การตรวจสอบ DNS

DNS คือรากฐาน - และเป็นสิ่งที่ง่ายที่สุดในการทำพัง

DNS อยู่เบื้องหลังทุกอย่าง: ทุกๆ คำขอเว็บ, อีเมลทุกฉบับ, ทุกการเรียก API ล้วนเริ่มจากการ lookup DNS นี่เองที่ทำให้การเปลี่ยนแปลง DNS แบบเงียบๆ กลายเป็นหนึ่งในรูปแบบการโจมตีที่ใช้บ่อยที่สุด - และเป็นหนึ่งในข้อผิดพลาดที่ง่ายที่สุดที่สมาชิกทีมที่ประมาทอาจก่อขึ้นได้ การเปลี่ยน DNS อาจเปลี่ยนเส้นทางโดเมนของคุณไปยังหน้า phishing, ส่งเมลผ่านเซิร์ฟเวอร์ของผู้โจมตี, ทำให้คุณหายจากผลค้นหา หรือทำลายทั้ง stack แค่เพราะพิมพ์ผิด ส่วนใหญ่ปัญหา DNS ไม่ได้เกิดจากเจตนาร้าย; มันเป็นการเปลี่ยนแปลงในงานประจำที่มีคนทำโดยไม่บอกใคร แต่ดันส่งผลกระทบ downstream

การมอนิเตอร์ DNS จะตรวจจับความเปลี่ยนแปลงเหล่านี้โดยทำ snapshot ของ record ในแต่ละครั้งที่ตรวจสอบ และเปรียบเทียบกับข้อมูลก่อนหน้า หากมีสิ่งใดที่ติดตามไว้ถูกเพิ่มหรือถูกลบตั้งแต่ครั้งล่าสุด คุณจะได้รับการแจ้งเตือน ไม่ว่าการเปลี่ยนแปลงนั้นจะเป็นการวางแผนไว้เองแล้วลืมแจ้ง, ข้อผิดพลาดการตั้งค่า, หรือการถูกยึดโดเมนจริงๆ — คุณจะรู้ในเวลาไม่กี่ชั่วโมง

เรามอนิเตอร์ record ประเภทไหนกันบ้าง

สำหรับแต่ละมอนิเตอร์ประเภท HTTP ระบบจะเช็คเชิงลึกทุกวันและดึงข้อมูลเหล่านี้:

• A และ AAAA: ที่อยู่ IPv4 และ IPv6 ที่ hostname ชี้ไป หากเปลี่ยน — ทราฟฟิกจะวิ่งไปที่อื่น อาจตั้งใจหรือไม่ก็ตาม (เช่นมีคนยึด registar ของคุณ)
• MX: mail exchangers Record MX ใหม่ (หรือแย่กว่านั้น คือหายไป) หมายความว่าอีเมลเริ่มวิ่งเส้นทางใหม่ การสูญเสียเมลเงียบๆ คือกรณีร้ายแรงสุดสำหรับธุรกิจ
• NS: nameserver การเปลี่ยนแปลง NS — มีคนโยก DNS ของคุณไปอยู่อีกเจ้า — เป็นการเปลี่ยนแปลงที่ยิ่งใหญ่สุดเท่าที่จะเกิดกับโดเมนได้ การเปลี่ยน NS แทบจะมีแต่การย้ายจริงหรือโดน hack registar เท่านั้น
• TXT: record ข้อความ ใช้ยืนยันโดเมน (Google, Microsoft, Stripe ฯลฯ) และสำหรับ SPF/DKIM/DMARC
• SPF, DMARC, CAA: record ความปลอดภัยอีเมลโดยเฉพาะและการออกใบรับรอง การเปลี่ยน CAA โดยเฉพาะอาจเปิดโอกาสให้ฝั่งโจมตีออก TLS cert ให้โดเมนของคุณได้

แดชบอร์ดจะแสดง record ปัจจุบันทุกอันในมุมมองแบบขยายของมอนิเตอร์ คุณจะเห็นได้ทันทีว่ามีอะไรที่เผยแพร่อยู่บ้าง

ตรวจจับการเปลี่ยนแปลง

ระบบจะรักษา snapshot ของ record A, AAAA, MX และ NS แยกตามแต่ละมอนิเตอร์ ทุกครั้งที่ตรวจสอบเชิงลึก record ปัจจุบันจะถูกเปรียบเทียบกับ snapshot เดิม Record ที่หายจะถูก “ทำเครื่องหมายว่าถูกลบ” ส่วน record ใหม่จะถูก “เพิ่ม” ทั้งสองรายการจะถูกรวมในรายงานความเปลี่ยนแปลง

ถ้ามีชุด record ที่ติดตามอยู่เปลี่ยนไป จะส่ง alert ไปยังช่องทางที่เปิดใช้งานไว้ การแจ้งเตือนจะระบุว่ามี record ตัวไหนเปลี่ยน พร้อมแจกแจงชัดว่ามีอะไรถูกเพิ่มหรือลบ แทนที่จะบอกแค่ "DNS ของ example.com เปลี่ยน" คุณจะได้รับ "MX สำหรับ example.com: ลบ mail.oldhost.com, เพิ่ม mail-1.attacker.com" — ทำให้เข้าใจสถานการณ์ในทันที

