Ktoré DNS záznamy monitor sleduje?

Štandardne A, AAAA, MX, NS, TXT a CNAME. Monitor vytvára snapshot preložených hodnôt pri každom overení a upozorňuje ťa, keď sa niektorá z nich zmení – pridaná, odstránená, upravená.

Prečo monitorovať DNS – nie je môj DNS poskytovateľ spoľahlivý?

Spoľahlivosť nie je problém – zmena je. Prevzatie DNS, neúmyselné aktualizácie pri migráciách, externé CDN rotujúce IP a hacky registrátorských účtov – všetko sa prejaví ako zmena záznamov. Monitorovanie DNS to zachytí za pár minút namiesto dní.

Ako si monitor poradí s cacheovaním TTL?

Kontroly prebiehajú voči autoritatívnym nameserverom (nie tvojmu lokálnemu resolveru), takže TTL cache nezakrýva zmeny. Každý check robí čerstvý autoritatívny dotaz – ak sa záznam u zdroja zmení, monitor to zistí pri ďalšom checku.

Môžem sledovať stav DNSSEC validácie?

Áno. Monitor zaznamenáva stav DNSSEC (signed/unsigned) pri kontrole a upozorňuje na zmeny. Doména, ktorá včera mala DNSSEC-signed a dnes hlási unsigned, je bezpečnostný incident hodný okamžitého vyšetrenia.

Dostanem falošné poplachy kvôli DNS load balancingu?

Ak tvoj A záznam vracia viaceré rotujúce IP, monitor uvidí "zmenu" pri každej kontrole. Aby si to utlmil, nakonfiguruj očakávané hodnoty tak, aby zahŕňali všetky možné IP, alebo vypni sledovanie A záznamu na tejto doméne a spoľahni sa len na HTTP dostupnosť.

Sledovanie DNS — odhaľte zmeny záznamov a únosy

DNS záznamy, ktoré sa menia bez vášho vedomia, sú buď nesprávnou konfiguráciou, alebo únosom. Oboje je zlé. Sledujte ich.

DNS je základ – a najjednoduchšia vec na pokazené

DNS je základom všetkého: každá webová požiadavka, každý e-mail, každý API dopyt začína DNS vyhľadávaním. To robí tiché zmeny DNS záznamov jedným z najčastejšie zneužívaných útokov – a jednou z najľahších chýb, ktorú môže nedbanlivý člen tímu spraviť. Zmena DNS môže presmerovať tvoju doménu na phishingovú kópiu tvojej stránky, preposlať poštu cez server útočníka, vyradiť ťa z vyhľadávacích výsledkov alebo rozbiť celú infraštruktúru jednoduchým preklepom. Väčšinou škoda na DNS nebýva ani úmyselná; je to rutinná operácia, ktorú niekto vykoná bez oznámenia – a rozbije downstream.

Monitoring DNS zachytáva tieto zmeny tým, že s každým testom vytvorí snapshot tvojich záznamov a porovnáva s predchádzajúcim. Akákoľvek sledovaná zmena alebo odstránenie – dostaneš upozornenie. Či už ide o plánovanú zmenu, o ktorej si zabudol informovať, konfiguračnú chybu alebo skutočné prevzatie – dozvieš sa to v priebehu pár hodín.

Ktoré záznamy sú monitorované

Pre každý HTTP monitor sa pri hĺbkovom dennom overení sťahujú tieto typy záznamov:

A a AAAA: IPv4 a IPv6 adresy, na ktoré sa hostname prekladá. Zmena – prevádzka smeruje inde, či už úmyselne alebo preto, že niekto získal kontrolu nad tvojím registrátorom.
MX: mail exchangery. Nový MX záznam (alebo horšie, chýbajúci) znamená, že pošta je smerovaná inak. Tichá strata e-mailov je jedným z najhorších rizík pre biznis.
NS: nameservery. Zmena znamená, že niekto presunul tvoju DNS zónu k inému poskytovateľovi – najzásadnejšia zmena, akú môžeš s doménou spraviť. Zmeny NS sú skoro vždy buď plánovanou migráciou, alebo výsledkom úspešného útoku na registrátora.
TXT: ľubovoľné textové záznamy, často slúžiace na overovanie domény (Google, Microsoft, Stripe atď.) a pre SPF/DKIM/DMARC.
SPF, DMARC, CAA: dedikované e-mailové bezpečnostné záznamy a pre vydávanie certifikátov. Zmena v CAA môže umožniť útočníkovi získať TLS certifikát pre tvoju doménu.

Dashboard zobrazuje všetky aktuálne záznamy v rozbalenom zobrazení monitora, takže vidíš na prvý pohľad, čo je aktuálne publikované.

