Katere DNS zapise spremlja nadzor?

Privzeto A, AAAA, MX, NS, TXT in CNAME. Monitor naredi posnetek razrešenih vrednosti ob vsakem preverjanju in opozori, če se katerakoli spremeni — dodana, odstranjena ali spremenjena.

Zakaj spremljati DNS — ali moj DNS ponudnik ni zanesljiv?

Zanesljivost ni problem – sprememba je. Prevzemi DNS, nenamerne posodobitve pri migracijah, zunanji CDN-ji, ki rotirajo IP-je, in vdori v registrarje – vse to se pokaže kot sprememba zapisov. DNS monitoring to zazna v nekaj minutah namesto v dneh.

Kako se nadzor spoprijema s predpomnjenjem TTL?

Poizvedbe se izvajajo neposredno na avtoritativne strežnike imen (ne na tvoj lokalni resolver), zato predpomnjenje TTL ne skrije sprememb. Vsaka poizvedba je sveža avtoritativna – če se zapis pri viru spremeni, ga bo monitor zaznal pri naslednjem preverjanju.

Ali lahko spremljam status validacije DNSSEC?

Da. Monitor beleži status DNSSEC (podpisan / nepodpisan) pri vsakem preverjanju in opozori ob spremembah. Domena, ki je bila včeraj DNSSEC-podpisana in danes poroča kot nepodpisana, je varnostni incident, vreden takojšnje preiskave.

Ali bom dobil lažne pozitivne zaradi DNS load balancinga?

Če tvoj A zapis vrača več rotirajočih IP-jev, monitor zazna "spremembo" ob vsakem preverjanju. Da to utišaš, nastavi expected-values, da vključujejo vse možne IP-je, ali izključi nadzor A zapisa za to domeno in se zanašaj samo na HTTP preverjanje dosegljivosti.

Nadzor DNS — odkrijte spremembe zapisov in zlorabe

DNS zapisi, ki se spremenijo brez vašega vedenja, pomenijo napačno konfiguracijo ali zlorabo. Oboje je slabo. Spremljajte jih.

DNS je temelj – in najlažja stvar za pokvariti

DNS leži pod vsem: vsaka spletna zahteva, vsak email, vsak klic API se začne z iskanjem DNS. Zato so tihe spremembe DNS zapisov ena najbolj pogostih metod napadov – in ena najlažjih napak, ki jih lahko naredi nepazljiv član ekipe. Sprememba DNS lahko preusmeri tvojo domeno na lažno stran za phishing, usmeri tvojo pošto preko strežnika napadalca, te odstrani iz iskalnih rezultatov ali pokvari celoten stack zaradi tipkarske napake. Večinoma poškodbe zaradi DNS sploh niso zlonamerne; gre za rutinske spremembe v operacijah, ki jih nekdo izvede ne da bi komu povedal, a s tem pokvari delovanje naprej po verigi.

DNS nadzor zazna te spremembe tako, da naredi posnetek tvojih zapisov ob vsakem preverjanju in jih primerja s prejšnjimi. Če je bilo karkoli spremljanega dodano ali odstranjeno v primerjavi s prejšnjič, prejmeš opozorilo. Ali gre za načrtovano spremembo, na katero si pozabil opozoriti, napako v konfiguraciji ali resničen napad – izveš v nekaj urah.

Kateri zapisi so spremljani

Za vsak HTTP nadzor se ob poglobljenem dnevnem preverjanju pridobijo naslednje vrste zapisov:

A in AAAA: IPv4 in IPv6 naslovi, na katere se razreši ime gostitelja. Sprememba – promet gre drugam, namenoma ali zato, ker je nekdo prevzel tvojega registrarja.
MX: poštni strežniki. Nov MX zapis (ali še slabše – manjkajoči) pomeni, da se je e-pošta začela usmerjati drugače. Tiha izguba emailov je ena najhujših stvari za podjetje.
NS: strežniki imen. Sprememba – nekdo je tvojo DNS cono premaknil k drugemu ponudniku – to je najmočnejša sprememba, ki jo lahko narekuješ domeni. NS spremembe so skoraj vedno ali načrtovana migracija ali uspešen napad na registrarja.
TXT: poljubni tekstovni zapisi, pogosto uporabljeni za preverjanje domene (Google, Microsoft, Stripe itd.) ter za SPF/DKIM/DMARC.
SPF, DMARC, CAA: namenski varnostni zapisi za email in izdajo certifikatov. Sprememba v CAA lahko posebej dovoljuje napadalcu, da izda TLS certifikat za tvojo domeno.

Nadzorna plošča prikazuje vse aktualne zapise v razširjenem pogledu nadzora, tako da takoj vidiš, kaj je trenutno objavljeno.

