzbrukumi reģistratoru kontiem – viss tas izpaužas kā ierakstu izmaiņas. DNS monitorings atklāj to dažu minūšu, nevis dienu laikā.

Kā monitors tiek galā ar TTL kešošanu?

Vaicājumi tiek sūtīti autoritatīvajiem nameserveriem (nevis jūsu lokālajam resolverim), tāpēc TTL kešs nevar paslēpt izmaiņas. Katrs pārbaudes pieprasījums ir svaigs autoritatīvs vaicājums – ja ieraksts avotā mainīts, monitors to redzēs nākamajā pārbaudē.

Vai varu uzraudzīt DNSSEC validācijas statusu?

Jā. Monitors katrā pārbaudē reģistrē DNSSEC statusu (parakstīts/neparakstīts) un brīdina par izmaiņām. Domēns, kas vakar bija DNSSEC-parakstīts, bet tagad ir neparakstīts, ir drošības incidents, kas jāizmeklē nekavējoties.

Vai es saņemšu kļūdainus brīdinājumus no DNS balansēšanas?

Ja tavs A ieraksts atgriež vairākas mainīgas IP adreses, monitors katrā pārbaudē redzēs "izmaiņas". Lai to nomāktu, konfigurē expected-values, lai tie ietvertu visus iespējamos IP, vai atslēdz A ieraksta uzraudzību šim domēnam un izmanto tikai HTTP pieejamības pārbaudi.

DNS uzraudzība — atklājiet ierakstu izmaiņas un nelikumīgas pārtveršanas

DNS ieraksti, kas mainās bez Jūsu ziņas, ir vai nu konfigurācijas kļūda, vai arī pārtveršana. Abi gadījumi ir bīstami. Uzraugiet tos.

DNS ir pamats – un visvienkāršākā lieta, ko sabojāt

DNS ir zem visu pārējo: katrs tīmekļa pieprasījums, katrs e-pasts, katrs API izsaukums sākas ar DNS uzmeklēšanu. Tas padara klusas DNS ierakstu izmaiņas par vienu no visbiežāk izmantotajiem uzbrukumiem – un vienlaikus par vienu no vieglāk pieļaujamām kļūdām, ko var izdarīt paviršs komandas biedrs. DNS maiņa var novirzīt jūsu domēnu uz pikšķerēšanas lapas kopiju, pārsūtīt pastu caur uzbrucēja serveri, izņemt jūs no meklētāju rezultātiem vai salauzt visu kaudzi ar vienu drukas kļūdu. Lielāko daļu laika DNS kaitējums pat nav ļaunprātīgs; tā ir rutīnas darbība, ko kāds paveica, nevienu nebrīdinot, un tā sabojāja visu, kas atkarīgs no tās tālāk.

DNS monitorings fiksē šīs izmaiņas, veicot jūsu ierakstu momentuzņēmumu katrā pārbaudē un salīdzinot to ar iepriekšējo. Ja kāds uzraudzītais ieraksts ir pievienots vai izdzēsts kopš pēdējās reizes, jūs saņemat brīdinājumu. Vai tā būtu plānota izmaiņa, par ko aizmirsāt brīdināt, konfigurācijas kļūda vai reāls pārņemšanas mēģinājums – uzzināsiet pāris stundu laikā.

Kādi ieraksti tiek uzraudzīti

Katrai HTTP tipa uzraudzībai padziļināta ikdienas pārbaude nolasīs šādus ierakstu tipus:

A un AAAA: IPv4 un IPv6 adreses, uz ko atrisinās hostname. Izmaiņa – satiksme tiek novirzīta citur, apzināti vai tāpēc, ka kāds pārņēma jūsu reģistratoru.
MX: pasta apmainītāji. Jauns MX ieraksts (vai vēl sliktāk – pazudis) nozīmē, ka pasts tiek pārsūtīts citādi. Klusa e-pasta zaudēšana – viens no vissliktākajiem gadījumiem biznesam.
NS: nameserveri. Izmaiņa – kāds ir pārcēlis jūsu DNS zonu uz citu pakalpojumu sniedzēju – spēcīgākā izmaiņa, ko var veikt ar domēnu. NS izmaiņas teju vienmēr ir vai nu plānota migrācija, vai veiksmīgs uzbrukums reģistratoram.
TXT: jebkādi tekstu ieraksti, bieži izmantoti domēna verifikācijai (Google, Microsoft, Stripe u.c.), arī SPF/DKIM/DMARC konfigurācijai.
SPF, DMARC, CAA: īpaši e-pasta drošības un sertifikātu izdošanas ieraksti. Izmaiņa CAA, īpaši, var ļaut uzbrucējam izņemt TLS sertifikātu jūsu domēnam.

Vadības panelī visi aktuālie ieraksti ir redzami izvērstajā monitora skatā, lai uzreiz redzētu, kas šobrīd ir publicēts.