Detekcia zmien

Monitor si udržiava snapshot záznamov A, AAAA, MX a NS pre každý monitor zvlášť. Pri každom hĺbkovom overení sú aktuálne záznamy porovnané so snapshotom. Záznamy, ktoré zmizli, sú označené ako „odstránené“, nové ako „pridané“. Obe zoznamy idú do správy o zmenách.

Pokiaľ sa niektorý sledovaný súbor záznamov zmenil, príde alert na zapnuté kanály. Upozornenie pomenúva, ktorý typ záznamu sa zmenil a presne vymenúva, čo bolo pridané a čo odstránené. Namiesto „DNS zmenené pre example.com“ dostaneš „MX pre example.com: odstránený mail.oldhost.com, pridaný mail-1.attacker.com“ – takže situácia je okamžite jasná.

Upozornenia na zmeny DNS môžeš vypnúť nezávisle od iných notifikácií, napríklad pri plánovanej migrácii, ktorá vytvára veľa „šumu“. Vypni, vykonaj migráciu, po stabilizácii zas zapni.

Prečo to zachytí veci, ktoré iné nástroje prehliadajú

Väčšina uptime nástrojov pristupuje k DNS ako k inštalácii – použije ho na rozriešenie URL a zabudne. Ale v okamihu, keď konkurent (alebo útočník, alebo piatkový deploy gremlin) zmení tvoj DNS, to rozriešenie začne smerovať na iné IP, a len-HTTP monitor stále hlási „zeleno“, lebo nové IP tiež vracia 200. Bez monitoringu na DNS úrovni je zmena neviditeľná, kým ju niekto ručne nepreverí. Potom môžu chýbať dni e-mailov alebo týždne SEO pozícií.

DNS monitoring tiež zachytáva problémy priamo u DNS poskytovateľa. Niektorí poskytovatelia občas pri aktualizáciách zóny stratia alebo poprehadzujú záznamy; iní majú regionálne výpadky, kde odpovede zo jednej lokality vracajú iné výsledky než z druhej. Porovnanie snapshotov tieto nestability odhalí.

Konfigurácia

DNS monitoring je automatický pre každý HTTP/keyword/API monitor. Prvé hĺbkové overenie (do 24h po pridaní monitora) uloží základný snapshot – upozornenie nepríde pri prvom krát, len ak sa ďalšie kontroly budú líšiť. Pre zapnutie/vypnutie DNS notifikácií prepni „Upozorni na zmeny DNS“ v časti Preferencie v Notifikáciách. Rozbalené zobrazenie monitora vždy ukazuje celý aktuálny stav DNS, vrátane SPF, DMARC a CAA, ktoré sa síce nezaznamenávajú na zmeny, ale sú užitočné na pravidelnú kontrolu.

Najčastejšie otázky

Ktoré DNS záznamy monitor sleduje?
Štandardne A, AAAA, MX, NS, TXT a CNAME. Monitor vytvára snapshot preložených hodnôt pri každom overení a upozorňuje ťa, keď sa niektorá z nich zmení – pridaná, odstránená, upravená.
Prečo monitorovať DNS – nie je môj DNS poskytovateľ spoľahlivý?
Spoľahlivosť nie je problém – zmena je. Prevzatie DNS, neúmyselné aktualizácie pri migráciách, externé CDN rotujúce IP a hacky registrátorských účtov – všetko sa prejaví ako zmena záznamov. Monitorovanie DNS to zachytí za pár minút namiesto dní.
Ako si monitor poradí s cacheovaním TTL?
Kontroly prebiehajú voči autoritatívnym nameserverom (nie tvojmu lokálnemu resolveru), takže TTL cache nezakrýva zmeny. Každý check robí čerstvý autoritatívny dotaz – ak sa záznam u zdroja zmení, monitor to zistí pri ďalšom checku.
Môžem sledovať stav DNSSEC validácie?
Áno. Monitor zaznamenáva stav DNSSEC (signed/unsigned) pri kontrole a upozorňuje na zmeny. Doména, ktorá včera mala DNSSEC-signed a dnes hlási unsigned, je bezpečnostný incident hodný okamžitého vyšetrenia.
Dostanem falošné poplachy kvôli DNS load balancingu?
Ak tvoj A záznam vracia viaceré rotujúce IP, monitor uvidí „zmenu“ pri každej kontrole. Aby si to utlmil, nakonfiguruj očakávané hodnoty tak, aby zahŕňali všetky možné IP, alebo vypni sledovanie A záznamu na tejto doméne a spoľahni sa len na HTTP dostupnosť.

Sledovanie DNS