Zaznavanje sprememb

Nadzor shranjuje posnetek zapisov A, AAAA, MX in NS za vsak nadzor. Pri vsakem poglobljenem preverjanju se trenutni zapisi primerjajo s posnetkom. Zapisi, ki so izginili, so označeni kot "odstranjeni", novi kot "dodani". Obe seznam gresta v poročilo sprememb.

Če se katerikoli spremljan sklop zapisov spremeni, se pošlje opozorilo na omogočene kanale. Obvestilo ti pove, kateri tip zapisa se je spremenil, in natančno navede, kaj je bilo dodano in kaj odstranjeno. Namesto "DNS spremenjen za example.com" dobiš "MX za example.com: odstranjen mail.oldhost.com, dodan mail-1.attacker.com" – kar naredi situacijo takoj razumljivo.

Lahko izklopiš DNS opozorila neodvisno od drugih opozoril, v primeru načrtovane migracije, ki bi povzročila veliko šuma. Izklopi, izpelji migracijo, nato spet vključi opozorila po stabilizaciji.

Zakaj zazna stvari, ki jih druga orodja spregledajo

Večina uptime orodij obravnava DNS kot namestitev – uporabi ga za razreševanje URL-ja in pozabi nanj. Toda v trenutku, ko konkurent (ali napadalec, ali petkov deploy gremlin) spremeni tvoj DNS, začne razrešitev kazati na drug IP, monitor samo za HTTP pa še vedno kaže zeleno, ker tudi novi IP vrača 200. Brez nadzora na ravni DNS je sprememba nevidna, dokler nekdo ne preveri ročno. Takrat je lahko že izginilo nekaj dni e-pošte ali tednov pozicij v iskalnikih.

DNS monitoring zazna tudi težave pri samem DNS ponudniku. Nekateri ponudniki občasno izgubijo ali premaknejo zapise med posodabljanjem DNS cone; nekateri imajo regionalne izpade, kjer poizvedbe z ene lokacije vračajo drugačne rezultate kot z druge. Primerjava posnetkov izpostavi takšne nestabilnosti.

Konfiguracija

DNS monitoring je samodejen za vsak HTTP/keyword/API monitor. Prvo poglobljeno preverjanje (v roku 24h po dodajanju monitorja) shrani osnovni posnetek – ob prvem preverjanju še ne pošlje opozorila, opozorilo pride šele, ko je pri naslednjih preverjanjih sprememba. Če želiš vklopiti/izklopiti DNS opozorila o spremembi, preklopi "Obvesti o spremembah DNS" v razdelku Nastavitve v Obvestilih. Razširjen pogled kateregakoli monitorja vedno prikazuje celotno trenutno stanje DNS, vključno z SPF, DMARC in CAA, ki jih sicer ne spremlja za spremembe, a so uporabni za občasni pregled.

Pogosta vprašanja

Katere DNS zapise spremlja nadzor?
Privzeto A, AAAA, MX, NS, TXT in CNAME. Monitor naredi posnetek razrešenih vrednosti ob vsakem preverjanju in opozori, če se katerakoli spremeni — dodana, odstranjena ali spremenjena.
Zakaj spremljati DNS — ali moj DNS ponudnik ni zanesljiv?
Zanesljivost ni problem – sprememba je. Prevzemi DNS, nenamerne posodobitve pri migracijah, zunanji CDN-ji, ki rotirajo IP-je, in vdori v registrarje – vse to se pokaže kot sprememba zapisov. DNS monitoring to zazna v nekaj minutah namesto v dneh.
Kako se nadzor spoprijema s predpomnjenjem TTL?
Poizvedbe se izvajajo neposredno na avtoritativne strežnike imen (ne na tvoj lokalni resolver), zato predpomnjenje TTL ne skrije sprememb. Vsaka poizvedba je sveža avtoritativna – če se zapis pri viru spremeni, ga bo monitor zaznal pri naslednjem preverjanju.
Ali lahko spremljam status validacije DNSSEC?
Da. Monitor beleži status DNSSEC (podpisan / nepodpisan) pri vsakem preverjanju in opozori ob spremembah. Domena, ki je bila včeraj DNSSEC-podpisana in danes poroča kot nepodpisana, je varnostni incident, vreden takojšnje preiskave.
Ali bom dobil lažne pozitivne zaradi DNS load balancinga?
Če tvoj A zapis vrača več rotirajočih IP-jev, monitor zazna "spremembo" ob vsakem preverjanju. Da to utišaš, nastavi expected-values, da vključujejo vse možne IP-je, ali izključi nadzor A zapisa za to domeno in se zanašaj samo na HTTP preverjanje dosegljivosti.

Nadzor DNS