Izmaiņu atklāšana

Monitors uztur A, AAAA, MX un NS ierakstu momentuzņēmumu katram uzraugam. Katras dziļākas pārbaudes laikā pašreizējie ieraksti tiek salīdzināti ar snapshot. Ieraksti, kas pazuduši, tiek atzīmēti kā "izdzēsti", jaunie – kā "pievienoti". Abas saraksta daļas tiek nosūtītas izmaiņu atskaitē.

Ja kāds uzraudzītais ieraksts ir mainījies, tiek izsūtīts brīdinājums uz ieslēgtajiem kanāliem. Paziņojumā norādīts, kāds ieraksta tips ir mainījies un tieši, kas ir pievienots un kas izdzēsts. Nevis "DNS mainīts example.com", bet "MX ieraksts example.com: izdzēsts mail.oldhost.com, pievienots mail-1.attacker.com" – tas uzreiz padara situāciju skaidru.

DNS izmaiņu brīdinājumus var atsevišķi izslēgt no citiem brīdinājumiem, piemēram, ja notiek plānota migrācija, kas ģenerē daudz lieka trokšņa. Izslēdziet, veiciet migrāciju, un pēc stabilizācijas ieslēdziet atpakaļ.

Kāpēc tas nozīmē kļūdas, ko citi rīki nepamana

Lielākā daļa uptime rīku DNS uztver kā instalāciju – tas tiek izmantots, lai atrisinātu URL, un pēc tam aizmirsts. Taču mirklī, kad konkurents (vai uzbrucējs, vai piektdienas "deploy" gremlins) izmaina jūsu DNS, atrisinājums sāk rādīt citu IP, bet tikai-HTTP monitors joprojām rāda zaļu gaismu, jo jaunais IP arī atbild ar 200. Bez DNS līmeņa monitoringa izmaiņas nav pamanāmas, kamēr kāds to nepārbauda manuāli. Tikmēr var būt pazaudētas e-pasta dienas vai pazudušas meklēšanas pozīcijas uz nedēļām.

DNS monitorings noķer arī problēmas pašā DNS piegādātājā. Daži piegādātāji reizēm zaudē vai nomaina ierakstus zonas atjaunošanas laikā; citos reģionos ir lokāli pārrāvumi, kad pieprasījumi no vienas vietas atgriež citus rezultātus kā no citas. Snapshot salīdzināšana atklāj šādas nestabilitātes.

Konfigurēšana

DNS monitorings ir automātisks katram HTTP/atslēgvārdu/API monitoram. Pirmā padziļinātā pārbaude (24h laikā pēc monitora pievienošanas) saglabā bāzes momentuzņēmumu – brīdinājums netiek nosūtīts pirmoreiz, tikai, kad vēlākās pārbaudes atšķiras. Lai ieslēgtu/izslēgtu DNS izmaiņu brīdinājumus, pārslēdziet "Ziņot par DNS izmaiņām" sadaļā Preferences sadaļā Paziņojumi. Izvērstais monitora skats vienmēr parāda pilno DNS pašreizējo stāvokli, tostarp SPF, DMARC un CAA, kas netiek uzraudzīti izmaiņām, bet ir noderīgi periodiskai pārbaudei.

Biežāk uzdotie jautājumi

Kādus DNS ierakstus uzrauga monitors?
Pēc noklusējuma A, AAAA, MX, NS, TXT un CNAME. Monitors katras pārbaudes laikā veic šķīstīto vērtību momentuzņēmumu un brīdina, kad kāds mainās – pievienots, izdzēsts, izmainīts.
Kādēļ uzraudzīt DNS – vai mans DNS piegādātājs nav pietiekami uzticams?
Uzticamība nav problēma – izmaiņas ir. DNS pārņemšana, nejauši atjauninājumi migrāciju laikā, ārējie CDN, kas rotē IP, un uzbrukumi reģistratoru kontiem – viss tas izpaužas kā ierakstu izmaiņas. DNS monitorings atklāj to dažu minūšu, nevis dienu laikā.
Kā monitors tiek galā ar TTL kešošanu?
Vaicājumi tiek sūtīti autoritatīvajiem nameserveriem (nevis jūsu lokālajam resolverim), tāpēc TTL kešs nevar paslēpt izmaiņas. Katrs pārbaudes pieprasījums ir svaigs autoritatīvs vaicājums – ja ieraksts avotā mainīts, monitors to redzēs nākamajā pārbaudē.
Vai varu uzraudzīt DNSSEC validācijas statusu?
Jā. Monitors katrā pārbaudē reģistrē DNSSEC statusu (parakstīts/neparakstīts) un brīdina par izmaiņām. Domēns, kas vakar bija DNSSEC-parakstīts, bet tagad ir neparakstīts, ir drošības incidents, kas jāizmeklē nekavējoties.
Vai es saņemšu kļūdainus brīdinājumus no DNS balansēšanas?
Ja tavs A ieraksts atgriež vairākas mainīgas IP adreses, monitors katrā pārbaudē redzēs "izmaiņas". Lai to nomāktu, konfigurē expected-values, lai tie ietvertu visus iespējamos IP, vai atslēdz A ieraksta uzraudzību šim domēnam un izmanto tikai HTTP pieejamības pārbaudi.

DNS uzraudzība