Welke DNS-records monitort de monitor?

Standaard A, AAAA, MX, NS, TXT en CNAME. De monitor maakt bij elke check een snapshot van de gevonden waarden en waarschuwt als er iets verandert — toegevoegd, verwijderd of aangepast.

Waarom DNS monitoren – is mijn DNS-provider niet betrouwbaar?

De betrouwbaarheid is niet het punt – wijzigingen wel. DNS-overnames, per ongeluk gewijzigde zones bij migraties, externe CDN's die IP's wisselen en aanvallen op je registraraccount – ze uiten zich allemaal als wijziging van records. DNS-monitoring pikt dit binnen enkele minuten op, in plaats van dagen.

Hoe gaat de monitor om met TTL-caching?

De queries worden direct bij de autoritatieve nameservers gedaan (niet bij jouw lokale resolver), dus TTL-caching verbergt geen wijzigingen. Elke check doet een verse autoritatieve query – als het record bij de bron verandert, ziet de monitor dit bij de volgende check.

Kan ik de status van DNSSEC-validatie monitoren?

Ja. De monitor registreert per check de status van DNSSEC (ondertekend/onondertekend) en geeft een alert bij wijzigingen. Een domein dat gisteren nog ondertekend was en nu onondertekend rapporteert, is een beveiligingsincident dat direct onderzocht moet worden.

Krijg ik valse meldingen door DNS load balancing?

Als je A-record meerdere roterende IP's retourneert, zal de monitor bij elke check een "wijziging" zien. Om dit te onderdrukken, stel je expected-values in met alle mogelijke IP's, of schakel je A-record monitoring voor dat domein uit en vertrouw je voor beschikbaarheid alleen op de HTTP-check.

DNS-monitoring — detecteer recordwijzigingen en kapingen

DNS-records die zonder uw medeweten veranderen zijn een foutieve configuratie of een kaping. Beide situaties zijn ongunstig. Houd ze in de gaten.

DNS is de fundering – en het makkelijkste om te verpesten

DNS zit onder alles: elk webverzoek, elke e-mail, elke API-aanroep begint met een DNS-lookup. Dat maakt stille wijzigingen in DNS-records tot een van de meest voorkomende aanvalsvectoren – en een van de makkelijkste fouten die een onzorgvuldig teamlid kan maken. Een DNS-wijziging kan je domein naar een phishingkopie van je site leiden, mail via de server van een aanvaller routeren, je uit zoekresultaten gooien of je hele stack breken door een typfout. Meestal is DNS-schade niet eens kwaadaardig; het is een routine-opswijziging die iemand ongemerkt heeft doorgevoerd, wat downstream problemen veroorzaakt.

DNS-monitoring detecteert deze wijzigingen door bij elke check een momentopname van je records te maken en die te vergelijken met de vorige. Als er iets gevolgd wordt dat is toegevoegd of verwijderd sinds de laatste keer, krijg je een alert. Of het nu een geplande wijziging is waarvan je vergeten bent te melden, een configuratiefout, of een echte aanval – je weet het binnen enkele uren.

Welke records worden gemonitord

Voor elke HTTP-monitor wordt dagelijks een dieptecontrole gedaan voor deze type records:

A en AAAA: IPv4- en IPv6-adressen waar de hostname naar verwijst. Wijziging – verkeer gaat ergens anders heen, met opzet of omdat iemand je registrar heeft overgenomen.
MX: mail exchangers. Een nieuw MX-record (of erger, eentje die ontbreekt) betekent dat je mailverkeer anders wordt gerouteerd. Het stil kwijtraken van e-mails is een van de grootste nachtmerries voor een bedrijf.
NS: nameservers. Wijziging – iemand heeft je DNS-zone naar een andere provider verhuisd – de meest ingrijpende wijziging die je aan een domein kunt doen. NS-wijzigingen zijn bijna altijd óf een geplande migratie óf een geslaagde aanval op je registrar.
TXT: alle tekstrecords, vaak gebruikt voor domeinvalidatie (Google, Microsoft, Stripe, enz.) en voor SPF/DKIM/DMARC.
SPF, DMARC, CAA: specifieke beveiligingsrecords voor e-mail en certificaatuitgifte. Wijziging in CAA kan een aanvaller bijvoorbeeld in staat stellen om een TLS-certificaat voor je domein te verkrijgen.

Het dashboard toont alle actuele records in het uitklapbare overzicht van de monitor, zodat je direct kunt zien wat er momenteel gepubliceerd staat.

