Jakie rekordy DNS śledzi monitor?

Domyślnie A, AAAA, MX, NS, TXT i CNAME. Monitor robi snapshot rozwiązanych wartości przy każdym checku i alertuje gdy któraś się zmieni — dodana, usunięta, zmodyfikowana.

Po co monitorować DNS — czy mój dostawca DNS nie jest niezawodny?

Niezawodność nie jest problemem — zmiana jest. Przejęcia DNS, przypadkowe aktualizacje przy migracjach, zewnętrzne CDN-y rotujące IP i włamania na konta rejestratorów — wszystko manifestuje się jako zmiana rekordów. Monitoring DNS wyłapuje to w ciągu minut zamiast dni.

Jak monitor radzi sobie z cacheowaniem TTL?

Rozwiązania są robione przeciwko autorytatywnym nameserverom (nie Twojemu lokalnemu resolverowi), więc TTL caching nie ukrywa zmian. Każdy check robi świeże zapytanie autorytatywne — jeśli rekord u źródła się zmienił, monitor zobaczy to przy następnym checku.

Czy mogę monitorować status walidacji DNSSEC?

Tak. Monitor rejestruje status DNSSEC (signed / unsigned) na check i alertuje przy zmianach. Domena która wczoraj była DNSSEC-signed a teraz raportuje unsigned to incydent bezpieczeństwa wart natychmiastowego zbadania.

Czy dostanę false positives od DNS load balancing?

Jeśli Twój rekord A zwraca wiele rotujących IP, monitor widzi "zmianę" przy każdym checku. Żeby to wytłumić, skonfiguruj expected-values żeby zawierały wszystkie możliwe IP, lub wyłącz monitoring rekordu A na tej domenie i polegaj tylko na checku HTTP dla dostępności.

Monitoring DNS — wykrywaj zmiany i hijack

Rekordy DNS zmieniające się bez Twojej wiedzy to albo błąd konfiguracji, albo hijack. Oba złe. Pilnuj ich.

DNS to fundament - i najłatwiejsza rzecz do zepsucia

DNS siedzi pod wszystkim innym: każdy request webowy, każdy email, każde wywołanie API zaczyna się od lookupu DNS. Co czyni ciche zmiany rekordów DNS jednym z najbardziej najczęściej wykorzystywanych ataków - i jednym z najłatwiejszych błędów, które niedbały członek zespołu może popełnić. Zmiana DNS może przekierować Twoją domenę do phishingowej kopii Twojej strony, zrouter pocztę przez serwer atakującego, wyrzucić Cię z wyników wyszukiwania albo zepsuć cały stack literówką. Większość czasu szkoda DNS-owa nie jest nawet złośliwa; to rutynowa zmiana ops, którą ktoś zrobił nikomu nie mówiąc, a która zepsuła downstream.

Monitoring DNS wyłapuje te zmiany robiąc snapshot Twoich rekordów przy każdym sprawdzeniu i porównując z poprzednim. Jeśli cokolwiek śledzonego zostało dodane lub usunięte od ostatniego razu, dostajesz alert. Czy to zaplanowana zmiana, o której zapomniałeś poinformować, błąd konfiguracji, czy realny hijack - dowiesz się w kilka godzin.

Jakie rekordy są monitorowane

Dla każdego monitora typu HTTP głębsze codzienne sprawdzenie pobiera te typy rekordów:

A i AAAA: adresy IPv4 i IPv6, na które rozwiązuje się hostname. Zmiana - ruch idzie gdzie indziej, celowo lub bo ktoś przejął Twojego rejestratora.
MX: mail exchangers. Nowy rekord MX (lub gorzej, brakujący) znaczy, że poczta zaczęła się routować inaczej. Cicha utrata maili to jeden z najgorszych worst-case dla biznesu.
NS: nameservery. Zmiana - ktoś przeniósł Twoją strefę DNS do innego dostawcy - najpotężniejsza zmiana, jaką można zrobić domenie. Zmiany NS prawie zawsze to albo zaplanowana migracja, albo udany atak na rejestratora.
TXT: dowolne rekordy tekstowe, często używane do weryfikacji domeny (Google, Microsoft, Stripe itd.) i do SPF/DKIM/DMARC.
SPF, DMARC, CAA: dedykowane rekordy bezpieczeństwa email i wystawiania certyfikatów. Zmiana w CAA, w szczególności, może pozwolić atakującemu wyciągnąć cert TLS dla Twojej domeny.

Dashboard pokazuje wszystkie aktualne rekordy w widoku rozwiniętym monitora, więc widzisz na pierwszy rzut oka, co jest aktualnie opublikowane.

