Vilka DNS-poster övervakar monitorn?

Som standard A, AAAA, MX, NS, TXT och CNAME. Monitorn sparar en ögonblicksbild av lösta värden vid varje kontroll och varnar när någon ändras – tillagd, borttagen eller modifierad.

Varför övervaka DNS – är inte min DNS-leverantör pålitlig?

Pålitligheten är inte problemet – förändringar är det. DNS-kapningar, oavsiktliga uppdateringar vid migreringar, externa CDN med roterande IP och intrång i registrarens konton – allt detta visar sig som ändrade poster. DNS-övervakning upptäcker detta på några minuter istället för dagar.

Hur klarar monitorn av TTL-cachning?

Uppslag görs mot auktoritativa namnservrar (inte din lokala resolver), så TTL-cachning döljer inte ändringar. Varje kontroll gör en färsk auktoritativ förfrågan – har posten ändrats vid källan ser monitorn det vid nästa kontroll.

Kan jag övervaka DNSSEC-valideringsstatus?

Ja. Monitorn registrerar DNSSEC-status (signed/unsigned) vid varje kontroll och varnar vid ändringar. En domän som igår var DNSSEC-signerad och idag rapporterar unsigned är en säkerhetsincident som bör åtgärdas omedelbart.

Får jag falska positiva larm av DNS load balancing?

Om din A-post returnerar flera roterande IP-adresser ser monitorn en ”ändring” vid varje kontroll. För att dämpa detta, konfigurera expected-values för att omfatta alla möjliga IP, eller stäng av övervakning av A-posten på denna domän och förlita dig istället på HTTP-kontrollen för tillgänglighet.

DNS-övervakning — identifiera ändringar och kapningar av poster

DNS-poster som ändras utan din vetskap är antingen en felkonfiguration eller en kapning. Båda är dåliga. Håll koll på dem.

DNS är fundamentet – och den enklaste saken att förstöra

DNS ligger under allt annat: varje webbförfrågan, varje e-post, varje API-anrop börjar med en DNS-uppslagning. Det gör tysta ändringar av DNS-poster till en av de vanligaste attackvektorerna – och ett av de lättaste misstagen en slarvig teammedlem kan göra. En DNS-ändring kan omdirigera din domän till en phishing-kopia av din webbplats, routa e-post genom angriparens server, kasta ut dig ur sökresultat eller förstöra hela stacken med ett skrivfel. För det mesta är DNS-skadan inte ens medveten; det är en rutinmässig driftändring som någon gjorde utan att berätta för någon, och som sedan orsakade problem längre ner i kedjan.

DNS-övervakning fångar dessa ändringar genom att ta en ögonblicksbild av dina poster vid varje kontroll och jämföra den med den föregående. Om något övervakat har lagts till eller tagits bort sedan förra gången får du en varning. Oavsett om det är en planerad ändring du glömde att meddela om, ett konfigurationsfel, eller ett verkligt övertagande – får du veta inom några timmar.

Vilka poster övervakas

För varje HTTP-monitor görs en djupare daglig kontroll som hämtar dessa typer av poster:

A och AAAA: IPv4- och IPv6-adresser som värdnamnet resolveras till. Ändring – trafik går någon annanstans, avsiktligt eller för att någon tog över din registrar.
MX: mail exchangers. En ny MX-post (eller ännu värre, en saknad) betyder att e-posten började routas på ett nytt sätt. Tyst förlust av mejl är ett av de värsta tänkbara scenarierna för företag.
NS: namnservrar. Ändring – någon flyttade din DNS-zon till en annan leverantör – den kraftfullaste förändringen du kan göra mot en domän. NS-ändringar är nästan alltid antingen en planerad migration eller ett lyckat angrepp mot registraren.
TXT: valfria textposter, ofta använda för domänverifiering (Google, Microsoft, Stripe m.fl.) samt SPF/DKIM/DMARC.
SPF, DMARC, CAA: dedikerade säkerhetsposter för e-post och certifikatutgivning. En ändring av CAA kan särskilt låta en angripare ta ut ett TLS-certifikat för din domän.

Instrumentpanelen visar alla aktuella poster i den utökade vy för monitorn, så du ser direkt vad som är publicerat just nu.