Detectie van wijzigingen

De monitor houdt een momentopname bij van de A-, AAAA-, MX- en NS-records per monitor. Bij elke dieptecontrole worden de actuele records vergeleken met de snapshot. Records die zijn verdwenen worden als "verwijderd" gemarkeerd, nieuwe als "toegevoegd". Beide lijsten komen in het wijzigingsrapport.

Als een van de gemonitorde sets van records wijzigt, ontvang je een alert via de actieve kanalen. De notificatie benoemt welk type record is gewijzigd en geeft exact aan wat is toegevoegd en wat verwijderd. In plaats van "DNS gewijzigd voor example.com" krijg je bijvoorbeeld "MX voor example.com: mail.oldhost.com verwijderd, mail-1.attacker.com toegevoegd" – zodat je direct snapt wat er aan de hand is.

Je kunt DNS-wijzigingsalerts los van andere alerts in- of uitschakelen, bijvoorbeeld bij een geplande migratie die veel ruis oplevert. Schakel uit, migreer, en zet na stabilisatie terug aan.

Waarom dit problemen detecteert die andere tools missen

De meeste uptime-tools behandelen DNS als installatie – ze gebruiken het om een URL op te lossen en vergeten het daarna. Maar op het moment dat een concurrent (of een aanvaller, of een vrijdagmiddag deploy-gremlin) je DNS wijzigt, wijst de resolutie naar een ander IP, en een HTTP-only monitor blijft groen rapporteren omdat het nieuwe IP ook een 200 geeft. Zonder monitoring op DNS-niveau blijft de wijziging onzichtbaar tot iemand handmatig controleert. Tegen die tijd kun je dagen aan e-mails kwijt zijn of is je zoekpositie wekenlang weg.

DNS-monitoring pikt ook problemen bij je DNS-provider zelf op. Sommige providers verliezen of herschikken af en toe records bij zone-updates; anderen hebben regionale storingen waarbij queries vanaf de ene locatie andere antwoorden geven dan vanaf een andere. Door snapshots te vergelijken, detecteer je deze instabiliteit.

Configuratie

DNS-monitoring is automatisch voor elke HTTP/keyword/API-monitor. De eerste dieptecontrole (binnen 24 uur na toevoegen van de monitor) slaat de basis-snapshot op – de eerste keer ontvang je geen alert; die komen pas bij een afwijkende vervolgscheck. Wil je DNS-wijzigingsalerts in- of uitschakelen, zet dan "Meld DNS-wijzigingen" aan of uit in de sectie Voorkeuren onder Notificaties. Het uitklapbare overzicht van elke monitor toont altijd de huidige volledige DNS-status, inclusief SPF, DMARC en CAA, die niet actief op wijzigingen worden gevolgd, maar wel nuttig zijn bij periodieke controle.

Veelgestelde vragen

Welke DNS-records monitort de monitor?
Standaard A, AAAA, MX, NS, TXT en CNAME. De monitor maakt bij elke check een snapshot van de gevonden waarden en waarschuwt als er iets verandert — toegevoegd, verwijderd of aangepast.
Waarom DNS monitoren – is mijn DNS-provider niet betrouwbaar?
De betrouwbaarheid is niet het punt – wijzigingen wel. DNS-overnames, per ongeluk gewijzigde zones bij migraties, externe CDN's die IP's wisselen en aanvallen op je registraraccount – ze uiten zich allemaal als wijziging van records. DNS-monitoring pikt dit binnen enkele minuten op, in plaats van dagen.
Hoe gaat de monitor om met TTL-caching?
De queries worden direct bij de autoritatieve nameservers gedaan (niet bij jouw lokale resolver), dus TTL-caching verbergt geen wijzigingen. Elke check doet een verse autoritatieve query – als het record bij de bron verandert, ziet de monitor dit bij de volgende check.
Kan ik de status van DNSSEC-validatie monitoren?
Ja. De monitor registreert per check de status van DNSSEC (ondertekend/onondertekend) en geeft een alert bij wijzigingen. Een domein dat gisteren nog ondertekend was en nu onondertekend rapporteert, is een beveiligingsincident dat direct onderzocht moet worden.
Krijg ik valse meldingen door DNS load balancing?
Als je A-record meerdere roterende IP's retourneert, zal de monitor bij elke check een "wijziging" zien. Om dit te onderdrukken, stel je expected-values in met alle mogelijke IP's, of schakel je A-record monitoring voor dat domein uit en vertrouw je voor beschikbaarheid alleen op de HTTP-check.

DNS-monitoring