Wykrywanie zmian

Monitor utrzymuje snapshot rekordów A, AAAA, MX i NS per monitor. Przy każdym głębszym sprawdzeniu aktualne rekordy są porównywane ze snapshotem. Rekordy, które zniknęły, są oznaczane jako "usunięte", nowe jako "dodane". Obie listy idą do raportu zmian.

Jeśli jakiś śledzony zestaw rekordów się zmienił, leci alert na włączone kanały. Powiadomienie nazywa, który typ rekordu się zmienił, i wymienia dokładnie, co dodano i co usunięto. Zamiast "DNS zmieniony dla example.com" dostajesz "MX dla example.com: usunięto mail.oldhost.com, dodano mail-1.attacker.com" - co czyni sytuację natychmiast czytelną.

Można wyłączyć alerty zmiany DNS niezależnie od innych alertów, na wypadek planowanej migracji generującej dużo szumu. Wyłącz, zrób migrację, włącz z powrotem po stabilizacji.

Czemu to łapie rzeczy, które inne narzędzia przegapiają

Większość narzędzi uptime traktuje DNS jak instalację - używa go do rozwiązania URL i zapomina. Ale w sekundzie, gdy konkurent (lub atakujący, lub piątkowy gremlin deploy'owy) zmienia Twój DNS, to rozwiązanie zaczyna wskazywać na inne IP, a monitor tylko-HTTP wciąż raportuje na zielono, bo nowe IP też zwraca 200. Bez monitoringu na poziomie DNS zmiana jest niewidzialna, dopóki ktoś nie sprawdzi ręcznie. Wtedy mogą brakować dni maili lub tygodnie pozycji wyszukiwania mogły się ulotnić.

Monitoring DNS łapie też problemy z samym dostawcą DNS. Niektórzy dostawcy okazjonalnie gubią lub przestawiają rekordy podczas updatów strefy; niektórzy mają regionalne awarie, gdzie zapytania z jednej lokalizacji zwracają inne wyniki niż z drugiej. Porównanie snapshotów wyciąga te niestabilności.

Konfiguracja

Monitoring DNS jest automatyczny dla każdego monitora HTTP/keyword/API. Pierwsze głębsze sprawdzenie (w ciągu 24h od dodania monitora) zapisuje bazowy snapshot - alert nie leci za pierwszym razem, tylko gdy kolejne sprawdzenia się różnią. Aby włączyć/wyłączyć alerty zmiany DNS, przełącz "Powiadom o zmianach DNS" w sekcji Preferencje w Powiadomieniach. Widok rozwinięty dowolnego monitora zawsze pokazuje pełny aktualny stan DNS, w tym SPF, DMARC i CAA, które nie są śledzone pod zmianą, ale są użyteczne do okresowego przeglądu.

Najczęściej zadawane pytania

Jakie rekordy DNS śledzi monitor?
Domyślnie A, AAAA, MX, NS, TXT i CNAME. Monitor robi snapshot rozwiązanych wartości przy każdym checku i alertuje gdy któraś się zmieni — dodana, usunięta, zmodyfikowana.
Po co monitorować DNS — czy mój dostawca DNS nie jest niezawodny?
Niezawodność nie jest problemem — zmiana jest. Przejęcia DNS, przypadkowe aktualizacje przy migracjach, zewnętrzne CDN-y rotujące IP i włamania na konta rejestratorów — wszystko manifestuje się jako zmiana rekordów. Monitoring DNS wyłapuje to w ciągu minut zamiast dni.
Jak monitor radzi sobie z cacheowaniem TTL?
Rozwiązania są robione przeciwko autorytatywnym nameserverom (nie Twojemu lokalnemu resolverowi), więc TTL caching nie ukrywa zmian. Każdy check robi świeże zapytanie autorytatywne — jeśli rekord u źródła się zmienił, monitor zobaczy to przy następnym checku.
Czy mogę monitorować status walidacji DNSSEC?
Tak. Monitor rejestruje status DNSSEC (signed / unsigned) na check i alertuje przy zmianach. Domena która wczoraj była DNSSEC-signed a teraz raportuje unsigned to incydent bezpieczeństwa wart natychmiastowego zbadania.
Czy dostanę false positives od DNS load balancing?
Jeśli Twój rekord A zwraca wiele rotujących IP, monitor widzi "zmianę" przy każdym checku. Żeby to wytłumić, skonfiguruj expected-values żeby zawierały wszystkie możliwe IP, lub wyłącz monitoring rekordu A na tej domenie i polegaj tylko na checku HTTP dla dostępności.

Monitoring DNS