Upptäckt av ändringar

Monitorn behåller ögonblicksbilder av A-, AAAA-, MX- och NS-poster per monitor. Vid varje djupare kontroll jämförs aktuella poster med ögonblicksbilden. Poster som har försvunnit markeras som "borttagna", nya som "tillagda". Båda listor läggs till i ändringsrapporten.

Om någon uppsättning av övervakade poster förändrats, skickas larm till aktiverade kanaler. Meddelandet talar om vilken typ av post som ändrats och listar exakt vad som lagts till och tagits bort. Istället för "DNS ändrat för example.com" får du "MX för example.com: tog bort mail.oldhost.com, lade till mail-1.attacker.com" – vilket gör situationen omedelbart tydlig.

Du kan stänga av varningar för DNS-ändringar oberoende av andra varningar, ifall en planerad migration skulle generera mycket brus. Stäng av, gör migreringen, slå på igen efter att allt stabiliserats.

Därför fångar det här saker som andra verktyg missar

De flesta uptime-verktyg behandlar DNS som installation – använder den för att lösa URL:en och glömmer bort det. Men sekunden en konkurrent (eller angripare, eller en fredagsdeploy-gremlin) ändrar din DNS, börjar lösningen peka på en annan IP, och en HTTP-övervakning rapporterar fortfarande grönt, eftersom det nya IP:t också svarar med 200. Utan övervakning på DNS-nivå är ändringen osynlig tills någon manuellt kontrollerar, och då kan mejl redan ha förlorats i dagar eller sökpositioner försvunnit i veckor.

DNS-övervakning fångar även problem med själva DNS-leverantören. Vissa leverantörer tappar eller omkastar ibland poster vid zonuppdateringar; vissa har regionala avbrott där förfrågningar från en plats ger andra resultat än från en annan. Jämförelsen av ögonblicksbilder avslöjar sådana instabiliteter.

Konfiguration

DNS-övervakning är automatisk för varje HTTP-/keyword-/API-monitor. Den första djupare kontrollen (inom 24 timmar från att monitorn lagts till) sparar en grundläggande ögonblicksbild – varning skickas inte första gången, bara när senare kontroller skiljer sig. För att aktivera/inaktivera aviseringar om DNS-ändringar, slå på eller av "Meddela om DNS-ändringar" i avsnittet Inställningar under Notiser. Den utökade vyn för varje monitor visar alltid hela aktuella DNS-statusen, inklusive SPF, DMARC och CAA, som inte övervakas för ändring men är användbara för periodisk översyn.

Vanliga frågor och svar

Vilka DNS-poster övervakar monitorn?
Som standard A, AAAA, MX, NS, TXT och CNAME. Monitorn sparar en ögonblicksbild av lösta värden vid varje kontroll och varnar när någon ändras – tillagd, borttagen eller modifierad.
Varför övervaka DNS – är inte min DNS-leverantör pålitlig?
Pålitligheten är inte problemet – förändringar är det. DNS-kapningar, oavsiktliga uppdateringar vid migreringar, externa CDN med roterande IP och intrång i registrarens konton – allt detta visar sig som ändrade poster. DNS-övervakning upptäcker detta på några minuter istället för dagar.
Hur klarar monitorn av TTL-cachning?
Uppslag görs mot auktoritativa namnservrar (inte din lokala resolver), så TTL-cachning döljer inte ändringar. Varje kontroll gör en färsk auktoritativ förfrågan – har posten ändrats vid källan ser monitorn det vid nästa kontroll.
Kan jag övervaka DNSSEC-valideringsstatus?
Ja. Monitorn registrerar DNSSEC-status (signed/unsigned) vid varje kontroll och varnar vid ändringar. En domän som igår var DNSSEC-signerad och idag rapporterar unsigned är en säkerhetsincident som bör åtgärdas omedelbart.
Får jag falska positiva larm av DNS load balancing?
Om din A-post returnerar flera roterande IP-adresser ser monitorn en ”ändring” vid varje kontroll. För att dämpa detta, konfigurera expected-values för att omfatta alla möjliga IP, eller stäng av övervakning av A-posten på denna domän och förlita dig istället på HTTP-kontrollen för tillgänglighet.

DNS-övervakning