DNS-overvåking

DNS er fundamentet – og det enkleste å ødelegge

DNS ligger i bunn for alt annet: hver eneste web-request, hver e-post, hvert API-kall starter med et DNS-oppslag. Dette gjør stille endringer av DNS-poster til en av de mest brukte angrepstypene – og en av de letteste feilene et uforsiktig teammedlem kan gjøre. Å endre DNS kan videresende domenet ditt til en phishing-kopi av nettsiden din, rute e-posten din gjennom angriperens server, kaste deg ut av søkeresultatene eller ødelegge hele stacken på grunn av en skrivefeil. Som oftest er ikke DNS-skader engang ondsinnede; det er en rutinemessig ops-endring som noen har gjort uten å si fra, og som har ødelagt for alt videre nedstrøms.

DNS-overvåkning fanger opp slike endringer ved å ta et snapshot av postene dine ved hver sjekk og sammenligne det med forrige. Hvis noe av det som følges, er lagt til eller fjernet siden sist, får du varsel. Enten det er en planlagt endring du har glemt å informere om, en konfigurasjonsfeil eller et ekte kapring – du får vite om det i løpet av noen timer.

Hvilke poster overvåkes

For hver HTTP-monitor gjør en grundigere daglig sjekk av disse posttypene:

• A og AAAA: IPv4- og IPv6-adressene som hostnavnet ditt løses til. Endring – trafikk går et annet sted, enten med vilje eller fordi noen har tatt over domeneregistratoren din.
• MX: mail exchangers. En ny MX-post (eller verre, en som forsvinner) betyr at e-poster rutes på nye måter. Taus tap av e-post er noe av det verste som kan skje for enhver virksomhet.
• NS: navneservere. Endring – noen har flyttet DNS-sonen din til en annen leverandør – den kraftigste endringen man kan gjøre for et domene. NS-endringer er nesten alltid enten en planlagt migrering eller et vellykket angrep på domeneregistratoren.
• TXT: alle tekst-poster, ofte brukt for domeneverifisering (Google, Microsoft, Stripe osv.) og for SPF/DKIM/DMARC.
• SPF, DMARC, CAA: dedikerte sikkerhetsposter for e-post og sertifikatutstedelse. Endringer i CAA kan spesielt gi en angriper mulighet til å utstede et TLS-sertifikat for domenet ditt.

Dashbordet viser alle gjeldende poster i utvidet monitorvisning, slik at du med et blikk ser hva som er publisert akkurat nå.

Oppdaging av endringer

Monitoren holder på et snapshot av A, AAAA, MX og NS-poster per monitor. Ved hver dypere sjekk sammenlignes de nåværende postene med snapshotet. Poster som har forsvunnet, merkes som "fjernet", nye som "lagt til". Begge listene tas med i endringsrapporten.

Hvis et overvåket sett med poster har endret seg, sendes det varsel til de valgte kanalene. Varslingen sier hvilken posttype som er endret, og lister nøyaktig opp hva som er lagt til og fjernet. I stedet for "DNS endret for example.com" får du "MX for example.com: fjernet mail.oldhost.com, lagt til mail-1.attacker.com" – slik at situasjonen blir tydelig med en gang.

Du kan skru av varsler om DNS-endringer uavhengig av andre varsler, for eksempel ved en planlagt migrering som gir mye støy. Skru av, gjør migrasjonen, og skru på igjen etter at alt er stabilt.

Derfor fanger dette opp ting andre verktøy overser

De fleste uptime-verktøy behandler DNS som installasjon – bruker det til å løse en URL og glemmer det så. Men i det øyeblikket en konkurrent (eller en angriper, eller en uheldig deploy på fredag) endrer DNS-en din, vil oppløsningen begynne å peke på en annen IP, og en ren HTTP-monitor rapporterer alt fortsatt grønt, fordi den nye IP-adressen også returnerer 200. Uten DNS-nivåovervåkning er endringen usynlig helt til noen sjekker manuelt. Da kan både e-post ha vært borte i flere dager og søkemotorrangeringer være tapt i uker.

DNS-overvåkning fanger også problemer med selve DNS-leverandøren. Noen leverandører mister eller flytter poster under soneoppdateringer; andre kan ha regionale feil, hvor forespørsler fra ulike steder gir ulike svar. Sammenligning av snapshots avdekker denne typen ustabilitet.

Oppsett

DNS-overvåkning skjer automatisk for hver HTTP/keyword/API-monitor. Første dypere sjekk (innen 24 timer etter at monitoren er lagt til) lagrer et grunnsnapshop – du får ikke varsel første gang, bare om noe endrer seg på neste sjekk. For å slå av/på varsler om DNS-endringer, bruk "Varsle om DNS-endringer" under Preferanser i Varslingsinnstillingene. Utvidet visning for hver monitor viser alltid den fullstendige gjeldende DNS-tilstanden, inkludert SPF, DMARC og CAA, som ikke overvåkes for endring, men er nyttig for periodisk gjennomgang.

Ofte stilte spørsmål

• Hvilke DNS-poster overvåker monitoren?

  Som standard: A, AAAA, MX, NS, TXT og CNAME. Monitoren tar snapshot av løste verdier ved hver sjekk og gir varsel hvis noe endres – lagt til, fjernet eller modifisert.

• Hvorfor overvåke DNS – er ikke min DNS-leverandør pålitelig?

  Pålitelighet er ikke problemet – endring er det. DNS-kapringer, utilsiktede oppdateringer under migrering, eksterne CDN-er som rullerer IP-adresser og innbrudd hos registratorer – alt dette vises som endringer i postene. DNS-overvåkning oppdager dette i løpet av minutter i stedet for dager.

• Hvordan håndterer monitoren TTL-caching?

  Oppslag gjøres mot autoritative navneservere (ikke din lokale resolver), så TTL-caching skjuler ikke endringer. Hver sjekk gjør en fersk forespørsel mot kilden – hvis posten har endret seg der, fanger monitoren det i neste sjekk.

• Kan jeg overvåke statusen for DNSSEC-validering?

  Ja. Monitoren registrerer status for DNSSEC (signed / unsigned) ved hver sjekk og gir varsel hvis det endres. Et domene som i går var DNSSEC-signert, men nå rapporterer unsigned, er et sikkerhetsavvik som må undersøkes umiddelbart.

• Får jeg falske positiver fra DNS load balancing?

  Hvis A-posten din returnerer flere roterende IP-adresser, vil monitoren se "endringer" ved hver sjekk. For å unngå dette, legg inn alle mulige IP-adresser som expected-values, eller deaktiver overvåkning av A-posten på dette domenet og stol kun på HTTP-sjekken for tilgjengelighet.