คุณสามารถปิดแจ้งเตือน DNS แยกจาก alert ประเภทอื่นได้ กรณีที่วางแผนจะย้ายและ generate ความเคลื่อนไหวเยอะๆ ปิดไว้ก่อน ย้ายงาน แล้วเปิดกลับหลังระบบนิ่ง

ทำไมระบบนี้ตรวจเจอในสิ่งที่เครื่องมืออื่นมองไม่เห็น

เครื่องมือ uptime ส่วนใหญ่มอง DNS เฉพาะเวลาต้องใช้ เช่นแก้ URL แล้วก็ลืมไป แต่ทันทีที่คู่แข่ง (หรือแฮกเกอร์ หรือ deploy ที่ผิด timing) เปลี่ยน DNS ของคุณ การแก้ไขนั้นจะชี้ไปที่ IP อื่นทันที ขณะที่มอนิเตอร์ http-only ยังคงรายงานเขียว เพราะ IP ใหม่ก็ส่ง 200 ได้ ถ้าไม่มีการมอนิเตอร์ DNS การเปลี่ยนนี้จะไม่มีใครเห็น จนกว่าจะมีคนมาเช็คเอง ซึ่งบางทีก็สายไปแล้ว อาจเสียอีเมลหลายวันหรือ SEO rankings อาทิตย์กว่าๆ ก็ได้

การมอนิเตอร์ DNS ยังจับปัญหากับผู้ให้บริการ DNS เอง บางเจ้ามี record หายหรือสลับระหว่าง update zone บางเจ้ามีปัญหาเครือข่ายทำให้ผล query แตกต่างตาม region การเปรียบ snapshot จะช่วยเปิดโปงความไม่เสถียรแบบนี้

การตั้งค่า

การมอนิเตอร์ DNS จะทำงานอัตโนมัติในมอนิเตอร์ HTTP/keyword/API ทุกตัว เช็คเชิงลึกครั้งแรก (ภายใน 24 ชม.แรกหลังสร้าง monitor) จะบันทึก snapshot ฐาน — ครั้งแรกยังไม่มี alert, จนกว่าการเช็คถัดไปจะเจอความแตกต่าง การเปิด/ปิดแจ้งเตือน DNS ให้สลับ "แจ้งเตือนการเปลี่ยนแปลง DNS" ในเมนูการตั้งค่าการแจ้งเตือน ดูสถานะ DNS ปัจจุบันเต็มๆ ได้ที่รายละเอียดย่อยของแต่ละมอนิเตอร์ รวมถึง SPF, DMARC และ CAA ที่อาจไม่ได้ติดตามเป็นการเปลี่ยนแปลง แต่มีประโยชน์สำหรับตรวจสอบเป็นระยะ

คำถามที่พบบ่อย

• มอนิเตอร์ติดตาม record DNS อะไรบ้าง?

  โดยปกติจะมี A, AAAA, MX, NS, TXT และ CNAME มอนิเตอร์จะทำ snapshot ของค่าที่ได้ในทุกการตรวจสอบ และจะแจ้งเตือนเมื่อมีการเปลี่ยนแปลง ไม่ว่าจะเพิ่ม ลบ หรือแก้ไข

• ทำไมต้องมอนิเตอร์ DNS — ผู้ให้บริการ DNS ของฉันไม่น่าเชื่อถือเหรอ?

  ความน่าเชื่อถือไม่ใช่ประเด็น — แต่เรื่องการเปลี่ยนแปลงสำคัญ ต่างหาก DNS takeover, การอัปเดตผิดพลาดช่วงย้าย, CDN ภายนอกที่เปลี่ยน IP, หรือแฮ็กบัญชี registar — เหล่านี้ปรากฏทันทีผ่านการเปลี่ยน record การมอนิเตอร์ DNS ช่วยให้รู้ทันในไม่กี่นาที แทนที่จะมารู้วันหลัง

• มอนิเตอร์จัดการอย่างไรกับการ cache ค่า TTL?

  ระบบจะ query กับ nameserver เจ้าของโดเมนโดยตรง (ไม่ใช่ resolver ที่เครื่องคุณ) ทำให้การ cache TTL ไม่มีผลหรือซ่อนปัญหาแต่ใด ทุกการตรวจสอบคือ query สดกับ nameserver — หาก record ต้นทางเปลี่ยน มอนิเตอร์จะเห็นทันทีในรอบถัดไป

• ตรวจสอบสถานะ DNSSEC Validation ได้ไหม?

  ได้ มอนิเตอร์จะบันทึกสถานะ DNSSEC (ลงนาม/ไม่ลงนาม) ทุกการตรวจสอบและจะแจ้งเตือนเมื่อมีการเปลี่ยนแปลง ถ้าเมื่อวานโดเมนเป็น DNSSEC-signed แล้ววันนี้รายงาน unsigned นั่นคือเหตุการณ์ความปลอดภัยที่ต้องรีบตรวจสอบ

• จะเจอ false positive จาก DNS load balancing มั้ย?

  ถ้า record A ของคุณมี IP สลับหลายค่า มอนิเตอร์จะเห็น “การเปลี่ยน” ทุกครั้งที่เช็ค เพื่อลด false positive ควรตั้งค่า expected-values ให้ครอบคลุม IP ทุกตัว หรือปิดการมอนิเตอร์ record A ในโดเมนนั้น แล้วใช้แค่เช็ค HTTP สำหรับวัด uptime แทน